El phishing afecta a los clientes de Netflix

El objetivo no es otro que el de obtener los detalles de la tarjeta de crédito con la que se paga la suscripción mensual. Así lo afirma Ricardo Maté, director general de la compañía Sophos Iberia, quien recientemente ha sido entrevistado por nuestra publicación digital DealerWorld, entrevista que pronto estará disponible.

Este tipo de técnica de ataque, muy extendido en otros sectores como pueda ser el sector de Banca o el de Utilities, tradicionalmente se ha aprovechado de aquellos sectores que tienen una relación directa con los clientes y usuarios, valiéndose de la comunicación que se hace necesaria entre ambas partes. En las sucursales bancarias, suele aprovecharse del pretexto de tener que actualizar los datos personales en un formulario que se incluye en un correo electrónico. Algo similar ha sucedido en los últimos meses con hidroeléctricas como Endesa, invitando al usuario que se descargue un documento para consultar la factura con el consumo mensual del usuario. Al ser utilizado, el usuario instala de manera inconsciente en su equipo un malware que cifra los ficheros y posteriormente pide un rescate de ellos.

Desde Sophos se han percatado de esta nueva táctica que trata es utilizada por los atacantes señalando que existe un problema con el pago de manera que debe accederse directamente a un link para actualizar la información de la cuenta. De esta manera, el usuario es redirigido a una web que suplanta a la web original de Netflix. Según un reciente estudio de Sophos, el 18% de mil trabajadores encuestados (1 de cada 5) había sido víctima de un ataque de phishing en el pasado.

En caso de ser víctima de phishing, Sophos recomienda seguir las siguientes pautas de seguridad para evitar convertirnos en una víctima:

• Si vas a hacer clic en el enlace en un correo electrónico, primero mira la URL: Antes de hacer clic, coloca el cursor sobre el enlace para ver la URL completa y pregúntate si es auténtica o no. Hay que tener en cuenta que el ícono de candado o el inicio de ‘https’ no es garantía de autenticidad. Como regla general, si no estás seguro de la autenticidad de la URL, simplemente elimínela de inmediato.
• Esté atento a la Typosquatting, es decir dominios parecidos a servicios legítimos con intenciones maliciosas: Los ciberdelincuentes suelen usar la URL de una marca popular y cambian una o dos letras para engañarte. Por ello, es necesario revisar la ortografía de las URLs y estar atento a la typosquatting como el famoso ataque ‘Tvvitter’.
• Navega por Internet desde tu móvil, pero ten cuidado con la red inalámbrica a la que está conectado cuando esté haciendo compras online: Ingresa la información de tu tarjeta de crédito cuando te encuentres en una red segura en la que confíes. Recuerda que la mejor manera de mantener su dinero seguro es usando PayPal o su tarjeta de crédito. Evite usar tarjetas de débito para compras online.
• La longitud y complejidad garantizan la seguridad de las contraseñas. Haz que las contraseñas de la cuenta sean diferentes y difíciles de adivinar. Incluye letras mayúsculas y minúsculas, números y símbolos para hacer que las contraseñas sean más difíciles de descifrar. En este link puedes encontrar los mejores consejos para crear contraseñas seguras.
• No abrir directamente correos que no hayas solicitado: Antes de abrir cualquier correo electrónico, aunque sea de alguna de las entidades con las que sueles relacionarte, verifica en internet si hay alguna alerta al respecto o llama por teléfono a la empresa y pregunta si están haciendo algún tipo de comunicación.
• No cliques los enlaces de los emails: Como hemos podido ver, por lo general el phishing descarga malwares a través de enlaces, así que hay que tener máxima precaución al seguir enlaces en emails, SMS, en Whatsapp o en redes sociales, aunque sean enviados por personas conocidas.
• No descargues ficheros adjuntos: Como en el caso de los enlaces, hay que tener máxima precaución al descargar ficheros adjuntos a correos en SMS, en Whatsapp o en redes sociales.
• Contar con un programa de formación antiphishing como Sophos Phish Threat para concienciar a través de la educación, poniendo a prueba a los usuarios finales a través de simulaciones de ataques automatizados, capacitación de conciencia de seguridad de calidad y métricas de informes accionables. Sophos Phish Threat es ideal para usar en empresas, ya que el usuario final es la principal víctima en este tipo de ataques.
• Si eres víctima del phishing, cambia tu contraseña inmediatamente: Además es recomendable llamar al banco para confirmar si ha habido alguna actividad fraudulenta relacionada con el incidente.