Jefferson, 
13 de fevereiro de 2018, 
No ano passado eu recebi por email este aviso da Netflix confirmando os dados da assinatura que eu tinha feito:
O que me surpreendeu, porque eu não lembrava disso e não tinha interesse na Netflix. Eu gosto de dar presentes à mim mesmo mas “presente surpresa” é novidade. Vale salientar que eu não bebo então não sofro de casos freqüentes de amnésia como muitos bebuns. Depois de olhar e “reolhar” a mensagem, conferir que os dados de pagamento não tinham nenhuma relação com nada meu, analisar o cabeçalho confirmando que o email não era uma armadilha e muito coçar a cabeça cheguei à conclusão que a Netflix é mais uma empresa que tem o detestável hábito de não validar o endereço de email dos assinantes.
Como se tratava da “minha” conta. Solicitei mudança da senha e “tomei posse”. Não encontrei em lugar algum qualquer tipo de informação sobre o “infeliz” que a criou (nem nome, nem telefone) e tudo o que pude descobrir é que aparentemente ele tem filhos e só assiste a filmes dublados. Não encontrei opção alguma para cancelar a conta online e certamente não ia perder meu tempo ligando para o 0800 da Netflix (e nem gosto de telefone) para tentar provar que “eu não era eu” (é sério!) e cancelar a conta que eu não tinha informações para provar que não era minha.
Então eu aproveitei o recurso de dar nomes aos perfis para deixar um recado:
Eu não sei se o indivíduo chegou a ver minha mensagem. Não recebi nenhum email informando tentativa de recuperar senha (ele não conseguiria, claro) e não sei se os dispositivos já conectados desconectam se a senha mudar, mas três dias depois (talvez seja o tempo máximo que uma app Netflix leva entre logins) surtiu efeito:
O indivíduo tinha inserido dados falsos de cartão de crédito ou a primeira coisa que fez ao descobrir que “sua” conta havia sido “hackeada” foi mudar os dados de pagamento? Essa dúvida não me entreteve por muito tempo porque 1h14min depois eu recebi outra mensagem:
É possível que o atendente da Netflix tenha primeiro apagado a informação do cartão de crédito para depois cancelar a conta evitando assim que eu pudesse clicar em “Reiniciar Assinatura” e começar tudo de novo. É a melhor desculpa que consigo inventar para essa bagunça.
É um tanto surreal ficar recebendo mensagens de um serviço legítimo me chamando pelo nome e me informando sobre atos que eu fiz sem ter feito. Isso sem contar com os possíveis problemas que isso pode causar para as duas pessoas (cliente e não cliente) envolvidas. Essas empresas que não validam dados de contato deveriam ser punidas de alguma forma por isso.
Quando você altera a senha, todos os dispositivos conectados tem que fazer um novo login. O ladrão (eu chamaria assim) nem deve ter visto a sua mensagem. Ele também deve ter usado dados de um cartão de terceiros. O mais provável é que o dono do cartão também deve ter reclamado junto a operadora, e isso que gerou o cancelamento da Netflix.
Tenho dúvidas quanto a isso. A Netflix dá um mês grátis e a mensagem de boas vindas faz referência a isso. Como o titular do cartão poderia ficar sabendo três dias depois de uma transação que ia ocorrer quase trinta dias no futuro?
A não ser que a Netflix use o mesmo tipo de operação que as locadoras de veículos, que “reservam” a franquia do seguro no seu cartão de crédito. Mas até hoje eu só vi esse tipo de operação “pré-datada” no cartão de crédito nesse caso.
Meu palpite é que o indivíduo perdeu acesso à conta e ao tentar recuperar desta vez usou seu endereço de email correto, que a Netflix reportou como inválido. Ele ligou para o 0800 e assim descobriu e corrigiu o erro.
Aconteceu comigo em uma conta de e-mail secundária. Meu palpite é que algum script sai rodando emails aleatórios para cadastrar no Netflix e ter 1o mês grátis pra pessoa usar sem pagar. A cobrança a princípio só ocorre quando acaba, daí qualquer informação de cartão eles aceitam. Entrei na conta, mudei a senha e pronto. 2 dias depois recebi e-mail que a conta foi suspensa.
Jefferson, talvez seu caso seja similar ao que é relatado nesta notícia:
https://www.tudocelular.com/seguranca/noticias/n122929/netflix-golpe-gmail.html
Eu li a notícia, achei que carecia de sentido e só porque mencionava Bruce Schneier e eu acho que esse cara merece crédito fui procurar a fonte (que não é citada). Encontrei o artigo aqui, que é um pouco mais esclarecedor mas ainda carece de lógica.
Uma coisa é evidentemente certa: a falta de validação de email por parte da Netflix é (de novo) a causa do problema. Mas a dimensão deste ainda é incerta. Parece coisa de “pesquisador de segurança” (James Fisher) procurando pelo em ovo. E o fato de Fisher, segundo Schneier, argumentar que é culpa do Google (isso é estúpido) só reforça essa percepção. Ainda preciso ler o original de Fisher.
Eu dei uma olhada no texto de James Fisher. E concluí que ele queria muito criticar a Google por alguma razão e por isso deliberadamente ignorou a falta de lógica da sua “descoberta”.
Ele diz explicitamente que ao clicar no link enviado pela Netflix para atualizar dados do cartão a Netflix não pede a senha, assim ele cai na conta da outra pessoa sem saber. E de alguma forma isso é culpa também da Google.
Ele diz explicitamente que a mensalidade da conta vinha sendo paga pelo cartão que estava lá cadastrado (logo era uma conta legítima, cadastrada com endereço errado), mas que naquele mês o cartão foi recusado e por isso ele recebeu o email. Tudo indica que o problema ocorreu por acidente, possibilidade que ele mesmo aceita, mas ele preferiu inventar um elaborado golpe imaginário.
Ele diz explicitamente que quase foi convencido a pagar perpetuamente pelo acesso de outra pessoa, ignorando que precisaria ser um tipo especial de estúpido para não notar perpetuamente a cobrança em duplicidade em sua fatura.
Há tanta estupidez na análise de Fisher que eu posso dizer com segurança que meu caso não tem nada a ver com o que ele diz.
“precisaria ser um tipo especial de estúpido para não notar perpetuamente a cobrança em duplicidade em sua fatura.”
Creia, estes estúpidos existem…
Eu creio, mas eu mencionei isso por duas razões:
1)Para levarmos o que ele diz sobre esse tipo de assunto a sério é preciso que acreditemos que não é esse tipo de estúpido, mas ele praticamente assume que é.
2)É mais uma condição para que um golpe de R$20 por mês dê certo. Os ganhos desse golpe imaginário não parecem justificar as dificuldades.
Eu não acho que o texto seja tão sem lógica assim.
Me pareceu perfeitamente plausível o golpe que ele descreve.
Eu também não gosto do dots-don’t-matter. Nunca gostei. Mas nunca tinha pensado em algum problema real dele. Eu concordo que ele queira atacar o recurso do Gmail, e pra isso usou uma falha grave da Netflix. Ao meu ver, o principal problema aqui é a Netflix, e um possível golpista precisa apenas do recurso (ruim) do Google para completar o golpe.
Eu admito que fiquei irritado com a abordagem dele e isso nublou meu julgamento. A falta de lógica só ia a até o texto de Schneier, porque faltavam informações e ele repetiu a hipérbole de Fisher (“Use Netflix free forever with Jim’s card”). O golpe descrito por Fisher é possível mas tem tantas condições e tem um prêmio tão pequeno que é apenas pouco provável.
Note que o gmail não é necessário para que o golpe funcione, porque a culpa é inteiramente da Netflix. O recurso do gmail apenas permite que o email seja enviado diretamente pela Netflix.
Digamos que você tenha se cadastrado no Netflix com o email ricardomenzer@outlook.com. O vigarista cria uma conta ricardo.menzer@outlook.com ou ricardomenze.r@outlook.com, que são ambas legítimas e distintas para o Outolook e faz seu cadastro na Netflix. Ele pode também usar riicardomenzer, ricardomennzer, etc. As possibilidades são muitas.
Ao receber o aviso de que o cartão não foi aceito ele copia a mensagem e envia para você. Ele pode usar o mesmo email parecido com o seu para tentar confundir você (de relance a mensagem parece ter sido enviada de você para você) ou criar outro como suporte.netflix@qualquercoisa. Não importa, pois todo esse trabalho só é necessário se o vigarista achar que a vítima vai se dar ao trabalho de olhar o código fonte da mensagem, porque se não olhar, pfff.
Como o email enviado pela Netflix tem um link com um token que dá acesso sem autenticação, não faz diferença.
O tipo de pessoa que não notaria que os dados de cartão informados não batem tem grande chance de também não notar que o email não veio da Netflix ou se notar, ignorar ao ver que o link para clicar vai parar realmente na Netflix.
O recurso do gmail apenas aumenta a aparência de autenticidade do golpe. Nada mais.
A Netflix não pedir credenciais para entrar na conta baseando-se apenas em um token em um link é mais um gesto de descaso gritante da empresa.
Mais uma coisa: para o suposto “golpe” funcionar o vigarista tem que também acertar qual o plano que você usa, para não dar um valor diferente e chamar a sua atenção.
Outra condição para que o golpe funcione é a operadora do cartão aceitar a transação. Ora, isso requer muito pouco: além dos números, para uma transação sem endereço de entrega apenas o nome impresso no cartão precisa bater. Então qualquer pessoa que tenha manuseado seu cartão sabe o necessário. E se sabendo disso você não confere todo mês sua fatura, tem um problema maior que o habilitado pelo descaso da Netflix.
Se não, me engano, no cadastro da Netflix você precisa colocar o código de segurança do cartão e o endereço da fatura também. Se algum deles não bater, a transação é recusada.
Nesse caso eu retiro o que disse. Faz sentido a operadora do cartão exigir o endereço correto da fatura em todas as transações.
Isso pode ou não dificultar esse golpe. Se a primeira coisa que Netflix mostrar for os os dados do cartão errado (o que é incerto, porque com essa falta de segurança ela poderia mostrar tudo no email que não faria qualquer diferença), a vítima vai ter mais uma chance de notar que há algo errado. Mas se já cair num formulário em branco não faz diferença pois é a vítima que vai preencher.
Uma coisa que me passou pela mente ontem e esqueci de mencionar: em teoria (o histórico da Netflix não inspira confiança) no momento que o vigarista criar a nova conta a vítima recebe uma mensagem como a primeira do meu post. Isso não pode ser evitado pelo vigarista (usando o gmail, como descrito por Fisher). O que dizer da atenção de alguém que também ignorou o fato de outra conta Netflix ter sido aberta em seu nome antes de receber um email para confirmar os dados do cartão?
No email de boas vindas a Neflix destaca o email da conta criada. Mas no email de cobrança isso não aparece. É possível alguém se confundir se a cobrança vier muito depois das boas-vindas? É. Mas é mais um obstáculo para o sucesso do golpe.
Notar que no meu cenário que não usa o gmail é até mais fácil o golpe funcionar, porque a vítima não recebe a mensagem de boas vindas.
É possível receber um email diretamente da Netflix mesmo sem usar o gmail. Esse cenário é muito mais provável que ocorra por acidente que por golpe, mas basta que você tenha uma conta na Netflix usando um endereço de email e criem uma conta usando outro endereço que também é seu. Quando o pagamento for recusado você vai receber um email legítimo da Netflix e basta não notar que veio pela conta errada (além de todos os outros sinais já enumerados por mim).
Estou tentando ler a discussão em Hacker News e apesar de muitos comentaristas parecerem ter lido um texto diferente do que eu li, surgiu uma sugestão interessante em uma das threads: o gmail deveria dar a opção de você poder desligar o recebimento de mensagens pelos “aliases” automaticos. Você ainda seria o dono de todos eles, mas mensagens enviadas para eles seriam rejeitadas. Uma opção mais avançada seria você poder escolher que aliases poderiam receber email.
Isso reduziria o risco por reduzir a quantidade de mensagens recebidas por erro.
Não sei explicar o motivo exato, mas vira e mexe eu recebo mensagens que são direcionadas a um advogado da região nordeste, com material até digamos sigiloso anexado. Eu vivia respondendo de volta dizendo que não era o tal doutor, e nunca obtive resposta. Até que me enchi e passei a marcar como spam.
Mas eu desconfio que isso tem justamente algo a ver com os “aliases automáticos” dos gmail.
Não… é não é golpe, eu tomei o cuidado de verificar o nome dos escritórios de advocacia que trocam as mensagens e as informações conferem, inclusive de alguns dos documentos que cheguei a abrir.
Somente hoje eu me dei conta de que isso poderia ser uma armadilha. Algum desafeto poderia abrir uma conta em meu nome usando um CC roubado na expectativa de me fazer responder por isso.
E a Netflix ainda hoje me manda emails pedindo para que eu “volte” a assinar o serviço que nunca assinei.