Una nueva y sofisticada estafa de correos electrónicos fraudulentos, también conocida como phishing en el mundo de la ciberseguridad, ha empezado a circular entre los usuarios de la conocida plataforma de streaming NetFlix con el objetivo de obtener los detalles de la tarjeta de crédito con la que se paga la suscripción mensual.
Así lo ha advertido la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) en un comunicado, en el que detalla que el ataque phishing llega bajo el asunto de “Problemas con tu membresía de Netflix” o “Payment declined”, aunque advierte que los ciberdelincuentes pueden utilizar más de un tipo de asunto.
En el correo, los ciberdelincuentes señalan que al haber un problema con el pago se debe acceder directamente a un link para actualizar la información de la cuenta. De esta manera el usuario es redirigido a una web que simula ser la web de inicio de sesión de NetFlix, solicitando las credenciales de acceso al servicio.
Según un reciente estudio realizado por Sophos entre mil trabajadores se detectó que el 18% de ellos, es decir casi uno de cada cinco, había sido víctima de un ataque de phishing en el pasado. Según el 70% de los entrevistados afirmó estar seguro de poder detectar un ataque de phishing, pero un 21% admitió que no confiaba en poder detectarlo.
Este tipo de fraude es muy común entre los ciberdelincuentes y se usa especialmente en la época de pago de impuestos, durante las vacaciones y utilizando la identidad de empresas con las que tenemos una relación constante y en las que confiamos. El objetivo principal es obtener información confidencial de los usuarios, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. En algunos casos se hacen con esta información a través de formularios y, en otros, descargando un malware en el equipo para cifrar todos los archivos y luego pedir un rescate
Entre las más comunes que se han detectado en España en los últimos tiempos, se pueden nombrar:
· Correos
Suele circular un email cuyo asunto es “Carta Certificada CD 61278791640” en el cual se comunica que el documento no ha podido ser entregada en el domicilio y se informa de un recargo de casi 10 euros diarios por no recogerlo a tiempo. El enlace “Descargar información sobre su pedido” es el que contiene el malware. Tras hacer click se descarga un archivo llamado “Carta_Certificada.zip” que contiene otro denominado “Carta_Certificada.js”. Éste es el que encarga del proceso de cifrado del equipo.
· CaixaBank
En el caso de la suplantación a CaixaBank, los ciberdelincuentes se hacen con las cuentas y contraseñas de acceso a la banca online. Esta campaña de phishing, llega a los usuarios a través de un correo electrónico en el que se ofrece un reembolso de 195€ de la tarjeta de crédito, el pretexto para introducir los datos personales en un formulario que se incluye en el email, y así hacerse con los datos bancarios.
Endesa
Los ciberdelincuentes también han usado la imagen de Endesa para instalar malwares en los equipos de las víctimas. Con el asunto “Factura electrónica de Endesa”, el correo tiene un enlace llamado “consulta tu factura y consumo”, el cual descarga un fichero llamado “ENDESA_FACTURA.zip” que contiene un archivo JavaScript, que al ser ejecutado instala un malware en el equipo para cifrar los ficheros y posteriormente pedir un rescate por ellos.
En caso de ser víctima de Phishing, se recomienda seguir las siguientes pautas de seguridad para evitar convertirnos en una víctima:
· Si vas a hacer clic en el enlace en un correo electrónico, primero mira la URL: Antes de hacer clic, coloca el cursor sobre el enlace para ver la URL completa y pregúntate si es auténtica o no. Hay que tener en cuenta que el ícono de candado o el inicio de ‘https’ no es garantía de autenticidad. Como regla general, si no estás seguro de la autenticidad de la URL, simplemente elimínela de inmediato.
· Esté atento a la Typosquatting, es decir dominios parecidos a servicios legítimos con intenciones maliciosas: Los ciberdelincuentes suelen usar la URL de una marca popular y cambian una o dos letras para engañarte. Por ello, es necesario revisar la ortografía de las URLs y estar atento a la typosquatting como el famoso ataque ‘Tvvitter’.
· Navega por Internet desde tu móvil, pero ten cuidado con la red inalámbrica a la que está conectado cuando esté haciendo compras online: Ingresa la información de tu tarjeta de crédito cuando te encuentres en una red segura en la que confíes. Recuerda que la mejor manera de mantener su dinero seguro es usando PayPal o su tarjeta de crédito. Evite usar tarjetas de débito para compras online.
· La longitud y complejidad garantizan la seguridad de las contraseñas. Haz que las contraseñas de la cuenta sean diferentes y difíciles de adivinar. Incluye letras mayúsculas y minúsculas, números y símbolos para hacer que las contraseñas sean más difíciles de descifrar. En este link puedes encontrar los mejores consejos para crear contraseñas seguras.
· No abrir directamente correos que no hayas solicitado: Antes de abrir cualquier correo electrónico, aunque sea de alguna de las entidades con las que sueles relacionarte, verifica en internet si hay alguna alerta al respecto o llama por teléfono a la empresa y pregunta si están haciendo algún tipo de comunicación.
· No cliques los enlaces de los emails: Como hemos podido ver, por lo general el phishing descarga malwares a través de enlaces, así que hay que tener máxima precaución al seguir enlaces en emails, SMS, en Whatsapp o en redes sociales, aunque sean enviados por personas conocidas.
· No descargues ficheros adjuntos: Como en el caso de los enlaces, hay que tener máxima precaución al descargar ficheros adjuntos a correos en SMS, en Whatsapp o en redes sociales.
· Contar con un programa de formación antiphishing como Sophos Phish Threat para concienciar a través de la educación, poniendo a prueba a los usuarios finales a través de simulaciones de ataques automatizados, capacitación de conciencia de seguridad de calidad y métricas de informes accionables. Sophos Phish Threat es ideal para usar en empresas, ya que el usuario final es la principal víctima en este tipo de ataques.
· Si eres víctima del phishing, cambia tu contraseña inmediatamente: Además es recomendable llamar al banco para confirmar si ha habido alguna actividad fraudulenta, comenta Ricardo Maté, director general de Sophos Iberia.
