Gmail in preveranti: pike so pomembne
Matej Huš
7. feb 2019 ob 08:47:07
Gmail ima že dobrih deset let ne preveč znano, a nikakor skrito funkcijo zanemarjanja pik. V elektronskih naslovih sicer lahko imamo piko, a jo Gmail ignorira. V resnici jih je lahko več, a bodo vsa sporočila letela na isti naslov. Tako so ime.priimek@gmail.com, imepriimek@gmail.com ali ime.pri.imek@gmail.com vse isti aliasi. To možnost številni uporabniki s pridom uporabljajo pri registraciji na preizkusne brezplačne strani (denimo v časnike, ki mesečno ponujajo omejeno kvoto brezplačnih člankov), saj lahko z istim elektronskim predalom registrirajo navidezno različne elektronske naslove.
V zadnjem času pa so omenjeno nestandardno funkcijo, ki je večina ostalih ponudnikov nima, začeli izrabljati prevaranti. Eden izmed načinov zlorabe je registracija na Netflixu. Če ugotovijo, da ima ime.priimek@gmail.com registriran račun pri Netflixu, registrirajo svoj račun pri Netflixu z naslovom imepriimek@gmail.com. To lahko storijo, ker Netflix ne preverja veljavnosti elektronskega predala (prevarant nima dostopa do tega elektronskega predala). Potem prevarant vnese številko kreditne kartice za enkratno uporabo, zažene Netflix, ki preveri veljavnost kartice, nato pa kartico prekliče. Ko bo čez nekaj tednov Netflix poizkusil zaračunati ogledano, bo številka kartice neveljavna. Poslal bo elektronsko pošto na imepriimek@gmail.com, do katerega ima seveda dostop prvotni legitimni uporabnik. Če ta ne bo pozoren, bo mislil, da je res nekaj narobe z njegovimi podatki, zato bo vnesel številko svoje kreditne kartice.
To pa ni edini način, kjer je mogoče Googlovo piko zlorabiti. Včasih predvsem olajša večje prevare, saj se prevarantom ni treba truditi z registracijo več elektronskih predalov, temveč preprosto uporabijo enega, ki mu dodajajo pike. Večina storitev namreč to razume kot različne naslove, čeprav pošta leti skupaj. Ena skupina prevarantov je na tak način uspela pridobiti 48 kreditnih kartic pri štirih ameriških bankah in ustvariti 65.000 dolarjev škode. Načinov je še več, denimo oddaja lažnih davčnih napovedi, pošiljanje zahtevkov o spremembi naslova na pošto itd.
Mimogrede, Gmail ima še dve podobni funkciji. Vse, kar sledi znaku + v elektronskem naslovu, Gmail ignorira. Tako je naslov ime.priimek+prodaja@gmail.com povsem enak kot janeznovak@gmail.com.Prav tako pa zaradi težav z imenom v nekaterih državah domena googlemail.com še vedno preusmerja pošto na gmail.com.