Met dit sluwe trucje kijken sommige mensen gratis naar Netflix sam

17 april 2018

17u30

Bron: The Register 6 Internet Internetgebruikers die Netflix willen kijken op andermans kosten hebben een nieuw trucje verzonnen waarvoor ze gebruikmaken van een weinig gekende eigenschap van Gmailadressen. En dat heeft alles te maken met de puntjes. Belangrijk detail: het trucje is wel degelijk illegaal.

Netflix telt al ruim 125 miljoen gebruikers en verwacht het komende kwartaal nog 6,2 miljoen nieuwe klanten. Wanneer die zich registreren, doen ze dat vaak met een Gmailadres. En die maildienst van Google heeft een eigenaardigheid die maar weinig gebruikers kennen: wanneer je namelijk een Gmailadres aanmaakt met puntjes in, kan je dat ook gewoon bereiken zonder de puntjes erin. Omgekeerd komen mails met extra puntjes ook aan.

Stel dat iemand het mailadres jos.joskens419@gmail.com aanmaakt, dan komen mails naar josjoskens419@gmail.com daar aan, maar ook mails naar jo.sjos.kens.419@gmail.com. Hoewel de maildienst dus geen onderscheid maakt tussen adressen met of zonder puntjes, doen veel andere internetdiensten dat wel. Zoals Netflix.

Phishing?

De oplichterij kwam aan het licht door Twitteraar James Fisher, die van Netflix een mail had ontvangen om zijn kredietkaartgegevens te updaten. Meteen ging een belletje rinkelen. Was het een phishingmail van oplichters die zijn bankkaartgegevens wilden ontfutselen? Nee hoor, de mail kwam wel degelijk van Netflix zelf. En de links leidden wel degelijk naar de servers van Netflix. Fisher dacht even dat er inderdaad iets aan de hand was met zijn Netflixabonnement, tot hij het kredietkaartnummer niet herkende. Toen viel zijn oog op het adres waarnaar de mail was verstuurd: james.hfisher@gmail, terwijl hij altijd jameshfisher@gmail.com gebruikt.

Wat bleek? Ene 'Eve' uit Alabama had als mailadres bij haar een Netflixaccount het mailadres van Fisher opgegeven, en hield op een bepaald moment op met betalen. Daarop kreeg Fisher dus de mail met de vraag om die gegevens te updaten, iets wat hij bijna had gedaan omdat hij aanvankelijk dacht dat het ging om zijn eigen account. Als hij in de val was getrapt, had 'Eve' het mailadres van haar account weer kunnen veranderen zodat ze Netflix kon kijken op Fishers kosten. Dat gebeurde niet, en Fisher resette via zijn mailadres het paswoord van de vreemde account.

Registratie

Dat is allemaal mogelijk omdat Netflix je eerst een maand gratis laat kijken wanneer je registreert. Op dat moment hoef je op geen bevestigingsmail te klikken, maar wel je kredietkaartgegevens invullen. Daar kan je gegevens van een tijdelijke kaart ingeven, die je annuleert nadat Netflix heeft gecontroleerd of het inderdaad gaat om een actieve kaart.

Om dan effectief iemand anders te laten betalen, moet de oplichter bij de registratie enkele Gmailadressen proberen tot ie een actief exemplaar vindt. Een puntje erbij of eraf, en de andere nietsvermoedende echte klant ontvangt dan een echte mail van Netflix met de vraag om betaalgegevens. Opletten geblazen dus!