” NETFLIX: rechazo de pago, confirme su información dentro de las 24 horas o su cuenta será suspendida “. Desde principios de semana circula un gran clásico de los SMS fraudulentos (también llamados phishing o phishing): la estafa de la cuenta de Netflix. ¿El objetivo de los ladrones? Recuperando primero su información personal, luego sus datos bancarios, solo para dejarle la impresión de que simplemente ha restaurado su cuenta. La galeria mordió la estafa para usted.
¿Por qué se suplanta la identidad de Netflix?
El phishing de Netflix es muy común por dos razones. En primer lugar, puede llegar a un gran número de personas. En una entrevista publicado por el JDD este verano, el co-CEO de Netflix Ted Sarandos argumentó que la compañía tiene 10 millones de hogares franceses entre sus clientes. Teniendo en cuenta que cada cuenta es utilizada por varias personas y que algunas cuentas se comparten con personas ajenas al hogar, podemos estimar fácilmente que al menos 15 millones de franceses usan Netflix.
Esto es una bendición para los estafadores: envían masivamente su phishing a listas de números de teléfono comprados o encontrados gratis en foros ilegales, sin saber si pertenecen a suscriptores de Netflix. Pero dado que el servicio es tan popular, tienen más o menos una posibilidad entre seis de que el destinatario del mensaje se sienta preocupado por un posible problema con la cuenta. Entonces, el pretexto de Netflix permite introducir la cuestión del pago -y por tanto el ingreso de datos bancarios- sin despertar demasiadas sospechas.
Prisa, un truco de los ladrones
El phishing que circula en estos momentos utiliza un truco bien conocido por los estafadores: la urgencia. La idea es no hacer pensar demasiado a la víctima alegando que el destinatario del mensaje solo tiene 24 horas para actuar. Sin embargo, cuanto más se apresure la víctima a responder, menos se hará preguntas sobre la consistencia del escenario propuesto y menos notará detalles extraños como la dirección del sitio web o la gramática a veces dudosa de los mensajes. Incluso para las personas educadas en los conceptos básicos de ciberseguridad, unos minutos de descuido puede conducir a la pérdida de varios cientos o incluso miles de euros.
El llamado límite de tiempo también permite a los estafadores hacer tantas víctimas como sea posible antes de que se bloquee su sitio fraudulento. Muchos usuarios reportan enlaces fraudulentos a hosts que los eliminan (en su mayoría) rápidamente y, a veces, empresas cuya identidad es suplantada llevar a cabo este trabajo de seguimiento ellos mismos. Como resultado, es raro que un sitio fraudulento permanezca en línea por más de 48 horas.
En el caso que estamos estudiando, los estafadores utilizaron un acortador de enlaces, s.id, similar a bit.ly o cutt.ly para los más famosos, para redirigir a su sitio fraudulento. Este servicio tiene dos ventajas: oculta (en apariencia) la dirección del destino final y permite que el mensaje quepa por debajo de la barra de 160 caracteres que autoriza el formato SMS (más allá, el remitente tendría que pagar más). El problema es que muchas empresas legítimas también usan estos acortadores, por lo que los consumidores pueden no estar preocupados por un enlace bit.ly o s.id, cuando podrían desconfiar de “ netflix.ayuda-usuario.com »la dirección del sitio de destino.
Primera victoria de los estafadores, los identificadores
Una vez que se hace clic en el enlace, la víctima llega a una página de inicio de sesión muy similar a la del sitio oficial. Los ladrones incluso muestran un cartel falso hacia la aplicación. Como suele suceder, no se puede hacer clic en ninguno de los enlaces de la página, porque los delincuentes se contentan con reproducir la estética.
Introducimos identificadores falsos: email y contraseña. Esta es una primera victoria para los ladrones. Podrán vender el acceso a la cuenta de Netflix (por unos pocos euros) o acumular los identificadores y vender la lista en foros de hackers, si no ambas cosas. Dado que demasiadas personas continúan reutilizando los mismos inicios de sesión para varios sitios, los inicios de sesión de Netflix tienen valor incluso fuera de la plataforma.
Una vez (falsamente) conectado, el sitio muestra un mensaje de página completa: ” Querido) [La Tribune], nuestro sistema detectó una disputa de cargo relacionada con su suscripción a Netflix. En los siguientes días su cuenta será desactivada automáticamente. Si cree que esto fue un error de nuestra parte, infórmenos actualizando su información para reactivar su cuenta “. Un ojo agudo notará errores gramaticales, pero el gran botón rojo “ controlar » en la parte inferior de la página es suficiente para desviar la atención.
Dos formas de chupar datos
Después de hacer clic en el botón, el sitio nos envía a dos formularios sucesivos. En primer lugar, un formulario de actualización de datos personales, en el que se pide introducir apellido, nombre, fecha de nacimiento, dirección, ciudad, código postal y número de teléfono. Tantos datos que los estafadores pueden vender en lotes.
Luego, en un segundo paso, un formulario de actualización de datos bancarios, con número de tarjeta, nombre en la tarjeta, fecha de vencimiento y criptograma visual (CVV, el código de 3 dígitos en el reverso de la tarjeta). Los dos formularios están separados porque, en general, las víctimas tienen más preguntas cuando tienen que ingresar sus datos bancarios, lo que podría amenazar la recopilación de datos personales.
Si la víctima comunica sus datos bancarios, los delincuentes pueden explotarlos inmediatamente o revenderlos en el mercado negro según el modus operandi de los delincuentes.
Fin limpio al phishing para no despertar sospechas
En el caso que estudió La Tribuna, los ladrones se encargan de su salida. Después de validar los formularios, el sitio muestra el mensaje: ” Felicitaciones. Querido) [La Tribune], su cuenta ahora está activada y tiene acceso a todos nuestros servicios nuevamente. netflix te lo agradece “. Luego, después de 10 segundos, redirige a la víctima a netflix.com, el sitio web oficial de la compañía. El objetivo de esta maniobra: extinguir las sospechas de la víctima. Si se da cuenta de la estafa inmediatamente después de dar sus datos bancarios, los estafadores no tendrán tiempo de explotarlos, ya que habrá hecho una oposición en su tarjeta. Por otro lado, si olvida esta interacción, pueden pasar varios días antes de que se dé cuenta de que ha comunicado sus datos a las personas equivocadas.
Para evitar este tipo de trampas, es recomendable pasar siempre por la web oficial de la empresa (la que está en los primeros puestos de los principales buscadores como Google, Bing, Qwant o Duckduckgo). En concreto, si te contactan Netflix, La Poste, Ameli o Taxes, no vayas por los enlaces contenidos en los mensajes, sino por la aplicación o el sitio oficial. Del mismo modo, uno debe evitar apresurarse a recibir mensajes y siempre cuestionar la consistencia de la situación.
