Dostałeś dziwny mail od Netflixa – czy to aby na pewno oficjalna wiadomość?
To szalenie popularny portal VOD, więc nawet wysyłając w ciemno maile, przestępcy mają dużą szansę, że trafią akurat na kogoś, kto subskrybuje usługę. Możecie spotkać się z napisaną po angielsku wiadomością, co już wzbudza podejrzenie, bo Netflix jest przecież dostępny też w pełni po polsku z całym przetłumaczonym interfejsem. Poza tym część liter została zastąpiona znakiem zapytania (co ciekawe zupełnie losowo, choć na początku myślałem, że tylko jeden lub dwa wybrane znaki), a to już znacznie większe niedopracowanie wiadomości, która może być podstawą do wyłudzenia danych.
Mail, który udaje wiadomość od zespołu Netflixa / foto: Instalki.pl
Co się w niej znajduje? Tekst w luźnym tłumaczeniu głosi – „Twoje członkostwo zostanie utracone. Niestety nie możemy dalej świadczyć ci usług serwisu Netflix z powodów bezpieczeństwa. W rezultacie twoje konto zostało zablokowane, a usługi zawieszone. Co powinieneś zrobić? Aby przywrócić dostęp, musisz potwierdzić pewne informacje. Użyj poniższego linku, żeby się zalogować i potwierdzić informacje w celu odblokowania konta i wznowienia świadczenia usług serwisu Netflix. [fraza stanowi link -] Zaktualizuj dane! [podpis -] Zespół Netflix.„
Fałszywy Netflix na forum samochodowym
Jak widać, nie ma żadnych szczegółów, o jakie względy bezpieczeństwa chodzi czy jakie dane musimy potwierdzić. Po kliknięciu w link naszym oczom ukazuje się strona z bardzo dziwnym długim adresem, a jej oprawa jest łudząco podobna do witryny logowania Netflixa. Oczywiście to tylko podróbka. Jeśli spróbujemy zalogować się do fałszywego serwisu, zapewne cyberprzestępcy zaraz przejmą dane dostępowe, a później informacje wpisywane w celu potwierdzenia dodania karty płatniczej do konta Netflixa.
Fałszywa strona – już po przejściu na krótszy adres ujawniający domenę zhakowanego forum / foto: Instalki.pl
Okazuje się, że podrobiona strona została umieszczona wśród plików serwera zupełnie niewinnej strony fourwheelforum będącej anglojęzycznym forum fanów samochodów. To częsta praktyka, którą wykorzystują cyberprzestępcy. Znajdują strony postawione na takich systemach zarządzania treścią jak np. Joomla czy WordPress, w których dany system nie był długo aktualizowany i od dawna znane są podatności jego starych. Ewentualnie szukają innych furtek. Jeśli uzyskają dostęp do manipulowania plikami na serwerze plików danej witryny, wrzucają dodatkowo swoje nielegalne treści, tak jak w tym przypadku.
Strona już nie działa, ale nowe ataki phishingowe są tylko kwestią czasu
Jeszcze niedawno na fałszywą stronę logowania można było normalnie wejść, teraz jest to niemożliwe. Filtry części popularnych przeglądarek internetowych zostały zaopatrzone już w odpowiednie reguły, a nawet jeśli mamy taką, która jej nie dostała, to i tak witryna została usunięta (zapewne przez administratora fourwheelforum). Należy jednak pamiętać, że akcja może się szybko powtórzyć. Cyberprzestępcy mogą łatwo znaleźć kolejną nieodpowiednio zabezpieczoną stronę lub po prostu postawić fałszywą witrynę logowania na własnym serwerze.
Zobacz również: To nie Tom Cruise. Profil na TikTok ze świetnymi deepfake. Wielu dało się nabrać [wideo]
Źródło i foto: własne / Instalki.pl