phishing
Dado el gran apoyo que han supuesto para muchos, en tiempos de COVID, las series y películas y el creciente número de estrenos en Netflix, Amazon Prime y similares, los ciberdelincuentes han puesto el punto de mira en este tipo de servicios.
Por ello, cuando busques el último estreno, no descuides las medidas básicas de seguridad o podrías descubrir que otra persona se ha infiltrado en tu cuenta o, lo que es peor, que el dinero de tu cuenta bancaria se ha evaporado.
Es mucho más divertido pensar en la próxima serie que indagar en los ajustes de seguridad, pero los atacantes están preparados y a la espera para hacerse con tus datos personales y tu información bancaria.
El cebo del phishing
Los servicios de streaming ofrecen una gran variedad de planes de pago, pero generalmente todos ofrecen el pago con tarjeta de crédito, lo que abre la ventana al phishing. Además, los titulares de cuentas, nuevos o veteranos, pueden experimentar diferentes tipos de cebo. Hemos recopilado algunos ejemplos de usuarios que acceden a compartir esta información de amenazas.
“¡Suscríbete ahora!”
Para registrarte en un servicio de streaming necesitas una dirección de correo válida y tienes que realizar el pago de forma online, ya sea con una tarjeta de crédito o una cuenta de Paypal. (Y, si tienes pensado contratar Apple TV, también necesitarás un ID de Apple).
No es de extrañar que los ciberdelincuentes hayan creado páginas de registro falsas para capturar todos estos datos de una vez. Con esta información, pueden retirar o gastar tu dinero directamente y guardar tu dirección de correo electrónico para futuros ataques.
En este ejemplo, el sitio falso no es muy convincente. ¿Eres capaz de detectar las señales de phishing?
Página falsa de inicio de sesión en Netflix
“Actualiza tus datos”
Si ya tienes una suscripción de pago, los atacantes pueden amenazarte con bloquearla, dando por hecho que la tienes en alta estima. Este es un e-mail de los “amigos de Netflix” que piden al receptor que actualice o confirme su información de pago o cerrarán la cuenta; en él incluyen un botón grande y rojo. No te apresures a hacer clic, ¿acaso no recuerdas lo que pasa en las películas cuando alguien pulsa un botón rojo?
“Querido cliente, por favor, actualiza tu cuenta”. ¿Detectas el error en inglés?
El enlace redirige a una página de confirmación de pago.
Aunque muchos mensajes de phishing no cuiden la ortografía a la hora de dirigirse a los clientes, este es un ejemplo de un mensaje que podría parecer creíble. Ahora bien, aunque no presente errores ortográficos ni elementos de diseño extraños, un usuario distraído que caiga en la trampa podría perder el dinero de su cuenta bancaria.
Este sitio falso que imita a Netflix anima a los usuarios a introducir datos personales y bancarios, con el supuesto objetivo de reactivar sus cuentas
Un estreno peligroso
En el siguiente ejemplo los ciberdelincuentes utilizaban series famosas para atraer a los fans que no estaban suscritos, ofreciéndoles la oportunidad de ver estas series en el sitio web falso.
Esta página extraoficial invita a los fans a ver o descargar The Mandalorian
Como teaser, utilizan un pequeño clip que a veces intentan hacer pasar como un episodio que no se ha emitido previamente, pero con frecuencia se trata de un trozo del tráiler que lleva tiempo disponible. Entonces, las víctimas más curiosas descubren la opción de comprar una suscripción de bajo coste para seguir viéndolo. Después, pasa lo típico: toda información de pago que introduzcan los usuarios irá a parar directamente a manos de los ciberdelincuentes y las víctimas no recibirán nada a cambio.
¿Y si pierdes tu cuenta?
Además de los datos de tu cuenta bancaria, las credenciales de los servicios de streaming también les resultan muy atractivas a los ciberdelincuentes. Deberías saber que las cuentas de suscripciones de pago secuestradas se ponen a la venta en la dark web, por lo que podrías conectarte un día y descubrir que alguien ya está usando el servicio.
Después de todo, dependiendo de tu plan de Netflix, puedes utilizar de 1 a 4 dispositivos a la vez y los ciberdelincuentes pueden vender tus credenciales de inicio de sesión a varios usuarios. Por tanto, eso significa que te tocaría esperar a que el intruso decida cerrar sesión para usar el servicio.
Esta página falsa de inicio de sesión de Netflix parece legítima
Pero, eso no es todo: muchos usuarios utilizan la misma contraseña para diferentes cuentas y las bases de datos con contraseñas robadas son difíciles de eliminar. Si su contraseña es la misma en todos lados, la víctima solo tendrá que acceder a una página de phishing una vez para dejar al descubierto todas sus cuentas.
Compra una suscripción para ti, no para los ciberdelincuentes
Los ciberdelincuentes pueden estafar a los amantes de las series y películas de muchas formas diferentes. Algunas de sus estratagemas son muy fáciles de detectar, otras menos. Pero, con tan solo seguir unas simples reglas de seguridad, podrás proteger tus datos, no solo en este tipo de servicios, sino en muchos otros sitios.
- No hagas clic en enlaces de correos electrónicos, aunque el mensaje parezca proceder de un servicio genuino de streaming (o de cualquier otro tipo). Dirígete siempre al sitio web oficial, para ello, introduce la dirección de forma manual o accede desde la aplicación.
- No confíes en ninguna persona o sitio que te prometa poder ver películas o series antes de su estreno oficial.
- Identifica las banderas rojas que te alerten de los correos de phishing o sitios web falsos.
- Presta atención e infórmate sobre las estrategias de estafa y phishing para descubrir cómo detectar los correos electrónicos y sitios web de confianza y cuáles evitar.
- Utiliza contraseñas diferentes para todas las cuentas que tengan valor para ti y utiliza un gestor de contraseñas para que las recuerde por ti.
- Utiliza una solución de seguridad de confianza que identifique los archivos adjuntos maliciosos y bloquee los sitios web de phishing.
Consejos