Phishing en Netflix y demás

Analizamos algunos ejemplos típicos de cebo de phishing para los cinéfilos.

Las películas y las series de televisión han sido una fuente importante de comodidad para muchos en estos tiempos de COVID, y la cantidad de programas nuevos en Netflix, Amazon Prime y otras se ha elevado. No obvies las medidas de seguridad básicas cuando busques el éxito más reciente ya que podrías descubrir que alguien más lo disfruta a costa tuya, o lo que es peor, que el dinero de tu cuenta bancaria se ha evaporado.

Sabemos que es más divertido decidir qué ver que meterse en los ajustes de seguridad, pero los atacantes están listos y a la espera de extraer tu información personal y de pago.

Cebo para phishing

Los servicios de streaming ofrecen varios planes de pago, pero en general, todos requieren que pagues con una tarjeta de crédito. Y donde hay detalles de tarjetas, hay phishing. Además, los novatos y los titulares de cuenta experimentados podrían enfrentarse a diferentes cebos. Recopilamos algunos ejemplos de usuarios que aceptaron compartir su información de amenazas.

“Subscribe now!”

Para iniciar sesión en un servicio de streaming, necesitas una dirección de correo electrónico valida; y para pagar, necesitas algún tipo de pago en línea como una tarjeta de crédito o cuenta de PayPal. (Si planeas ver Apple TV, también necesitas una ID de Apple).

No sorprende que los cibercriminales hayan creado páginas de inicio de sesión para atrapar todo esos regalitos de una sola vez. Si se arman con tu información, pueden retirar o gastar tu dinero de inmediato; tu dirección de correo electrónico les vendrá bien para ataques en el futuro.

En el ejemplo a continuación, el sitio falso no es muy convincente. ¿Puedes detectar las señales de phishing?

Página de inicio de sesión falsa de Netflix

Página de inicio de sesión falsa de Netflix

 

“Refresh data”

Si ya cuentas con una suscripción pagada, entonces los atacantes amenazarán con bloquearla, asumiendo, claro, que tú la valoras. Este es un correo electrónico de “amigos en Netflix”, en donde se le dice al destinatario que actualice o confirme los detalles del pago o si no cerrarán su cuenta. E incluye un gran botón rojo. No te apresures a hacer clic en él;  ¿recuerdas lo que sucede en las películas cuando aprietan el gran botón rojo?

“Dear costumer, please update your account”

 

El enlace te lleva a una página de confirmación de pago.

Sabemos que muchos mensajes de phishing contienen errores obvios como dirigirse a los “costumers” (cliente, en inglés, pero con un error ortográfico), pero el formato a continuación es un ejemplo de que sí parece viable. No tiene errores ortográficos o elementos de diseño extraños, pero el usuario que no preste atención y caiga en la trampa podría perder dinero de su cuenta bancaria.

Sitio web falso de Netflix que invita a ingresar datos personales y bancarios, supuestamente para la reactivación de la cuenta

Sitio web falso de Netflix que invita a ingresar datos personales y bancarios, supuestamente para la reactivación de la cuenta

 

Un estreno peligroso

En el ejemplo a continuación, los cibercriminales utilizaron programas populares para atraer a los fans que no tenían suscripciones. Les ofrecen la oportunidad de ver estos programas en el sitio web falso.

Esta página no oficial invita a los fans a ver o descargar The Mandalorian

Esta página no oficial invita a los fans a ver o descargar The Mandalorian

 

Como tentempié, muestran un clip corto, el cual a veces tratan de hacer pasar como un episodio nuevo, nunca antes visto. Con mucha frecuencia, solo es un recorte de escenas que ya llevan tiempo en el dominio público. Después, se pide a las víctimas intrigadas que compren una suscripción de bajo costo para seguir viendo. Lo que sigue es el escenario clásico: cualquier detalle de pago que los usuarios ingresen llega directamente a los maleantes, y el episodio nunca antes visto se queda así.

Ya no es tu cuenta

Los cibercriminales están interesados en más que detalles de la cuenta bancaria; las credenciales de la cuenta para servicios de streaming también son de alta demanda. Debido a que las cuentas secuestradas con suscripciones de paga se venden en la dark web, podrías iniciar sesión un día y descubrir que alguien más ya está ahí.

Después de todo, dependiendo de tu plan de Netflix, puedes reproducir en 1 a 4 dispositivos al mismo tiempo, y los cibercriminales pueden vender tus credenciales de inicio de sesión a muchos usuarios. Esto significa que tal vez un día termines haciendo fila hasta que algún extraño decida cerrar la sesión.

Esta página de inicio de sesión falsa de Netflix se ve justo como la real

Esta página de inicio de sesión falsa de Netflix se ve justo como la real

 

Pero esto tampoco es todo: muchas personas utilizan la misma contraseña para cuentas distintas, y las bases de datos de contraseñas robadas son difíciles de eliminar. Si la contraseña es la misma en todos lados, la víctima solo tendría que ingresarla en un sitio de phishing una sola vez.

Contrata una suscripción para ti, no para los cibercriminales

Los cibercriminales estafan a los amantes de las películas y las series de televisión de diferentes maneras. Algunos de sus ardides son muy fáciles de detectar, otros no tanto. Si sigues estás sencillas reglas de seguridad digital, puedes proteger tus datos no solo en los cines en línea, sino en todos lados.

  • No hagas clic en enlaces de correos electrónicos, incluso si un mensaje parece ser de un servicio de streaming (o de otro tipo) real; siempre ingresa la dirección de sitio web oficial de forma manual o utiliza la aplicación.
  • No confíes en las personas o sitios que te prometan que puedes ver películas o series antes del estreno oficial.
  • Pon atención a las señales de alerta que advierten sobre los correos electrónicos de phishing o los sitios web falsos.
  • Mantente alerta y lee más sobre las estafas y estrategias de phishing para aprender cómo detectar los correos electrónicos y sitios web que son de confianza, y cuáles deberías evitar.
  • Utiliza contraseñas diferentes para todas tus cuentas importantes, y utiliza un administrador de contraseñas para que te las recuerde.
  • Utiliza una solución de seguridad de confianza que identifique los archivos adjuntos maliciosos y bloquee los sitios web de suplantación de identidad (phishing).
Consejos