Analizamos una nueva campaña de phishing activa en la que se suplanta nuevamente la identidad de la plataforma de streaming Netflix con la intención de robar datos de los usuarios. Además, repasamos la evolución de este tipo de ataques durante el año.

Esta campaña en particular se distribuye a través del correo electrónico y dice en el asunto “Alerta de notificación”. En el cuerpo del correo, el mensaje informa acerca de una supuesta deuda acumulada por parte de la potencial víctima que llevará a la suspensión del servicio si no se toma acción rápida.

Imagen 1. Correo que llega a las potenciales víctimas que hace referencia a un supuesto retraso en el pago del servicio

Tal como se puede observar en la Imagen 1, además de suplantar la identidad de Netflix, una marca muy utilizada por los cibercriminales para campañas de suplantación de identidad, probablemente por la gran cantidad de usuarios que tiene este servicio, se puede apreciar que los operadores detrás del engaño apelan a la inmediatez de la acción.

Si bien el correo no presenta nada nuevo en cuanto al modus operandi, es un buen ejemplo para repasar las principales señales que deberían despertar nuestra sospecha en caso de recibir un mensaje de este tipo.

Dirección del remitente

Como se aprecia en la Imagen 2, si bien se incluye el nombre de la empresa que dice representar, la dirección de correo no guarda ningún tipo de relación con el nombre de la marca. Todo indicaría que se trata de una cuenta de correo que fue comprometida para ser utilizada para el envío del spam malicioso.

Imagen 2. Dirección de correo del remitente no tiene relación con el dominio oficial de Netflix

Enlace en el cuerpo del correo

Otro elemento clave y que prácticamente confirma que estamos ante un engaño es la URL detrás del botón “ACTUALICE SUS DETALLES DE PAGO”. Podemos ver esta información posicionando el puntero del ratón sobre el botón o bien, en caso de abrir el correo desde un dispositivo móvil, manteniendo presionado el botón, sin soltar rápidamente, se podrá previsualizar la dirección a la cual accederá en caso de hacer clic. Como se aprecia en la siguiente imagen, el enlace muestra que tampoco se trata de un sitio oficial o registrado por la marca.

Imagen 3. Detalles de la dirección web que se esconde detrás del botón con el call to action

Análisis de la campaña

Tal como se puede observar en la Imagen 4, el engaño es simple: busca robar los datos financieros de las víctimas al solicitar que se reingresen los números completos del medio de pago utilizado o de una nueva tarjeta de crédito. Otra señal que debería alertar al usuario en caso de haber llegado hasta acá es que el texto en esta página está en inglés, cuando el mensaje original fue en español.

Imagen 4. Al hacer clic en el botón rojo la víctima es dirigida a esta página que solicita ingresar información personal

En caso de que la víctima caiga en la trampa e ingrese la información, luego de confirmar sus datos se encontrará con un mensaje, nuevamente en inglés, que indica que su cuenta fue reactivada.

Imagen 5. Luego de ingresar los datos financieros se indica a la víctima que se reestableció el acceso al servicio

Una vez que el usuario hace clic en el botón “Continuar”, será dirigido a la página oficial de Netflix (sitio que cuenta con un certificado SSL valido y a nombre de Netflix), pero esta vez sí en español. Si la víctima llega hasta aquí sin haberse percatado del engaño, quizás no se haya dado cuenta tampoco de que, como parte del engaño, fue dirigida al sitio legítimo para que el usuario intente acceder y de esta manera corroborar que la cuenta no está bloqueada.

Imagen 6. Información del certificado del sitio oficial de Netflix que detalla el nombre de la compañía

Esta información está disponible para cualquier usuario que haga clic en el candado ubicado a la izquierda en la barra de direcciones y aclara que el certificado fue emitido a nombre de Netflix, confirmando la legitimidad del sitio.

Crecimiento en las detecciones de phishing en lo que va de 2020

Como se puede observar en la Imagen 7, no solo se puede ver un leve aumento entre enero y julio de este año, sino también un aumento de más del 600% en comparación con el mismo período para el año 2019.

Imagen 7. Comparativa entre las detecciones de phishing en América Latina durante los primeros siete meses del 2019 y el mismo período de 2020 confirma un crecimiento importante en lo que va de este 2020.

Estos valores no hacen mas que demostrar que las campañas de ingeniería social y de phishing siguen estando muy activas y que es importante contar con soluciones de seguridad en todos los dispositivos que se utilicen, incluyendo los móviles, para de esta manera alertar a los usuarios en caso de acceder a un sitio web de dudosa procedencia.

Recomendaciones de seguridad

Como siempre decimos, ante la más mínima duda sobre la legitimidad de un correo, nunca debemos hacer clic en el enlace que se incluye en un mensaje que llega de manera inesperada. Sobre todo, sin antes verificar su procedencia y comprobar que sea de un sitio oficial. Por otra parte, si usted fue víctima de este engaño y compartió su información personal, recomendamos modificar sus credenciales de acceso en el sitio y en aquellos en los que utilice las misma contraseña, y comunicarse con su entidad financiera a la brevedad en caso de haber ingresado datos de tarjetas de crédito o débito.