Desconfía si Netflix te pide actualizar datos bancarios
Una compañía de seguridad descubre una serie de correos electrónicos falsos dirigidos a usuarios de Netflix.
¿Eres usuario y por tanto suscriptor de Netflix? ¿Has recibido un extraño email que te pide actualizar los datos bancarios en menos de 24 horas o perderás la cuenta? Ignóralo y bórralo directamente, porque ese correo electrónico no viene de Netflix, sino de una campaña Phishing diseñada para robarte los datos bancarios.
Armorblox
Descubierta por la compañía experta en ciberseguridad Armorblox, la campaña se basa en un email que firma provenir de Netflix Support, informando a los lectores de un problema de facturación debido a un fallo en la verificación de los datos personales. El correo electrónico señala que la suscripción del objetivo se cancelará si no actualizan sus datos en 24 horas, lo que aumenta la sensación de urgencia.
Cuando el usuario hace clic en el enlace, es conducido/a a un sitio web similar a Netflix con un flujo de phishing que le pide que introduzca
- Credenciales de acceso a Netflix
- Dirección de facturación
- Detalles de la tarjeta de crédito
Una vez completado, el usuario/a es redirigido a la verdadera página de inicio de Netflix, sin que nadie se de cuenta de que ya está comprometido y los hackers se han quedado sus datos. ¿Por qué hay quien ha picado? Por la forma en que está estudiado el engaño y los elementos usados. Por ejemplo:
El uso de un CAPTCHA funcional
Al hacer clic en el enlace del correo electrónico, los objetivos son llevados primero a una página CAPTCHA plenamente operativa con una sutil marca de Netflix (fondo negro, botones rojos). Al introducir la secuencia alfanumérica correcta, los usuarios son transportados al sitio principal de phishing.
Una página CAPTCHA en funcionamiento hace que toda la comunicación parezca más legítima. La inclusión del CAPTCHA también hace más difícil que las tecnologías de seguridad que dependen sólo de las capacidades de redireccionamiento de URL sigan el URL hasta su destino final.
Dominios legítimos
Ambas páginas de phishing en este ataque, la página de CAPTCHA y el sitio similar a Netflix, fueron alojadas en dominios web legítimos:
- La URL de la página CAPTCHA era 'https[:]//wyominghealthfairs[.]com/cpresources/d3835d8b/1/', que ahora lleva a una página de error
- El dominio principal de esta URL - wyominghealthfairs[.]com - pertenece a una organización real que no está relacionada con Netflix o el ataque en general.
- El sitio web falso de Netflix está alojado en el dominio 'axxisgeo[.]com', que pertenece a una compañía de petróleo y gas con sede en Texas. Este dominio tampoco está relacionado con Netflix y el ataque.
Al alojar páginas de phishing en dominios legítimos, los atacantes pueden evadir los controles de seguridad basados en la protección de URL/enlaces y superar los filtros que bloquean los dominios malos conocidos. Es probable que los atacantes hayan explotado las vulnerabilidades del servidor web o de los sistemas de gestión de contenidos (CMS) para alojar estas páginas en los dominios principales legítimos sin que los administradores del sitio web lo sepan.
Un sitio web falso pero parecido visualmente
La web falsa que simula la pantalla principal de Netflix se parece a la página de inicio de sesión de Netflix. Pero tras una inspección más detallada, es evidente que el dominio principal no es 'Netflix[.]com' y que todos los enlaces ('¿Necesitas ayuda?', 'Entra con Facebook', 'Regístrate ahora') de la página sólo recargan la misma página de nuevo. Pero los atacantes cuentan precisamente "con que la gente caiga presa de la similitud superficial del sitio de phishing con el sitio web de Netflix".
El engaño para los usuarios sigue con la interfaz falsa y las siguientes páginas, las que piden actualizar la información de facturación y de tarjeta de crédito respectivamente. Las siguientes pantallas se parecen mucho a las que se ve en la web real de Netflix. Y es esta legitimidad superficial la que permite a los atacantes recoger las direcciones de facturación y los datos de las tarjetas de crédito de los usuarios afectados, además de los datos de sus cuentas Netflix.
Una vez cumplidos todos los pasos, el timo phishing termina con un mensaje de "éxito" y una redirección automática a la verdadera página web de Netflix. Esta redirección puede hacer que la gente se extrañe un poco y vuelva a entrar en Netflix (pero esta vez de verdad), sin saber que acaban de ser víctimas de una estafa.