web-dev-qa-db-fra.com

Pourquoi quelqu'un ouvrirait-il un compte Netflix en utilisant mon adresse Gmail?

C'est quelque chose qui m'est arrivé il y a quelques mois. Je ne sais pas s'il s'agit d'une tentative de piratage, bien que je ne puisse imaginer aucun moyen de créer un danger ou d'obtenir des informations personnelles.

Je n'ai pas de compte Netflix et je ne l'ai jamais fait. J'ai une adresse Gmail que je n'ai jamais utilisée pour la communication publique. Soudainement, j'ai commencé à recevoir des e-mails à cette adresse Gmail de Netflix - pas un e-mail "Bienvenue sur Netflix" ou un e-mail demandant une vérification d'adresse, mais ce qui ressemblait à une promo mensuelle pour un compte existant. Cela a été adressé à quelqu'un avec un vrai nom différent, avec ce nom qui ne ressemble en rien au nom de Gmail.

Après quelques-uns de ces messages, j'ai décidé d'enquêter en allant sur Netflix et en essayant de me connecter avec cette adresse e-mail. En utilisant l'option "mot de passe oublié", j'ai pu obtenir un e-mail de réinitialisation de mot de passe, changer le mot de passe et me connecter. Le compte semblait provenir du Brésil, avec un historique de la montre mais aucune autre information personnelle stockée et aucune information de paiement.

Bientôt, les e-mails de Netflix ont commencé à me demander de mettre à jour les informations de paiement. Je ne l'ai pas fait, bien sûr, puis ils ont changé en "votre compte sera suspendu" puis "votre compte a été suspendu". Les e-mails "revenez à Netflix" arrivent toujours de temps en temps.

Je ne vois pas en quoi cela pourrait être une tentative de phishing - j'ai soigneusement vérifié que j'étais sur le vrai site Netflix, j'ai utilisé un mot de passe jetable qui n'est utilisé sur aucun autre site et je n'ai entré aucune de mes informations personnelles. J'ai également vérifié attentivement les en-têtes des e-mails et ils ont été envoyés par Netflix. Alors, est-ce juste une erreur de la part de quelqu'un, une faute de frappe sur une adresse e-mail (bien qu'il soit surprenant que Netflix l'ait acceptée sans vérification), ou quelque chose de plus sinistre?

emailaccount-security
91
user2760608

Je pense qu'il est probable que quelqu'un essaie de vous inciter à payer Netflix pour eux. De: https://jameshfisher.com/2018/04/07/the-dots-do-matter-how-to-scam-a-gmail-user/ :

Plus généralement, l'arnaque par phishing est la suivante:

  1. Martelez le formulaire d'inscription Netflix jusqu'à ce que vous trouviez un gmail.com adresse qui est "déjà enregistrée". Supposons que vous trouviez la victime jameshfisher.
  2. Créez un compte Netflix avec l'adresse james.hfisher.
  3. Inscrivez-vous pour un essai gratuit avec un numéro de carte jetable.
  4. Une fois que Netflix a appliqué le "contrôle de carte actif", annulez la carte.
  5. Attendez que Netflix facture la carte annulée. Ensuite, les e-mails Netflix james.hfisher demander une carte valide.
  6. J'espère que Jim lit l'e-mail à james.hfisher, suppose que c'est pour son compte Netflix soutenu par jameshfisher, puis entre sa carte **** 1234.
  7. Modifiez l'e-mail du compte Netflix en [email protected], empêchant Jim d'accéder à ce compte.
  8. Utilisez Netflix gratuitement pour toujours avec la carte de Jim **** 1234!

(Notez que les étapes ci-dessus n'incluent aucune étape de "réinitialisation du mot de passe" pour que Jim accède au compte; c'est parce que l'e-mail de Netflix comprend des liens authentifiés L'attaquant souhaite que la victime clique sur les liens de messagerie au lieu de visiter Netflix manuellement, c'est ce qui permet à "Eve" de se reconnecter au compte à l'étape 7. Ou, puisque Netflix envoie des liens authentifiés par e-mail , "Eve" en a peut-être déjà un.)

La situation ci-dessus est partiellement due au fait que Netflix (naturellement) ne reconnaît pas la fonctionnalité "les points ne comptent pas" de Gmail lorsque l'e-mail envoyé à [email protected] et à [email protected] finissent dans le même compte. Cela n'a pas vraiment d'importance dans votre cas (étant donné que si c'est ainsi que vous essayez d'être victime d'une arnaque, l'étape 1 a été entièrement ignorée).

Un problème plus important est que Netflix permet toujours aux gens d'enregistrer des adresses e-mail sur des comptes sans vérification.

178
jamesdlin

La situation la plus probable est que quelqu'un a utilisé une adresse Gmail arbitraire (la vôtre) pour vous inscrire à un essai gratuit, ou a tenté par erreur de changer son e-mail à la mauvaise adresse (peut-être pour qu'un ami/famille reçoive également des e-mails).

Ce ne serait pas un "hack" ou même une tentative de phishing, en utilisant simplement n'importe quelle adresse disponible. Cela signifie que votre adresse Gmail ne peut pas être utilisée pour un essai gratuit sur Netflix, il y a donc un impact négatif pour vous.

Par ailleurs, en vous connectant au compte de quelqu'un d'autre, vous avez enfreint les lois sur l'accès non autorisé de nombreux pays. Je ne prendrais pas l'habitude de faire cela (ou de dire aux autres sur des sites publics que vous en avez ".

49
schroeder
  1. En raison de la politique gmail "les points n'ont pas d'importance", il est peu probable que ce soit le compte Netfix authentique de quelqu'un d'autre, sauf une faute de frappe s'est produite dans le nom autre que l'emplacement des points.
  2. Même ainsi, vous ne devez pas détourner ce compte, il ne vous appartient pas. Donc, pas de changement d'adresse e-mail vers un autre domaine.
  3. L'arnaque dépend de votre possession d'un compte Netflix et de l'utilisation de votre adresse gmail pour la connexion.
  4. Il est peu probable qu'ils aient récupéré votre compte gmail de Netfix, ni celui qui est "agnostiquement similaire" (!), Mais encore une fois, les fautes de frappe.
  5. Envoyez simplement un bon exemple à Netflix et créez une règle pour regrouper les futurs e-mails.

Je n'utilise même pas mon adresse gmail pour Google.

11
mckenzm

Il s'agit d'un phénomène courant en raison de la confusion de l'adresse e-mail.

Je reçois des dizaines de centaines de courriels d'entreprises légitimes (concessionnaires automobiles, ministère de l'eau et de l'électricité de LA, Macys.com, notes d'activation de téléphone portable, société de paie ADP et assurance Nationwide) de personnes avec mon prénom et une initiale correspondant à mon nom de famille.

Les entreprises pourraient le résoudre ET améliorer la sécurité avec une étape de "double opt-in" vous demandant de confirmer une adresse e-mail avant son utilisation.

Le pire a été au début de 2019, lorsque j'ai reçu des dossiers médicaux (résultats de laboratoire dans un fichier .PDF) - une violation claire de la HIPAA, car le courrier électronique n'est pas un canal de communication authentifié ou crypté. La personne chargée des "dossiers médicaux", qui devrait connaître la loi, était l'expéditeur du courrier électronique.

Dans mon cas, aucun d'entre eux n'est néfaste, mais représente des utilisateurs désemparés ou pire encore, des commis aux ventes désemparés (tels que Lenscrafters dans le Maryland), le Apple à Manhattan, et d'autres trop nombreux pour être mentionnés) .

Si les gens veulent créer une adresse - alors [email protected] - est la meilleure à utiliser. Il n'est pas valide par définition dans les RFC Internet.

Avec le recul, je me suis rendu compte que mon adresse gmail est trop courte et qu'elle devrait avoir la même longueur qu'un mot de passe (environ 15 caractères).

5
The Programmer

Il y a une autre possibilité que personne d'autre n'a identifiée. Quelqu'un a créé un compte Netflix d'essai avec votre adresse gmail pour essayer de voir si vous avez déjà un compte Netflix.

Si l'interface utilisateur indique que cette adresse e-mail est déjà utilisée, elle l'identifie en tant que compte pour essayer les tentatives de connexion basées sur le dictionnaire.

4
Steve Sether