Sitio de Phishing Usa Netflix como Señuelo, Utiliza Geolocalización

 

Análisis e insights adicionales por Monte de Jesus 

 

Un sitio de phishingfue descubierto utilizando una página falsa de Netflix para recolectar información de cuentas, credenciales de tarjetas de crédito e información de identificación personal (PII), de acuerdo con una publicación en Twitter de Andrea Palmieri,  Information Security Analyst de PartnerRe. Investigamos el sitio malicioso, hxxp://secure-up-log.com/netflix/, para conocer más acerca de su operación, y descubrimos que los sitios tienen capacidades de geolocalización. 

 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/06/Fake-Netflix-log-in-page.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]

Figura 1. Página falsa de inicio de sesión de Netflix 

 

El sitio usa una página falsa de inicio de sesión de Netflix. Una vez que los usuarios ingresan sus credenciales como correo electrónico y número telefónico y una contraseña de una cuenta de Netflix, lleva a los usuarios a una página que les pide actualizar su información de la cuenta. Observamos que el sitio cuenta con características de geolocalización que pueden detectar la ubicación del usuario. Esto se ve reflejado cuando el sitio automáticamente completa detalles en los campos de Ciudad, Estado/Región/Provincia y Código Postal. La URL de la página también destaca la abreviación del país. 

 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/06/Fake-Netflix-page.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]

Figura 2. Página falsa de Netflix solicita la actualización de datos de la cuenta 

 

Después de obtener la información solicitada, la página mostrará un mensaje que confirma el “éxito” de la transacción, indicando que el usuario ahora ha restaurado el acceso a su cuenta. 

 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/06/Fake-Netflix-success-page.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]

Figura 3. Página falsa de Netflix de restablecimiento de cuenta 

 

La página entonces redirige hacia la página legítima de Netflix basado en la región que detectó en la ubicación del usuario. 

 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/06/Legit-Netflix-success-page.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]

Figura 4. Página legítima de inicio de sesión de Netflix 

 

Algunos días después de su publicación inicial, Palmieri encontró otros sitios de phishing relacionados con Netflix: 

 

  • austupdatenetflixnetwork.lekommerce[.]com/logintv/home/myaccount/a9ab3163e155d72/login/ 
  • hxxp://updatenetflixaus.humillacionyestrella.org/login/myaccount/ 
  • hxxp://secured-update-server-configuration.breitfam.com 

 

En los últimos, hemos visto otras campañas de phishing que también usan Netflix como señuelo; algunas amenazas incluso hacen referencia al brote de Covid-19 al mismo tiempo. Ya que la gente está pasando tiempo en cuarentena debido a la pandemia de coronavirus, las plataformas de streaming de video como Netflix se han convertido en uno de los medios más populares para pasar el tiempo. Los cibercriminales están aprovechando esto y ocupan estas aplicaciones para engañar a usuarios descuidados por medio de phishing y otros esquemas de ingeniería social. 

 

Defensa Contra el Phishing 

 

Los sitios de phishing buscan recolectar información sensible de sus víctimas. Al copiar la interfaz y los nombres de los sitios web, estas páginas maliciosas pueden llegar a ser difíciles de distinguir de las legítimas. Abajo están listadas algunas formas de evitar estas amenazas: 

 

  • Revise la URL del sitio para confirmar si es la URL auténtica. 
  • Nunca haga click en correos provenientes de remitentes desconocidos. Coloque el mouse sobre el link para revelar hacia dónde dirige. 
  • Evite compartir datos personales sensibles en línea. 

 

Las soluciones de seguridad también pueden dar protección adicional contra el phishing. Trend Micro™ Web Security™puede filtrar las URLs y ayudar a bloquear sitios web maliciosos. Las soluciones de seguridad paracorreo electrónico y colaboración también pueden ayudar a proteger a los usuarios contra el phishing, ya que muchos links se propagan por medio de correo. 

 

Indicadores de Compromiso 

 

URLs 

  • austupdatenetflixnetwork.lekommerce[.]com/logintv/home/myaccount/a9ab3163e155d72/login/ 
  • hxxp://updatenetflixaus.humillacionyestrella[.]org/login/myaccount/ 
  • hxxp://secured-update-server-configuration.breitfam[.]com 
  • hxxp://Secure-up-log[.]com/netflix/ 

Posted

in

,

by

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.