Phishing até na Netflix

Analisamos alguns exemplos típicos de isca de phishing nos streamers de filmes.

Filmes e programas de TV têm sido uma grande fonte de conforto para muitos nestes tempos de COVID, e o número de novos programas no Netflix, Amazon Prime e similares disparou. Mas, ao pesquisar o megassucesso mais recente, não negligencie as medidas básicas de segurança ou você poderá descobrir que outra pessoa está aproveitando às suas custas – ou pior, que o dinheiro em sua conta bancária evaporou.

É mais divertido refletir sobre o que assistir a seguir do que vasculhar as configurações de segurança, mas os invasores estão prontos e esperando para desviar suas informações pessoais e de pagamento.

Isca para Phishing

Os serviços de streaming oferecem uma variedade de planos de pagamento, mas geralmente todos envolvem a inserção do cartão de crédito para cobrança. E onde há detalhes do cartão, há phishing. Além do mais, novatos e titulares de contas experientes podem se deparar com diferentes formas de isca. Coletamos alguns exemplos de usuários que concordaram em compartilhar informações sobre ameaças.

“Assine agora!”

Para assinar um serviço de streaming, você precisa de um endereço de e-mail válido; e para pagar, você precisa de alguma forma de pagamento online, como cartão de crédito ou conta do PayPal. (Se você planeja assistir à Apple TV, também precisará de um ID da Apple.)

Para a surpresa de ninguém, os cibercriminosos criaram páginas de assinaturas falsas para coletar todos essas informações de uma só vez. Armados com seus dados, eles podem sacar ou gastar seu dinheiro imediatamente e seu endereço de e-mail deve ser útil para ataques futuros.

No exemplo abaixo, o site falso não é muito convincente. Você consegue identificar os sinais de phishing?

Página falsa de assinatura da Netflix

Página falsa de assinatura da Netflix

“Atualizar dados”

Se você já tem uma assinatura paga, os invasores ameaçarão bloqueá-la, presumindo, logicamente, que você a valoriza. Aqui está um e-mail de “amigos da Netflix”, dizendo ao destinatário para atualizar ou confirmar os detalhes de pagamento ou eles encerrarão a conta. E inclui um grande botão vermelho. Não se apresse em clicar nisso – lembra-se do que acontece nos filmes quando eles pressionam o grande botão vermelho?

“Caro cliente, atualize a sua conta”

O link leva você a uma página de confirmação de pagamento.

Agora, muitas mensagens de phishing contêm erros óbvios, como abordar “cilentes”, mas assumem a forma abaixo como um exemplo que realmente parece plausível. Não tem erros ortográficos ou elementos de design estranhos, mas o usuário desatento que cair nele pode perder dinheiro de sua conta bancária.

O site falso da Netflix solicita a inserção de dados pessoais e bancários, supostamente para reativação da conta

O site falso da Netflix solicita a inserção de dados pessoais e bancários, supostamente para reativação da conta

Um lançamento perigoso

No exemplo abaixo, os cibercriminosos usaram programas populares para atrair fãs que não tinham assinaturas, oferecendo a eles a oportunidade de assistir aos programas no site falso.

Esta página não oficial convida os fãs a assistir ou baixar The Mandalorian

Esta página não oficial convida os fãs a assistir ou baixar The Mandalorian

Como um teaser, eles mostram um clipe curto, que às vezes tentam fazer passar por um episódio novo não exibido. Na maioria das vezes, ele é cortado de trailers que há muito tempo são de domínio público. Vítimas intrigadas são então solicitadas a comprar uma assinatura de baixo custo para continuar assistindo. O que se segue é um cenário clássico: todos os detalhes de pagamento que os usuários inserem vão direto para os bandidos, e o episódio nunca antes visto permanece assim.

Não é mais sua conta

Os cibercriminosos estão interessados ​​em mais do que detalhes de contas bancárias; credenciais de conta para serviços de streaming também são importantes. Como contas sequestradas com assinaturas pagas são colocadas à venda na dark web, você pode fazer login um dia e descobrir que outra pessoa já está lá.

Afinal, dependendo do seu plano Netflix, você pode transmitir em 1 até 4 dispositivos simultaneamente, e os cibercriminosos podem vender suas credenciais de login para qualquer número de streamers. Isso significa que você pode ter que esperar na fila até que algum estranho decida sair.

Esta página de login falsa do Netflix se parece com a real

Esta página de login falsa do Netflix se parece com a real

E não é só isso: muitas pessoas usam a mesma senha para contas diferentes, e os bancos de dados de senhas roubadas dificilmente morrem. Se a senha for a mesma em todos os lugares, a vítima só precisa inseri-la em uma página de phishing uma vez.

Compre uma assinatura para você, não para cibercriminosos

Os cibercriminosos enganam os amantes de filmes e programas de TV de maneiras diferentes. Alguns de seus artifícios são fáceis de detectar, outros nem tanto. Seguindo regras simples de segurança digital, você pode proteger seus dados não apenas em cinemas online, mas também em outros lugares.

  • Não clique em links em e-mails, mesmo que a mensagem pareça ser de um serviço real de streaming (ou qualquer outro); sempre acesse o site oficial digitando o endereço manualmente ou pelo aplicativo;
  • Não confie em nenhuma pessoa ou site que prometa visualizações de filmes ou programas antes da estreia oficial;
  • Preste atenção às bandeiras vermelhas que alertam sobre e-mails de phishing ou sites falsos;
  • Fique alerta e leia mais sobre golpes e esquemas de phishing para saber como detectar quais e-mails e sites são confiáveis ​​e quais você deve evitar;
  • Use senhas diferentes para todas as contas que você valoriza e use um gerenciador de senhas para lembrá-las para você;
  • Use uma solução de segurança confiável que identifica anexos maliciosos e bloqueia sites de phishing.
Dicas