最近，我收到了一封来自Netflix的电子邮件，这封邮件试图让我将银行卡信息添加到其他人的Netflix帐户中。文中我展示了这种新型的网络钓鱼骗局，它利用了Gmail的一个不起眼的功能“点（.）无关紧要”。然而我认为这些“点”确实很重要，而且Gmail的这个功能实际上是一个错误。最后我会提出一些Gmail团队将来可以用来打击此类诈骗的方法。首先，来看看电子邮件：

这封电子邮件真的来自netflix.com，所以我点击了链接。自动登录后来到“更新您的信用卡或借记卡”页面，该页面真正托管在netflix.com上。这里没有钓鱼。耐心等待，“更新”页面显示我的卡号为**** 2745，但是这个卡号我不认识。检查我的记录，我从来没有见过这个卡号。这是怎么回事？

我终于意识到这封电子邮件是给[email protected]的。我通常使用的[email protected]中没有点。你可能认为这封电子邮件应该被拒绝发送，但是它已经到达了我的收件箱，因为Gmail地址中并不重视这些“点”：

如果有人在向您发送电子邮件时不小心添加了点，您仍然会收到该电子邮件。例如，如果您的电子邮件地址为[email protected]，则您拥有所有版本带点的地址：

· [email protected]

· [email protected]

· [email protected]

Netflix不知道Gmail的这个“功能”。从表面上看，[email protected]和[email protected]是不同的身份，并且应该有一一对应的Netflix账户。我在2013年注册了与[email protected]绑定的Netflix帐户N1。但2017年9月，有人（不妨称她为Eve）创建了一个新的Netflix帐户N2，并与[email protected]绑定。

由于Eve在注册时设置了密码，Eve有权访问帐户N2，但我也有权访问该帐户，因为我可以按照此帐户的密码重置过程进行操作，而且我成功的这样做了。

Eve喜欢看电视节目！她在六个月内收看了587个节目，全部来自她在阿拉巴马州的Android设备。她在10月份的一天里观看了三季Trailer Park Boys。她几乎每天都在消费，直到3月22日，当Netflix由于支付失败而使她的账户“搁置”时。 Eve为这些节目付出了代价，她每月支付13.99美元，直到2月份，她的卡**** 2745被拒付。

也许这都是一个巧合？也许Eve实际上另有他人，也许他在几个月前注册时输错了他的电子邮件地址。Netflix在注册时是不会进行任何电子邮件地址验证：你可以马上开始观看节目。

但也许这不是一个巧合，而是一个骗局。我差不点就要掉入支付Eve的Netflix费用的骗局，阻止我被骗的是被拒付的卡并不是我的卡。一般来说，这样的网络钓鱼骗局流程是：

1.查看Netflix注册表格，直到找到“已经注册”的gmail.com地址。假设你找到受害者jameshfisher。

2.创建地址为james.hfisher的Netflix帐户。

3.用一次性卡注册免费试用。

4.在Netflix“支付方式检查”通过后，取消卡片绑定。

5.等待Netflix为取消的卡发送账单。然后Netflix通过电子邮件向james.hfisher索要一张有效的卡。

6.希望Jim读了发送给james.hfisher的电子邮件，假定他的Netflix账户与jameshfisher绑定，然后输入他的卡片**** 1234。

7.将Netflix帐户的电子邮件更改为[email protected]。

8.用Jim的卡**** 1234永远免费使用Netflix！

安全漏洞在哪里？有人会说这是Netflix的错：Netflix应在注册时验证电子邮件地址。但在注册时使用他人的地址只会将该帐户的控制权交给该人。也有人会说Netflix应该禁止注册[email protected]，但这会使Netflix和其他所有网站都掌握Gmail邮箱地址标准的内幕。还有人会说，Netflix的“更新您的付款细节”电子邮件应强制手动登录，而不是使用经过自动验证的链接。

有人指责Netflix，但我认为主要问题在于Gmail，特别是Gmail的“点无关紧要”功能。该诈骗从根本上依靠Gmail用户对电子邮件进行响应，并假定它已发送到其规范地址，而不是其无限地址集中的其他地址。

一些Gmail 深度用户可能会声称：“点无关紧要”的功能非常棒。我获得了无限的电子邮件地址的所有权！但首先，没有人想要无限的电子邮件地址。那些真正想要无限地址的人已经拥有“+标签”功能：我也拥有[email protected]，[email protected]等等。+标签具有类似的骗局潜力，但也有一些合法的使用案例。但我绝对不想要[email protected]，John Smith从来不想要[email protected]。每个Gmail用户都有一个他们认为属于自己的电子邮件地址，而其他的应该都是错的。

Gmail用户不仅不需要这些额外的地址，大多数人甚至都不知道他们有这些地址。我相信我的父母就不知道他们拥有无限的电子邮件地址。他们不会知道这一点，因为Google从来没有告诉过他们，这不是其他地方电子邮件的工作原理。即使是最具技术含量的Gmail用户，也会说“我的电子邮件地址”，而不是“我无限的电子邮件地址”。

即使那些知道他们有无限地址的Gmail用户也可能没有意识到这种暴露会带给他们的骗局。我们教人们由不良电子邮件地址引发的“网络钓鱼”，但我们没有教任何由于电子邮件地址自身引发的网络钓鱼。不过，结果是一样的：受害者失去了钱。

即使在极少数情况下，Gmail用户知道他们拥有无限的地址集，并且他们知道这可能会使他们受到网络钓鱼攻击，但该用户不太可能接受Gmail用户界面和收件箱没有任何提示的骗局。事实上，它甚至不承认电子邮件是一个非标准的地址。上面屏幕截图中唯一的线索是界面显示“to james.hfisher”，而不是“to me”。

Gmail小组应该打击这种网络钓鱼。他们应该正式承认“点不关紧要”是一种错误。事实上，Gmail团队承认，当他们在2008年发布该功能时，“点无关紧要”的事情就会“造成混乱”。每个Google帐户都应该配置一个变体作为其标准地址;我会设置james[email protected]作为标准，也许John会将标准设置为[email protected]。如果电子邮件发送到非标准地址，则应该显示警告：

最后，Gmail用户应该能够选择不使用“点无关紧要”。我希望发送到[email protected]的所有邮件能够反弹而不是到达我的收件箱。默认情况下，任何新的Google帐户都应禁用“点无关紧要”功能，之后退出。

后续进展

· Bruce Schneier’s analysis.

· The Hacker News post.

· Twitterers twittering on Twitter, including some Google/Netflix engineers.