Forscher von Bitdefender warnen vor einer oft unterschätzten Konsequenz von Phishing-Angriffen, die Netflix imitieren: Wer sein Streaming-Passwort auf einer gefälschten Login-Seite eingibt, gefährdet möglicherweise nicht nur das eigene Konto, sondern auch seinen Arbeitgeber — etwa wenn dasselbe Passwort beruflich wiederverwendet wird oder kompromittierte Geräte Zugang zu Unternehmensnetzwerken haben.
„Das Netflix-Konto ist nur der Ausgangspunkt. Es ist nicht das endgültige Ziel“, so Bitdefender. „Die meisten Menschen verwenden Passwörter auf mehreren Plattformen wieder. Hacker nutzen dies aus, indem sie automatisierte Angriffe starten, die als Credential Stuffing bekannt sind. Dabei testen sie Ihre gestohlenen Anmeldedaten bei anderen Diensten wie E-Mail-Konten, Banking-Apps und Online-Shops. Wenn dasselbe Passwort auch anderswo funktioniert, erhalten Angreifer Zugriff auf weitaus wertvollere Konten.“
Erbeutete Zugangsdaten bleiben selten auf einen Dienst beschränkt — Credential Stuffing macht daraus eine Bedrohung, die sich durch das gesamte digitale Leben eines Nutzers ziehen kann.
„Mithilfe automatisierter Tools testen Angreifer dieselbe E-Mail-Passwort-Kombination bei Diensten wie Zahlungsplattformen, E-Commerce-Websites, Unternehmens-VPNs und vielem mehr“, schreiben die Forscher. „Es besteht auch die reale Gefahr, dass man sein Netflix-Passwort bei einer gefälschten Website eingibt und Angreifern dadurch Zugang zur Infrastruktur des Unternehmens gewährt, weil man dort dasselbe Passwort verwendet. Selbst wenn nur ein kleiner Prozentsatz dieser Versuche erfolgreich ist, erhalten Angreifer Zugriff auf deutlich wertvollere Konten. In manchen Fällen kann ein einziger Phishing-Vorfall zu einer vollständigen Kompromittierung der digitalen Identität einer Person führen.“
Bitdefender gibt folgende Ratschläge, damit Nutzer nicht auf diese Angriffe hereinfallen:
Bitdefender hat die ganze Geschichte: Phishing-Betrug bei Netflix: Gefährlicher als man denkt