Il bersaglio del momento
Da alcune settimane, gli abbonati al servizio SVOD di Netflix stanno ricevendo un'e-mail in cui viene richiesto loro di aggiornare i propri dati. Il messaggio finge di provenire dall'assistenza clienti. Netflix è infatti vittima di un attacco informatico di tipo phishing.
La truffa è piuttosto classica e diffusa: il messaggio informa gli utenti di un problema di fatturazione e della necessità di verificare e aggiornare i propri dati personali. A ciò si aggiunge inoltre un senso di urgenza: l'e-mail indica infatti che, in assenza di una risposta entro 24 ore, l'account Netflix verrà chiuso.
Non è la prima volta che Netflix deve affrontare questo tipo di attacco informatico tramite phishing. Già alla fine di marzo 2020 circolava un'e-mail di phishing dello stesso tipo.
La tecnica e la procedura sono, del resto, ben collaudate: questa e-mail fraudolenta contiene un link che reindirizza a un sito mirror della piattaforma di streaming. Prima di accedere al sito, il link di reindirizzamento porta l'utente a una finestra CAPTCHA. Fiducioso, l'utente compila il modulo creato e gestito dagli hacker: credenziali di accesso, numero di telefono, dati della carta di credito... c'è proprio tutto! Infine, l'utente raggiunge effettivamente il sito ufficiale.
Come se nulla fosse: l'hacker è già all'opera!
L'unico indizio che può, tuttavia, destare sospetti è l'indirizzo URL. Ma bisogna comunque stare attenti!
Come riconoscere il phishing? L'esempio di Netflix
Netflix è un esempio che riunisce tutte le caratteristiche tipiche di una campagna di phishing:
- Invito all'azione (clicca qui);
- Concetto di urgenza (24 ore per rispondere);
- Tono punitivo («se non rispondete, il vostro abbonamento verrà annullato»);
- Link non funzionante;
- Indirizzo URL errato;
- Sito mirror;
- Abuso di fiducia;
- Recupero dei dati personali.
Tutte informazioni che gli hacker possono sfruttare per violare l'account di una persona sia nella sfera privata che in quella professionale.
Immaginate le conseguenze se l'utente è solito mescolare l'uso professionale con quello personale. Del resto, ricordiamo che in questo caso si tratta di ingegneria sociale e che ciò può avere conseguenze disastrose. Ecco perché è fondamentale sensibilizzare gli utenti sulle buone pratiche da adottare per evitare le insidie del phishing.
