Sitios de phishing inteligentemente disfrazados
Una campaña de correo electrónico de phishing recientemente detectada con el tema de Netflix está tan bien diseñada que es difícil para muchos usuarios menos expertos en tecnología detectar la estafa.
Emails de phishing extremadamente convincentes
Los correos electrónicos, supuestamente provenientes del servicio de transmisión en línea, toman la forma de una notificación de suspensión.
Visualmente, se parecen mucho a lo que se espera de un correo electrónico: elementos de diseño de Netflix, sin errores de ortografía obvios, los elementos de correo electrónico habituales:
Y, cuando el campo "destinatario" en el correo electrónico se ha fusionado con éxito (no lo ha hecho en el ejemplo anterior), el correo electrónico incluso se dirige al destinatario por su nombre.
"Los estafadores están usando un sistema de plantillas para generar mensajes individualizados con datos específicos del destinatario. Esto funciona como una combinación de correspondencia; el cuerpo del correo electrónico es genérico, pero el campo del remitente está diseñado para mostrar el nombre de la víctima prevista, que personaliza la estafa haciéndola más convincente", explica Emmanuel Marshall de MailGuard.
Hacer clic en el enlace ofrecido lleva a los usuarios a una página de inicio de sesión de Netflix falsificada que, una vez más, es una copia casi perfecta de la real.
A las víctimas se les instruye que ingresen sus credenciales de inicio de sesión, luego se pasan por varias páginas y les piden su información de facturación y pago, así como información como la fecha de nacimiento, el apellido de soltera de la madre y el número de su licencia de conducir.
Una vez que se ingresa y envía toda esta información, el sitio muestra a las víctimas una pantalla tranquilizadora "Su membresía ha sido reactivada".
Sitios de phishing inteligentemente disfrazados
Los phishers "aparcan" estas páginas de phishing en sitios legítimos pero comprometidos (a menudo blogs de WordPress) - sitios que tienen una buena reputación en línea.
Según el analista de inteligencia de FireEye, Richard Hummel, otras técnicas que usan los phishers para aumentar la credibilidad y longevidad de las páginas son:
• HTML robado del sitio de Netflix;
• HTML cifrado del lado del usuario para que los escáneres de phishing tengan dificultades para detectarlo;
• Hacer que las páginas no se carguen si el tráfico proviene de direcciones IP que pertenecen a grupos de monitoreo de seguridad de Internet.
Consejos para usuarios
Los usuarios expertos en seguridad seguramente notarán que las URL de las páginas de phishing no tienen nada que ver con Netflix. Desafortunadamente, siempre hay usuarios que no saben qué buscar para identificar intentos de phishing.
El mejor consejo que se le puede dar a esos usuarios es que nunca hagan clic en los enlaces de ningún correo electrónico que parezca provenir de un servicio popular y legítimo del que sean miembros. En su lugar, deben visitar el sitio web de forma independiente e iniciar sesión desde allí.
Otra buena forma de comprobar si una página web de inicio de sesión es una página de suplantación de identidad es ingresar credenciales aleatorias y desordenadas (por ejemplo, nombre de usuario: kdfjiuw0r84rfndskj, contraseña: 248nc+sdlkf).
Si la página los acepta y/o lo redirecciona a otras páginas para solicitar información personal y de pago más confidencial, definitivamente se trata de una página de phishing.
