Phishing activo suplanta identidad de Netflix para robar credenciales e información financiera

Analizamos una campaña de phishing activa que suplantan nuevamente la identidad de Netflix para robar credenciales de acceso a la cuenta, además de información financiera de las víctimas.
Si bien no es la primera vez que reportamos una campaña de ingeniería social en la que los cibercriminales hacen uso de la imagen de la Netflix para robar credenciales y datos de tarjetas de crédito de los usuarios, en esta oportunidad, además de alertar a los usuarios acerca de la existencia de esta nueva campaña, aprovechamos la ocasión para resaltar la importancia de analizar los certificados de seguridad en los distintos sitios que visitamos, ya que es una de las herramientas con las que cuentan los usuarios para verificar la autenticidad de los mismos.
Esta campaña de phishing comenzó con un correo que llegó a un colaborador de ESET Latinoamérica a través del cual se informaba que por motivos de falta de información en su cuenta o que la misma es incorrecta, la cuenta sería suspendida si no actuaba dentro de las próximas 72 hs. Un típico caso de ingeniería social en el que, además de hacer uso de la imagen de una marca conocida, los cibercriminales buscan manipular psicológicamente a las potenciales víctimas generando sensación de urgencia.
Imagen 1. Correo de phishing que llega a las potenciales víctimas.
Si bien a primera vista ya hay varios aspectos del correo que deberían funcionar como señal de alerta, a continuación, repasamos algunos de los mismos.
El remitente, a pesar de utilizar el nombre de la compañía, si analizamos detenidamente la dirección podemos corroborar que no se trata de un dominio oficial.
Imagen 2. La dirección del remitente nos permite corroborar que no se trata de un correo oficial.
La URL a la cual se invita a acceder (la misma puede observarse dejando el cursor del mouse sobre el botón o dejando presionado el dedo sobre el hipervínculo en un dispositivo móvil) cumple las mismas características: usar la marca como parte de un dominio que a su vez hace referencia a formularios de registro, aunque tampoco se trata de un sitio oficial.
Imagen 3. Análisis de la URL que incluye el correo que redirecciona a un sitio apócrifo.
Si un usuario desprevenido accede al sitio se encontrará con un portal idéntico al oficial.
Imagen 4. Falso sitio solicita a la potencial víctima iniciar sesión para robar credenciales de acceso del servicio.
Como se puede observar a la izquierda de la URL, el sitio posee un certificado SSL y el propio navegador le informa al usuario que está en un sitio de transferencia de información segura. Sin embargo, la información que ingrese la víctima viajará cifrada, pero al servidor del ciberdelincuente.

Información que busca robar la campaña

La campaña es bastante básica. Busca obtener las credenciales de ingreso y los datos de la tarjeta de crédito asociada.
Imagen 5. Instancia en la que solicita a la víctima ingresar los datos de su tarjeta de crédito o débito.
Una vez ingresada la información por parte del usuario, el mismo es redireccionado al sitio oficial, donde si prueba ingresar con sus credenciales lo hará sin problemas, dándole la tranquilidad de que la información que supuestamente faltaba ya fue verificada.
Imagen 6. Una vez ingresados los datos financieros la campaña redirecciona al sitio oficial.

La importancia de analizar los certificados

Retomando el tema de la importancia de revisar los certificados de los sitios a los que accedemos, antes de avanzar con el ingreso de información personal y sensible en un sitio determinado los usuarios deberíamos analizar el certificado del sitio. Esto se puede hacer haciendo doble clic en el candado y leyendo detenidamente la información del certificado.
Imagen 7. Información del certificado utilizado en el falso sitio donde en el campo de la organización no se especifica nada.
Como se puede observar en la Imagen 7, la organización no está declarada en el certificado. Si comparamos este campo con la información incluida en el certificado del sitio oficial de Netflix podemos comprobar la diferencia.
Imagen 8. Información del certificado en el sitio oficial de Netflix.
Como señalamos en la Imagen 8, el certificado oficial especifica el nombre de la empresa a la cual se le estarán enviando los datos. De esta manera, el usuario al menos tendrá la tranquilidad de que la información que suministra llega de manera segura a la empresa a la que quiere entregarlos y no a un tercero que solo busca hacerse de los mismos para luego utilizar los datos financieros tanto para su propio beneficio o para comercializarlos en el mercado negro.
Tras analizar con un poco más de profundidad la campaña verificamos que no se realizan otras acciones maliciosas, como podría ser la descarga de algún tipo de malware o la ejecución de algún código adicional que afectara los recursos de la máquina. Por lo tanto, podemos decir que se trata de una campaña que busca únicamente el robo de información personal.

Cómo evitar ser víctima de estos ataques

  • Siempre evitar acceder a enlaces que llegan inesperadamente por correo electrónico u otros medios.
  • Verificar la dirección del remitente y que coincida que con el servicio al que hace referencia.
  • Contar con una solución de seguridad, tanto en dispositivos de escritorio como en móviles, ya que sirven como barrera protectora ante estos sitios. En el caso de sospechar que pueda ser cierto el mensaje, ya sea porque es un usuario muy activo en esta u otra plataforma, se recomienda acceder a la misma de manera tradicional y verificar si todo está correcto o si eventualmente es necesario realizar un cambio de credenciales

Para más información recomendamos leer el artículo guía para evitar engaños en Internet.

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS