Nuevo phishing de Netflix intenta obtener los datos de nuestra tarjeta de crédito

Los intentos de los delincuentes por obtener datos privados como los de nuestra tarjeta de crédito son algo con lo que venimos lidiando desde hace tiempo. Durante los últimos años hemos visto cómo las técnicas se han ido adaptando para que el engaño resulte convincente y así conseguir un buen número de víctimas.

Netflix como gancho

El último ejemplo que hemos recibido durante el pasado fin de semana tiene como protagonista al conocido servicio de vídeo bajo demanda Netflix, similar al caso que observamos a principios de año. No cabe duda de que la creciente popularidad de este servicio en los países en los que opera hace que sea un gancho perfecto para atraer a las posibles víctimas.

Es por ese motivo que no nos extrañamos cuando recibimos en nuestro laboratorio un correo electrónico que decía provenir de Netflix, y en el que se nos indicaba que la tarjeta de crédito utilizada para pagar el servicio había sido desactivada temporalmente por motivos de seguridad.

Como siempre debemos hacer cada vez que recibamos un correo sospechoso de este tipo, vamos a detenernos a analizar los puntos clave que nos van a indicar que estamos ante un correo falso. Y es que, a pesar de utilizar el logo de la empresa, este correo contiene numerosos errores fáciles de detectar por cualquiera que preste un mínimo de atención.

Fijémonos, por ejemplo, en el remitente del correo: por mucho que diga provenir de Netflix, vemos como la dirección de correo no tiene nada que ver. En esta ocasión ni siquiera se han molestado en suplantarla realizando spoofing, por lo que es fácil detectar que estamos ante una engaño. Además, el texto del mensaje presenta fallos en la acentuación, típicos de haber sido escrito con una codificación de caracteres diferente a la española.

Por último, si revisamos el enlace al que se nos pretende redirigir al pulsar sobre el botón, observaremos de nuevo que no tiene nada que ver con Netflix. Todos estos detalles son motivos más que suficientes para descartar este mensaje y enviarlo a la papelera de reciclaje.

Robo de datos

Si a pesar de los indicios de que nos encontramos ante un engaño decidimos seguir adelante y pinchamos sobre el enlace proporcionado, nos encontraremos ante una web que nos solicitará nuestra dirección de correo electrónico. En esta web también podemos observar varios puntos que nos deberían hacer sospechar.

Por una parte tenemos la URL del sitio web, que no se corresponde con ninguna web oficial de Netflix. Este detalle es bien visible para los usuarios que accedan a ella, ya que los delincuentes no se han molestado en hacer pasar la web por legítima. Además, se indica que el pago se realizará en reales brasileños, algo que sirve de pista para suponer que esta campaña se está utilizando tanto en España como en Latinoamérica, y que los delincuentes detrás de esta no han cambiado todos los detalles de la plantilla utilizada para adaptarla a cada país.

Una nueva prueba de esta falta de detalle la vemos en la siguiente web que se nos muestra una vez se ha introducido una dirección de correo electrónico, ya que la frase donde se nos invita a introducir los datos de nuestra tarjeta de crédito está escrita en portugués (junto a algún campo del formulario como el CVV).

Si somos lo suficiente inconscientes de rellenar todos los campos, habremos proporcionado información suficiente a los delincuentes para que realicen cargos en nuestra tarjeta de crédito sin nuestra autorización. Además, se nos redirigirá a la web oficial de Netflix para no levantar más sospechas, a pesar de haber dejado indicios más que de sobra como para hacerlo.

Conclusión

Por las pistas que han dejado los delincuentes, todo apunta que esta campaña ha estado propagándose durante estos días por países de habla hispana y portuguesa. Desconocemos su éxito, pero si los usuarios se fijan mínimamente es difícil que caigan en la trampa, puesto que los indicios de que se trata de un phishing y no de un correo legítimo son numerosos, solo hay que fijarse un poco, tal y como acabamos de indicar, y los encontraremos.

Josep Albors

Campañas de cryptojacking afectan a cientos de webs con instalaciones vulnerables de Drupal