Netflix, Paypal y la ICO de Telegram: el phishing vuelve con fuerza en enero

El comienzo del año ha significado una continuidad con respecto a las actividades que veníamos observando durante los últimos meses, con la excepción del nuevo modelo de negocio de la botnet Necurs. Esto significa que hemos visto más casos de ransomware, de minadores de criptodivisas no autorizados y, cómo no, de casos de phishing como los que vamos a comentar a continuación.

Netflix como primer objetivo

Durante la semana pasada empezamos a ver que los delincuentes ponían en su punto de mira a la conocida plataforma de streaming Netflix. El importante crecimiento que ha experimentado esta plataforma durante los últimos años la ha convertido en un objetivo apetitoso por los millones de usuarios que los utilizan.

Por eso no es de extrañar que cada cierto tiempo veamos cómo las bandejas de entrada de usuarios de todo el mundo se llena de correos similares al que vemos a continuación, simulando ser un aviso de cobro que no se ha llegado a realizar en la tarjeta de crédito asociada a nuestra cuenta.

Redirección a web de phishing de Netflix – Fuente: My Online Security

En los emails de este tipo siempre se intenta proporcionar un enlace que simule ser legítimo o bien que confunda a la víctima. En este caso, vemos como simplemente se nos indica que vamos a acceder a verificar nuestra cuenta, a pesar de que la web en la que terminaremos poco tiene que ver con la original, por mucho que los delincuentes se esfuercen en darle aspecto de verídica.

Ejemplo de web de phishing de Netflix con conexión HTTPS – Fuente: My Online Security

Algo que está volviéndose peligrosamente común es que los delincuentes utilizan certificados legítimos para hacer creer a sus víctimas que se encuentran en la web legítima. El abuso de iniciativas muy loables como Let’s Encrypt y similares por parte de los delincuentes ha hecho que, por mucha conexión segura o “candadito verde“ que veamos, no podamos verificar a simple vista si la web es original o una falsificación, a menos que nos fijemos en otros detalles.

Recordemos que las conexiones https tan solo certifican que las comunicaciones entre el sistema del usuario y una página web determinada van a realizarse de forma que estén cifradas, para que nadie pueda obtenerlas, por ejemplo, mediante ataques Man-in-the-middle estando en la misma red WiFi que nosotros. Las acciones que se realicen en la propia web ya son otra cosa, independientemente de que la comunicación a esta sea considerada segura.

Una vez en la web, nos solicitan varios datos, entre los que se incluyen los de nuestra tarjeta de crédito. Debido a la elaboración de esta campaña de phishing, es bastante probable que más de un usuario haya caído en la trampa de los delincuentes y haya proporcionado estos datos a las organizaciones criminales que se esconden detrás de este tipo de campañas.

Formulario falso para la introducción de datos de tarjeta de crédito – Fuente: My Online Security

PayPal también en el punto de mira

Un caso similar al que acabamos de ver ha estado propagándose recientemente suplantando al conocido sistema de pago entre particulares y empresas PayPal. Durante los últimos días, varios usuarios han alertado acerca de la recepción de mensajes en sus teléfonos móviles con un falso aviso de PayPal acerca de un intento de acceso a nuestra cuenta fraudulento. Este aviso puede ser especialmente alarmante, ya que los mensajes SMS han quedado prácticamente relegados a mensajes de alertas y notificaciones, por lo que los usuarios tienden a hacerles más caso que, por ejemplo, al correo electrónico.

Phishing de Paypal a través de SMS – Fuente: Annack Security IT

Sobre el phishing en sí, ya hemos visto que los delincuentes suelen configurar un certificado para que los usuarios piensen que se encuentran en el sitio web legítimo al visualizar un candado verde en la barra de direcciones de su navegador. Esta estrategia sirve para que las víctimas se confíen e introduzcan todos aquellos datos que les sean solicitados, datos entre los que se suelen encontrar los de la tarjeta de crédito.

Ejemplo de formulario falso de PayPal para la introducción de la tarjeta de crédito –  Fuente: Malware Bytes

La ICO de Telegram y las webs falsas

El tema de moda no podía pasar desapercibido para los delincuentes que utilizan el phishing como vector de ataque. Con la atención mediática que existe actualmente sobre las criptodivisas y el reciente anuncio del sistema de mensajería instantánea Telegram de que va a lanzar su propia criptomoneda, no es de extrañar que ya hayan parecido las primeras webs falsas que ofrecen comprarla, a pesar de que aún queda mucho tiempo para que se lance la ICO (Initial Coin Offering).

Web fraudulenta que simula estar asociada a la ICO de Telegram

Estas webs solo buscan simple y llanamente obtener dinero fácil a costa de los incautos e impacientes que quieren invertir en esta criptodivisa, que viene respaldada por una aplicación muy utilizada y que tiene buena fama. De esta forma, si accedemos a una de estas webs y compramos algún token, esto no nos garantiza nada, ya que no tienen relación alguna con Telegram y lo más probable es que no volvamos a ver nunca más nuestro dinero. Toda una demostración de que el phishing se adapta a los nuevos tiempos.

Conclusión

Si queremos evitar que nos den gato por liebre, hemos de estar atentos y fijarnos en ciertos puntos importantes. El primero es evitar pulsar en enlaces recibidos a través de email o mensajes de texto, ya que podemos terminar en cualquier sito controlado por los delincuentes. Seguidamente, debemos revisar si la conexión a la web a la que vamos a acceder es segura y, en caso de serlo, revisar que el certificado está emitido a la empresa legítima.

Puntos a verificar a la hora de conectarse a un sitio web de confianza

Además, la propia dirección de la web puede darnos pista sobre si están intentando engañarnos. Si vemos que hay errores gramaticales y nuestro navegador no destaca en negrita el dominio correcto, es que hay algo que no cuadra.

Esperamos que estos ejemplos y consejos sirvan para evitar futuros casos de phishing, ya que los delincuentes van a seguir usando estas técnicas y perfeccionándolas para obtener el mayor beneficio posible a nuestra costa.

Josep Albors

Robo de millones de euros en criptodivisas y como estas se han convertido en algo cotidiano