【주의】 G메일 사양을 사기에 이용할 수 있다고 기술자가 지적

【주의】 G메일 사양을 사기에 이용할 수 있다고 기술자가 지적

macOS 인터넷 전송 앱 「Vidrio」를 개발한 짐·피셔씨는, Gmail 사양을 악용하는 것으로, 사기할 수 있는 가능성이 있다고 지적했습니다. 피셔씨에 의하면, 실제로 Gmail 사양을 이용하고, Netflix 정규 사용자에 대하여, 「별도의 사용자가 Netflix를 이용하기 위한 지불 정보 입력을 요구하는 메일」을 송신할 수 있었습니다.

피셔씨에 의하면, 자신이 고안한 사기 방법을 사용하는 것으로, Netflix에서 자신에게 이하 메일을 수신하는 것에 성공했다고 합니다. 실제로 받은 메일에는 「어카운트를 정지했습니다. 현재 지불 정보에 문제가 있었으므로, 지불 정보를 갱신해주세요」라고 쓰여져 있어, 메일은 Netflix에서 틀림없이 도착한 것입니다.

그리고, 이 메일에 있는 내용도 사실로, Netflix는 정말로 「지불 정보」에 문제가 있었기 때문에, 피셔씨에게 송신했습니다. 그러나, 지불 정보에 문제가 있었던 것은, 피셔씨 어카운트가 아닙니다. 피셔씨는 Netflix에 「jameshfisher＠gmail.com」으로 어카운트를 등록한 것 같습니다만, 이 메일은 피셔씨 어카운트에 「.(마침표)」를 더한 「james.hfisher＠gmail.com」에 송신되었습니다. 즉, Netflix는 피셔씨가 아니고 「james.hfisher＠gmail.com」으로 등록한 사용자의 지불 정보에 잘못이 있었기 때문에, 확인 메일을 송신한 것입니다.

이 메일이 왜 「jamesfisher＠gmail.com」에 도착한지는, Gmail 사양에 관계됩니다. Gmail에서는 사용자 ID에 「.(마침표)」를 추가해도, 「.(마침표)」가 없는 메일 주소에 송신되는 구조입니다.

다른 사용자가 당신에게 메일을 송신할 때에, 메일 주소에 마침표를 추가했을 경우라도, 메일은 당신의 수신 트레이에 전해집니다. 예를 들면, 메일 주소가 「johnsmith＠gmail.com」의 경우, 다음과 같이 마침표가 포함된 메일 주소도 당신이 소유한 메일이 됩니다.

·john.smith＠gmail.com

·jo.hn.sm.ith＠gmail.com

·j.o.h.n.s.m.i.t.h＠gmail.com

보통이라면 메일 주소내 「.(마침표)」 유무로 차이가 있으면, 다른 메일 주소를 가리킵니다. 당연히 Netflix는 다른 사용자에게 송신했다고 생각하기 때문에, 「james.hfisher＠gmail.com」에 보낸 메일이, 피셔씨에게 도착한다고는 알 방법도 없습니다.

피셔씨는 Gmail 사양을 악용하는 것으로, 사기가 성립할 가능성이 있다고 지적했습니다. Netflix 사용자가 지불을 하기 때문에, 무료로 프로그램을 시청할 수 있습니다.

◆순서

1. 「gmail.com」 메일 주소에서 「등록완료」라고 표시될 때까지, Netflix 사인업을 계속한다.

(예:등록완료 어드레스로서 「jameshfisher＠gmail.com」을 발견)

2.발견한 메일 주소에 마침표를 붙인 어드레스로 Netflix어카운트를 작성한다.

(예: 「james.hfisher＠gmail.com」로 Netflix 어카운트를 작성)

3.가짜 신용카드 번호로 무료 트라이얼에 등록한다.

4.Netflix는 신용카드 번호에 잘못이 있다고 해서, 카드를 취소.

5.Netflix가 카드 번호에 잘못이 있다고 해서, 「.(마침표)」가 딸린 메일 주소에 지불 정보 갱신 메일을 송신.

(james.hfisher＠gmail.com에 Netflix가 메일 송신)

6.메일이 도착한 정규 사용자가 착각하고, 카드 번호를 입력한다.

7.카드 번호 입력을 확인하면, Netflix 등록 어드레스를 「.(마침표)」가 딸린 것으로부터 다른 어드레스로 변경한다.

8.남의 카드 정보로 Netflix를 시청할 수 있게 된다.

피셔씨는, Netflix가 메일 주소 확인을 하지 않는 것도 문제고, Gmail도 문제가 있다고 지적했습니다. 「Gmail 사용자들은, 「.(마침표)」가 딸린 어드레스에 송신하는 사양을 모른다고 생각됩니다. 그리고, 어드레스내에 「.(마침표)」가 포함되어 있어도 송신할 수 있다고 하는 기능이 필요하다고 생각하는 사용자가 적지만 존재한다고 생각합니다만, 바라지 않은 사용자들이 많이 있을 것입니다. Google이, 「.(마침표)」가 딸린 어드레스로 송신 가부를 사용자에게 선택할 수 있게 해야 합니다. 적어도 나는 바라지 않습니다」라고 말했습니다.