Site de Phishing usa Netflix como Atração e Emprega geolocalização

Um site de phishing foi encontrado usando uma página falsificada da Netflix para coletar informações da conta, credenciais de cartão de crédito e outras informações de identificação pessoal (PII), de acordo com uma publicação do twitter de Andrea Palmieri (@andpalmier), analista de segurança da informação do PartnerRe. Examinamos o site malicioso, hxxp: //secure-up-log.com/netflix/, para saber mais sobre a operação e descobrimos que os sites têm recursos de localização geográfica.

Figura 1. Página de login falsa da Netflix

O site apresenta uma página de login falsa da Netflix. Depois que os usuários inserem credenciais como endereço de e-mail ou número de telefone e uma senha de conta Netflix correspondente, isso leva a uma página que solicita que os usuários atualizem as informações da conta. Observamos que o site possui recursos de geolocalização que podem detectar a localização do usuário. Isso é fácil de se constatar, pois o site preenche automaticamente os detalhes em Cidade, Estado / Província / Região e Código Postal. O URL da página também apresenta a abreviação do país.

Figura 2. Página falsa da Netflix solicitando informações atualizadas da conta

Depois de fornecer as informações solicitadas, a página exibirá uma mensagem que confirma o “sucesso” da transação, indicando que o usuário agora restaurou o acesso à sua conta.

Figura 3. Página de acesso à conta restaurada da Netflix falsa

A página é redirecionada para a página legítima da Netflix com base na região do usuário.

Figura 4. Página de login legítima da Netflix

Alguns dias após sua postagem inicial, Palmieri também encontrou outros sites de phishing relacionados à Netflix:

  • austupdatenetflixnetwork.lekommerce[.]com/logintv/home/myaccount/a9ab3163e155d72/login/
  • hxxp://updatenetflixaus.humillacionyestrella.org/login/myaccount/
  • hxxp://secured-update-server-configuration.breitfam.com

Nos últimos anos, vimos outras campanhas de phishing que usam o Netflix de forma semelhante como isca; algumas ameaças até fazem referência ao surto de Covid-19 ao mesmo tempo. Como as pessoas passam um tempo em quarentena devido à pandemia de coronavírus, plataformas de streaming de vídeo como a Netflix se tornaram um dos meios mais populares para passar o tempo. Os cibercriminosos estão aproveitando isso usando essas aplicações para enganar usuários desavisados sobre phishing e outros esquemas de engenharia social.

Defesa contra phishing

Os sites de phishing procuram coletar informações confidenciais das vítimas. À medida que copiam a interface do usuário e falsificam os nomes dos sites, essas páginas maliciosas podem ser difíceis de diferenciar dos sites legítimos de login. Abaixo estão algumas maneiras de evitar essas ameaças:

  • Verifique o URL do site para confirmar se é o URL autêntico.
  • Nunca clique em links de e-mails de remetentes desconhecidos. Passe o ponteiro do mouse sobre o link incorporado para revelar onde ele levará.
  • Evite compartilhar informações pessoais confidenciais online.

As soluções de segurança também podem fornecer proteção adicional contra phishing. A Trend Micro ™ Web Security ™ possui um filtro de URL que ajuda a bloquear sites mal-intencionados. As soluções de segurança para e-mail e colaboração também podem ajudar a proteger os usuários contra phishing, pois muitos desses links são propagados por e-mail.

Indicadores de comprometimento

URLs

  • austupdatenetflixnetwork.lekommerce[.]com/logintv/home/myaccount/a9ab3163e155d72/login/
  • hxxp://updatenetflixaus.humillacionyestrella[.]org/login/myaccount/
  • hxxp://secured-update-server-configuration.breitfam[.]com
  • hxxp://Secure-up-log[.]com/netflix/