Netflix usado como anzuelo para pishing

netflix-logo
Netflix es usado con fines maliciosos.

 

Dicen por ahí que si es gratis, desconfía. En Internet esto no siempre es cierto, pero si te llega una invitación que no esperabas, porque no la solicitaste o nadie te ha invitado, hay que tener cuidado, porque puede ser un intento de robo de datos. El más reciente usa a Netflix.

Correo falso enviado como si fuera hecho por Netflix (Foto: Kaspersky Lab).

Si en tu correo aparece una invitación a suscribirte a este servicio por streaming por tres meses de forma gratuita, no te emociones, solo quieren tener tus datos, por lo cual se piden llenarlos en un formulario cuyo enlace manda el correo falso. Lo que realmente se busca es tener acceso a los contenidos de la cuenta de Outlook/ Hotmail.

Los cibercriminales emplean una aplicación que accede al programa o servicio por medio de un token por una cuenta que se haya configurado previamente, por lo que no se requiere el nombre o contraseña. El proceso para hacer esto es fácil: se accede al enlace que redirecciona al sitio real. Desde ahí se acepta dar acceso a las credenciales  del servicio que se le solicitan al usuario. Estando aprobadas, entonces se envía la información, junto con el token de la sesión del usuario hacia la dirección URI del sitio malicioso que permitirá el acceso a la información de la víctima desde la aplicación maliciosa en cualquier momento.

Permisos concedidos a la cuenta falsa de Netflix (Foto: Kaspersky Lab).

Los siguientes permisos de acceso son los otorgados:

Como el proceso es similar a como se otorga el permiso a Netflix, no se desconfía del proceso, quedando vulnerable incluso a datos en la nube. Así que si una app solicita el acceso desde otra, mejor entre al sitio real y ve si en efecto desde allá está presenta la promoción que llegó al correo. Es deseable eliminar el acceso de terceros si ya no se usan en las  cuentas de correo y tener un herramientas que protejan de este tipo de engaños.

Con información de  Kaspersky Lab.

Salir de la versión móvil