Desconf��a si Netflix te pide actualizar datos bancarios

Una compa?��a de seguridad descubre una serie de correos electr��nicos falsos dirigidos a usuarios de Netflix.

Actualizado a 30 de julio de 2020 16:17 CEST

?Eres usuario y por tanto suscriptor de Netflix? ?Has recibido un extra?o email que te pide actualizar los datos bancarios en menos de 24 horas o perder��s la cuenta? Ign��ralo y b��rralo directamente, porque ese correo electr��nico no viene de Netflix, sino de una campa?a Phishing dise?ada para robarte los datos bancarios.

Armorblox

Descubierta por la compa?��a experta en ciberseguridad Armorblox, la campa?a se basa en un email que firma provenir de Netflix Support, informando a los lectores de un problema de facturaci��n debido a un fallo en la verificaci��n de los datos personales. El correo electr��nico se?ala que la suscripci��n del objetivo se cancelar�� si no actualizan sus datos en 24 horas, lo que aumenta la sensaci��n de urgencia.

Cuando el usuario hace clic en el enlace, es conducido/a a un sitio web similar a Netflix con un flujo de phishing que le pide que introduzca

- Credenciales de acceso a Netflix

- Direcci��n de facturaci��n

- Detalles de la tarjeta de cr��dito

Una vez completado, el usuario/a es redirigido a la verdadera p��gina de inicio de Netflix, sin que nadie se de cuenta de que ya est�� comprometido y los hackers se han quedado sus datos. ?Por qu�� hay quien ha picado? Por la forma en que est�� estudiado el enga?o y los elementos usados. Por ejemplo:

El uso de un CAPTCHA funcional

La falsa web principal de Netflix. Fijáos en la dirección URL de arriba

Al hacer clic en el enlace del correo electr��nico, los objetivos son llevados primero a una p��gina CAPTCHA plenamente operativa con una sutil marca de Netflix (fondo negro, botones rojos). Al introducir la secuencia alfanum��rica correcta, los usuarios son transportados al sitio principal de phishing.

Una p��gina CAPTCHA en funcionamiento hace que toda la comunicaci��n parezca m��s leg��tima. La inclusi��n del CAPTCHA tambi��n hace m��s dif��cil que las tecnolog��as de seguridad que dependen s��lo de las capacidades de redireccionamiento de URL sigan el URL hasta su destino final.

Dominios leg��timos

Ambas p��ginas de phishing en este ataque, la p��gina de CAPTCHA y el sitio similar a Netflix, fueron alojadas en dominios web leg��timos:

- La URL de la p��gina CAPTCHA era 'https[:]//wyominghealthfairs[.]com/cpresources/d3835d8b/1/', que ahora lleva a una p��gina de error

- El dominio principal de esta URL - wyominghealthfairs[.]com - pertenece a una organizaci��n real que no est�� relacionada con Netflix o el ataque en general.

- El sitio web falso de Netflix est�� alojado en el dominio 'axxisgeo[.]com', que pertenece a una compa?��a de petr��leo y gas con sede en Texas. Este dominio tampoco est�� relacionado con Netflix y el ataque.

Al alojar p��ginas de phishing en dominios leg��timos, los atacantes pueden evadir los controles de seguridad basados en la protecci��n de URL/enlaces y superar los filtros que bloquean los dominios malos conocidos. Es probable que los atacantes hayan explotado las vulnerabilidades del servidor web o de los sistemas de gesti��n de contenidos (CMS) para alojar estas p��ginas en los dominios principales leg��timos sin que los administradores del sitio web lo sepan.

Un sitio web falso pero parecido visualmente

La web falsa que simula la pantalla principal de Netflix se parece a la p��gina de inicio de sesi��n de Netflix. Pero tras una inspecci��n m��s detallada, es evidente que el dominio principal no es 'Netflix[.]com' y que todos los enlaces ('?Necesitas ayuda?', 'Entra con Facebook', 'Reg��strate ahora') de la p��gina s��lo recargan la misma p��gina de nuevo. Pero los atacantes cuentan precisamente "con que la gente caiga presa de la similitud superficial del sitio de phishing con el sitio web de Netflix".

El enga?o para los usuarios sigue con la interfaz falsa y las siguientes p��ginas, las que piden actualizar la informaci��n de facturaci��n y de tarjeta de cr��dito respectivamente. Las siguientes pantallas se parecen mucho a las que se ve en la web real de Netflix. Y es esta legitimidad superficial la que permite a los atacantes recoger las direcciones de facturaci��n y los datos de las tarjetas de cr��dito de los usuarios afectados, adem��s de los datos de sus cuentas Netflix.

Una vez cumplidos todos los pasos, el timo phishing termina con un mensaje de "��xito" y una redirecci��n autom��tica a la verdadera p��gina web de Netflix. Esta redirecci��n puede hacer que la gente se extra?e un poco y vuelva a entrar en Netflix (pero esta vez de verdad), sin saber que acaban de ser v��ctimas de una estafa.