Jeśli posiadacie konto na poczcie Gmail, być może wiecie, że poczta od Google nie uwzględnia obecności kropek w adresie. Okazuje się, że bezpieczeństwo w internecie jest rzeczą względną i przy odrobinie nieuwagi łatwo jest zostać oszukanym. Podpowiadamy, jak zabezpieczyć się przed oszustami.

Na poczcie od Google zakładając jeden adres e-mail, tak naprawdę zajmujemy nim kilkanaście innych nazw. Gigant z Mountain View sprytnie założył, że omyłkowo możemy uznać wiadomość od pannajoanna@gmail.com oraz od panna.joanna@gmail.com za pochodzącą od jednej osoby. Łatwo jest pominąć kropki w informacyjnym szumie. Dlatego też przy założeniu konta otrzymujemy szereg innych nazw, jak chociażby p.a.n.n.a.j.oa.n.n.a.@gmail.com, tak, by nie było wątpliwości, że unikalna nazwa należy do nas. Otrzymamy też wiadomość niezależnie od tego, gdzie nadawca postawi kropkę. Jest jednak pewien problem.

Nie wszystkie serwisy autoryzują adres e-mail

Jim Fisher opisał pewne niebezpieczne zjawisko, na jakie narażony jest niemal każdy, kto posługuje się adresem od Google i używa go do otwierania kont w różnych usługach. Przykładowo, serwis Netflix nie weryfikuje adresów e-mail, na jakich zakładane są konta. Zaraz po założeniu można oglądać na nim filmy, jeśli tylko podasz dane karty płatniczej. Tak czy inaczej, pierwszy miesiąc jest za darmo. Aby podszyć się pod kogoś, wystarczy wpisywać adresy, aż trafi się na taki, który jest zajęty. Gdy już się takowy posiada, wystarczy wstawić kropkę i podać kilka innych danych, w tym numer karty kredytowej. W internecie bezproblemowo można uzyskać wirtualną kartę, która w założeniu ma nam ułatwić obrót pieniędzmi w sieci. Jest to broń obosieczna.

 

Oficjalny e-mail od Netflixa był zaadresowany na james.hfisher@gmail.com. Autor na co dzień posługuje się nazwą bez kropki.

Najciekawsze rzeczy dzieją się, gdy użytkownik konta z „pożyczonym” adresem przestanie płacić. Wtedy do pannajoanna@gmail.com przyjdzie informacja, że na koncie panna.joanna@gmail.com nie doszło do uiszczenia płatności za konto. Komunikat będzie zaadresowany z oficjalnego konta technicznego Netflixa, co część mniej świadomych, płacących użytkowników może przekonać do wykonania polecenia. Wiele serwisów weryfikuje autentyczność użytkowników kartami płatniczymi a nie kontem e-mail. W rezultacie może dojść do katastrofy – przez pomyłkę będziemy płacić zarówno za swoje, jak i za cudze konto.

Jak zapobiec oszustom?

Biorąc pod uwagę, że większość ludzi nie wie o możliwości wstawiania kropki w dowolną część ich adresu bez jego zmiany, winę powinien ponieść Netflix. Problem w tym, że Netflix i jakakolwiek inna firma, niebędąca Googlem nie ma obowiązku znać ani implementować systemu kanonizacji adresu. Większość użytkowników zakłada adres po to, by korzystać z jednej nazwy i doskonale wie, gdzie postawiło kropkę, bądź że jej nie postawiło.

Możliwości Gmaila pozwalają ludziom podszywać się na wiele sposobów, co zresztą przyznali sami twórcy poczty. Można jednak zgłosić otrzymaną wiadomość jako phishing (podszywanie się) albo spam. Na ten moment, dopóki Google nie znajdzie rozwiązania pozostaje zachować czujność.

 


Autor: Michał Mielnik
Zdjęcia: 1, PxHere