Investigadores frustran intento de phishing en clientes de Netflix



Los hackers usan dos dominios robados para robar credenciales de los usuarios de Netflix y luego enviarlos al sitio authentic de Netflix.

Los investigadores descubrieron recientemente una campaña de phishing de Netflix donde los atacantes diseñaron dos dominios legítimos para que parecieran el sitio serious de Netflix: los piratas informáticos enviaron a las víctimas un correo electrónico de falla de facturación con un enlace que enviaría a la víctima desconocida a los dos sitios falsificados para robar sus credenciales, y luego al sitio legítimo de Netflix.

Chetan Anand, cofundador y arquitecto de Armoroblox, dice que el ataque golpeó a los usuarios en una docena o más de compañías, ya que los atacantes se aprovechaban de más personas que trabajaban desde su hogar durante la pandemia de COVID-19.

Al hacer clic en el correo electrónico de facturación, se llevó a las víctimas a una página CAPTCHA en funcionamiento con una sutil marca de Netflix. Una vez que la víctima llenó la información de CAPTCHA, se la condujo a un sitio related de Netflix, donde se les pidió que ingresaran sus credenciales de inicio de sesión, información de dirección de facturación y detalles de la tarjeta de crédito.

Anand, quien publicó un Weblog hoy sobre el esquema de phishing de Netflix, dice que fue un ataque «ingenioso» en el sentido de que los malos actores se hicieron cargo de dos dominios legítimos para lanzarlo: wyominghealthfairs.com para la página fraudulenta de CAPTCHA y axxisgeo.com para la página de Netflix. Axxisgeo.com pertenece a una compañía de petróleo y gas con sede en Texas.

Una página CAPTCHA en funcionamiento hizo que toda la comunicación pareciera más legítima, y ​​al alojar páginas de phishing en dominios primarios legítimos (wyominghealthfairs, axxisgeo), los atacantes podían evadir los controles de seguridad basados ​​en la protección de URL / enlace y obtener filtros pasados ​​que bloquean dominios malos conocidos. Anand dice que los atacantes probablemente explotaron vulnerabilidades en el servidor world wide web o en los sistemas de administración de contenido para alojar estas páginas en dominios principales legítimos sin que los administradores del sitio lo supieran.

Lo que lo hizo tan efectivo fue que las víctimas pensaron que estaban en el sitio net legítimo de Netflix todo el tiempo.

A diferencia de los intentos de fraude por correo electrónico de «rociar y rezar», esta campaña fue creada y enviada para generar una respuesta específica de una pequeña muestra de personas. El encabezado del asunto del correo electrónico era «Notificación de falla de verificación», que tenía la intención de provocar urgencia porque las víctimas fueron amenazadas con la cancelación si no actualizaban sus detalles dentro de las 24 horas.

«Hicieron todo lo posible para lanzar este ataque al hacerse cargo de dos dominios», dice Anand. «También crearon un sentido de urgencia al decirles a las víctimas que tenían que moverse rápido para hacer cambios en su información».

Cómo lo encontraron

Armorblox detectó el ataque a múltiples bandejas de entrada en la cuenta de un cliente con la ayuda de su tecnología de procesamiento de lenguaje organic que puede analizar el idioma, la intención y el tono de los correos electrónicos. Los modelos de lenguaje analizaron los correos electrónicos y detectaron que había una sensación de urgencia utilizada en el correo electrónico, un rasgo que es poco común para un correo electrónico de soporte. El sistema también detectó que el correo electrónico del remitente tenía un bajo historial de comunicación con la cuenta de correo electrónico de las víctimas, lo que se sumaba a la naturaleza sospechosa del correo electrónico.

Basado en todas esas thoughts, junto con otras señales de detección, Armorblox marcó el correo electrónico como una amenaza de phishing de credenciales. El correo electrónico de phishing de Netflix se eliminó automáticamente en función de acciones de corrección predeterminadas en el sistema Armorblox para la categoría de detección de credenciales de phishing, explica Anand.

Dave Gruber, analista senior de la industria en Company Method Team, dice que si bien el aprendizaje automático juega un papel importante en muchos productos de seguridad de correo electrónico, el procesamiento del lenguaje natural llena un vacío crítico, agregando la capacidad de comprender el contexto y la intención del texto y cualquier archivo adjunto en un correo

«A medida que los adversarios superan los límites de la participación humana en sus ataques, este contexto puede ser la diferencia para detener un ataque que de otro modo pasaría desapercibido», dice Gruber.

contenido relacionado

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicaciones, la mayoría de los últimos 24 de los cuales se dedicaron a la tecnología de redes y seguridad. Steve tiene su sede en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia primary