Conecta con nosotros

Noticias

Gmail y Netflix son seguros, pero juntos pueden ser una amenaza de phishing

Publicado el

phishing Gmail

phishing Gmail

Un desarrollador ha descubierto que el manejo del correo electrónico de Gmail crea un práctico vector de phishing para atacar a los clientes de Netflix.

MS Recomienda

Estudio sobre ciberseguridad en la empresa española ¡Participa en nuestra encuesta y gana!
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

El problema es que Netflix, como la mayoría de servicios, reconoce puntos en los identificadores de correo electrónico (por ejemplo, richardchirgwin y richard.chirgwin los maneja como cuentas diferentes), pero Gmail no los reconoce.

El desarrollador ha descrito una experiencia donde recibió un correo electrónico aparentemente legítimo de Netflix dirigido a james.hfisher@gmail.com que Gmail redirigió a su cuenta sin puntos. Como el correo electrónico llegó a la bandeja de entrada correcta y dado que realmente provenía de Netflix, Fisher estuvo a punto de aceptar su solicitud de que actualizara sus datos, excepto que no reconoció la tarjeta de crédito adjunta.

Gmail y Netflix son seguros, pero juntos pueden ser una amenaza de phishing 49

Ello crea un vector para ataques de phishing de la siguiente manera: un atacante puede encontrar una cuenta de Netflix cuyo registro de Gmail ya exista y puede registrar otra cuenta con un punto extra en la dirección de Gmail. Si el atacante se registra con un número de tarjeta «desechable» y luego cancela la tarjeta, Netflix enviará un correo electrónico al titular de la cuenta «real» de Gmail solicitando una tarjeta válida. Solo necesita que el destinatario lo haga sin notar una discrepancia.

El experto en seguridad Bruce Schneier comenta que el problema es sutil: «Es un ejemplo de dos sistemas sin vulnerabilidad de seguridad que se unen para crear una vulnerabilidad de seguridad».

Los analistas apuntan soluciones. Que Netflix verifique la dirección de correo electrónico al registrarse y especialmente que Google advierta al usuario de Gmail que se envió un correo electrónico a una dirección «no estándar». En el aire, que Google permita a los usuarios no participar en la característica «no importa el punto» en las direcciones del correo electrónico. Útil en algunos casos, pero problemáticas por lo que hemos visto en este caso.

Finalmente, seguir recomendando atención máxima ante los intentos de phishing, junto al ransonware, entre los ataques de malware más rentables de la ciberdelincuencia. Netflix es uno de los servicios de alto impacto que está en el punto de mira de los atacantes en las campañas de phishing para obtener los datos de los usuarios.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído