El objetivo del momento
Desde hace algunas semanas, los suscriptores del servicio SVOD de Netflix están recibiendo un correo electrónico en el que se les pide que actualicen sus datos. El correo parece provenir del servicio de asistencia técnica. Netflix es, de hecho, objeto de un ciberataque de phishing.
La trampa es bastante clásica y habitual: el mensaje informa a los usuarios de un problema de facturación y de que es necesario verificar y actualizar sus datos personales. Además, se añade la noción de urgencia: de hecho, el correo electrónico indica que, si no se responde en un plazo de 24 horas, se cerrará la cuenta de Netflix.
No es la primera vez que Netflix se enfrenta a este tipo de ciberataque por phishing. A finales de marzo de 2020, ya circulaba un correo electrónico de phishing similar.
Por otra parte, la técnica y el proceso están muy bien rodados: este correo electrónico fraudulento contiene un enlace que redirige a un sitio espejo de la plataforma de streaming. Antes de acceder al sitio, el enlace de redireccionamiento lleva al usuario a una ventana CAPTCHA. Confiado, el usuario rellena el formulario creado y gestionado por los hackers: datos de conexión, teléfono, datos de la tarjeta bancaria... ¡todo está ahí! Finalmente, el usuario accede realmente al sitio web oficial.
Sin que nadie lo vea ni se dé cuenta: ¡el pirata informático viene a hackearlo!
Sin embargo, el único indicio que puede despertar sospechas es la dirección URL. ¡Pero hay que estar atento!
¿Cómo detectar el phishing? El ejemplo de Netflix
Netflix es un ejemplo que reúne todas las características estándar de una campaña de phishing:
- Llamada a la acción (haga clic aquí);
- Concepto de urgencia (24 horas para responder);
- Carácter punitivo («si no responde, se cancelará su suscripción»);
- Enlace corrupto;
- Dirección URL incorrecta;
- Sitio espejo;
- Abuso de confianza;
- Recuperación de datos personales.
Toda esta información puede ser utilizada por los hackers para piratear a una persona tanto en su entorno personal como en el profesional.
Imaginemos las consecuencias si el usuario tiene la costumbre de mezclar sus usos profesionales y personales. Por otra parte, recordemos que aquí se trata de ingeniería social y que esto puede tener consecuencias desastrosas. Por eso es fundamental sensibilizar a los usuarios sobre las buenas prácticas que deben adoptar para evitar las trampas del phishing.
