Forscher von Bitdefender warnen vor einer oft unterschätzten Konsequenz von Phishing-Angriffen, die Netflix imitieren: Wer sein Streaming-Passwort auf einer gefälschten Login-Seite eingibt, gefährdet möglicherweise nicht nur das eigene Konto, sondern auch seinen Arbeitgeber — etwa wenn dasselbe Passwort beruflich wiederverwendet wird oder kompromittierte Geräte Zugang zu Unternehmensnetzwerken haben.
„Das Netflix-Konto ist nur der Ausgangspunkt. Es ist nicht das endgültige Ziel“, so Bitdefender. „Die meisten Menschen verwenden Passwörter auf mehreren Plattformen wieder. Hacker nutzen dies aus, indem sie automatisierte Angriffe starten, die als Credential Stuffing bekannt sind. Dabei testen sie Ihre gestohlenen Anmeldedaten bei anderen Diensten wie E-Mail-Konten, Banking-Apps und Online-Shops. Wenn dasselbe Passwort auch anderswo funktioniert, erhalten Angreifer Zugriff auf weitaus wertvollere Konten.“
Erbeutete Zugangsdaten bleiben selten auf einen Dienst beschränkt — Credential Stuffing macht daraus eine Bedrohung, die sich durch das gesamte digitale Leben eines Nutzers ziehen kann.
„Mithilfe automatisierter Tools testen Angreifer dieselbe E-Mail-Passwort-Kombination bei Diensten wie Zahlungsplattformen, E-Commerce-Websites, Unternehmens-VPNs und vielem mehr“, schreiben die Forscher. „Es besteht auch die reale Gefahr, dass man sein Netflix-Passwort bei einer gefälschten Website eingibt und Angreifern dadurch Zugang zur Infrastruktur des Unternehmens gewährt, weil man dort dasselbe Passwort verwendet. Selbst wenn nur ein kleiner Prozentsatz dieser Versuche erfolgreich ist, erhalten Angreifer Zugriff auf deutlich wertvollere Konten. In manchen Fällen kann ein einziger Phishing-Vorfall zu einer vollständigen Kompromittierung der digitalen Identität einer Person führen.“
Bitdefender gibt folgende Ratschläge, damit Nutzer nicht auf diese Angriffe hereinfallen:
- „Wenn eine E-Mail zu schnellem Handeln drängt oder eine ungewöhnliche Belohnung verspricht, sollte man kurz innehalten, bevor man auf etwas klickt. Anstatt den angegebenen Link zu verwenden, sollte man Netflix direkt im Browser oder in der App öffnen und sein Konto von dort aus überprüfen.
- Für Netflix und jeden anderen Dienst sollte ein einzigartiges Passwort verwendet werden. Allein dieser Schritt kann verhindern, dass sich Credential-Stuffing-Angriffe über ein einzelnes Konto hinaus ausbreiten.
- Die Zwei-Faktor-Authentifizierung, sollte immer aktiviert werden, wo immer möglich, insbesondere für E-Mail-Konten. Da E-Mail-Adressen als zentrale Schnittstelle für das Zurücksetzen von Passwörtern dienen, verringert der Schutz dieser das Risiko erheblich.“
Bitdefender hat die ganze Geschichte: Phishing-Betrug bei Netflix: Gefährlicher als man denkt

