El Indeleble

Recientemente, surgió una campaña de phishing que suplanta la identidad de Netflix con el fin de robar los datos de los usuarios, entre ellos, los de sus tarjetas bancarias.

ESET, compañía de detección proactiva de amenazas cibernéticas, analizó esta campaña. Además de repasar la evolución de este tipo de ataques durante el año.

Esta campaña, que se encuentra activa, se distribuye por medio de un correo electrónico cuyo asunto es “Alerta de notificación”.

En el cuerpo del correo, el mensaje informa a la potencial víctima sobre una supuesta deuda acumulada que llevará a la suspensión del servicio si no se toma acción rápida.

Imagen 1. Correo que llega a las potenciales víctimas con un supuesto retraso en el pago del servicio.

Tal como se puede observar en la Imagen 1 los operadores detrás del engaño apelan a la inmediatez de la acción.

Es importante señalar que Netflix es una marca muy utilizada por los cibercriminales para campañas de suplantación de identidad.

Si bien el correo no presenta nada nuevo en cuanto al modus operandi, es un buen ejemplo para repasar las principales señales que deberían despertar nuestra sospecha en caso de recibir un mensaje de este tipo:

Dirección del remitente

Como se aprecia en la Imagen 2, no incluye el nombre de la empresa que dice representar, y la dirección de correo no tiene ningún tipo de relación con el nombre de la marca. Todo indicaría que se trata de una cuenta de correo que fue comprometida para ser utilizada para el envío del spam malicioso.

Imagen 2. Dirección de correo del remitente no tiene relación con el dominio oficial de Netflix.

Enlace en el cuerpo del correo

Otro elemento clave y que prácticamente confirma que estamos ante un engaño es la URL detrás del botón “ACTUALICE SUS DETALLES DE PAGO”.

Podemos desplegar esta información posicionando el puntero sobre el botón, o bien, en caso de abrir el correo desde un dispositivo móvil, al mantener presionado el botón, sin soltar rápidamente, se podrá previsualizar la dirección a la cual se accede en caso de hacer clic.

Como se aprecia en la siguiente imagen, el enlace muestra que tampoco se trata de un sitio oficial o registrado por la marca.

Imagen 3. Detalles de la dirección web que se esconde detrás del botón con el call to action.

Análisis de la campaña

Como se puede observar en la Imagen 4, el engaño es simple: busca robar los datos financieros de las víctimas al solicitar que se reingresen los números completos del medio de pago utilizado o de una nueva tarjeta de crédito.

Otra señal que debería alertar al usuario en caso de haber llegado hasta acá es que el texto en esta página está en inglés, cuando el mensaje original fue en español.

Imagen 4. Al hacer clic en el botón rojo la víctima es dirigida a esta página que solicita ingresar información personal.

En caso de que la víctima caiga en la trampa e ingrese la información, luego de confirmar sus datos se encontrará con un mensaje, nuevamente en inglés, que indica que su cuenta fue reactivada.

Imagen 5. Luego de ingresar los datos financieros se indica a la víctima que se restableció el acceso al servicio.

Una vez que el usuario haga clic en el botón “Continuar”, será dirigido a la página oficial de Netflix (sitio que cuenta con un certificado SSL válido y a nombre de la empresa), pero esta vez sí en español.

Si la víctima llega hasta aquí sin haberse percatado del engaño, quizás no se haya dado cuenta tampoco de que, como parte del engaño, fue dirigida al sitio legítimo para que el usuario intente acceder y de esta manera corrobore que la cuenta no está bloqueada.

Imagen 6. Información del certificado del sitio oficial de Netflix que detalla el nombre de la compañía.

Esta información está disponible para cualquier usuario que haga clic en el candado ubicado a la izquierda en la barra de direcciones y aclara que el certificado fue emitido a nombre de Netflix, confirmando la legitimidad del sitio.

“Como siempre decimos: ante la más mínima duda sobre la legitimidad de un correo, nunca debemos hacer clic en el enlace que se incluye en un mensaje que llega de manera inesperada”, señaló Luis Lubeck.

Crecimiento en las detecciones de phishing en lo que va de 2020

Como se puede observar en la Imagen 7, no solo se puede ver un leve aumento entre enero y julio de este año, sino también un aumento de más de 600% en comparación con el mismo período del año 2019.

Imagen 7. Comparativa entre las detecciones de phishing en América Latina durante los primeros siete meses del 2019 y el mismo período de 2020, confirma un crecimiento importante en lo que va de este 2020.

Comentarios de Facebook