CERT Polska od dłuższego czasu obserwuje kampanię phishingową ukierunkowaną na użytkowników serwisu streamingowego Netflix. Celem przestępców jest wyłudzenie dostępu do konta do serwisu Netflix oraz danych karty płatniczej.

Schemat działania

Standardowo oszustwo rozpoczyna się od wiadomości mailowej w języku polskim, której celem jest przykucie uwagi potencjalnej ofiary. Maile są rozsyłane pod przypadkowe adresy, także do osób nieposiadających konta w serwisie Netflix.

Charakterystyczną cechą tej kampanii jest szeroki wachlarz szablonów wiadomości stosowanych przez oszustów. Informują one np. o rzekomych problemach z rozliczeniem ostatniej płatności, aktualizacji warunków korzystania z usługi czy możliwości uzyskania zwrotu za niesłuszne obciążenie karty w wyniku awarii. Jednak wszystkie te wiadomości zawierają niezmienny element - link prowadzący do kontrolowanej przez oszustów strony. Warto zwrócić uwagę, że te strony najczęściej są na domenie ze strefy .pl i nie próbują w żaden sposób imitować prawidłowej domeny netflix.com.

Po podaniu danych logowania trafiają one w ręce oszustów, którzy mogą wykorzystać je do przejęcie konta. Natomiast ofiara, będąc ciągle na stronie kontrolowanej przez oszustów, jest informowana o rzekomych problemach z ostatnią płatnością i wynikającą z nich koniecznością aktualizacji danych. Strona wymaga w tym celu uzupełnienia formularza, który obejmuje dane osobowe oraz dane karty płatniczej, takie jak jej numer, data ważności oraz kod zabezpieczający (CVV), wykorzystywany do autoryzacji transakcji.

Po jego wysłaniu strona wyświetla komunikat końcowy i może przekierować do prawdziwej witryny. W tym momencie oszuści mogą wykorzystać uzyskane informacje do wyprowadzenia środków z rachunku bankowego, do którego przypisana jest karta.

Dodatkowo, nasz zespół zaobserwował identyczną kampanię, która różniła się jedynie sposobem dystrybucji. W tym przypadku oszuści wysyłali wiadomości SMS, które zawierały informację o tymczasowej blokadzie konta. Miała ona rzekomo zostać usunięta po zweryfikowaniu danych przez użytkownika. Link zamieszczony w wiadomości ponownie prowadził do strony wyłudzającej dane użytkowników.

Jak się chronić?

W przypadku otrzymania wiadomości mailowej należy zwracać szczególną uwagę, czy adres nadawcy nie budzi wątpliwości. Ponadto warto uważnie czytać treść maila - wiadomości oszustów, choć są napisane w polskim języku, bardzo często zawierają błędy językowe i literówki. Przed logowaniem na stronie należy sprawdzić, czy jej adres zgadza się z domeną serwisu Netflix (w tym przypadku netflix.com). W razie wątpliwości co do prawdziwości otrzymanej wiadomości lub strony internetowej zalecamy powstrzymanie się od podawania jakichkolwiek informacji i kontakt z pomocą techniczną serwisu Netflix lub przesłanie zgłoszenia do naszego zespołu za pośrednictwem formularza.

Co zrobić w przypadku, gdy doszło do wyłudzenia danych

W pierwszej kolejności należy natychmiast skontaktować się z bankiem i zastrzec kartę płatniczą. Następnie zalecamy podjąć kroki w celu zabezpieczenia konta na platformie Netflix. W tym celu rekomendujemy zmianę hasła i zakończenie wszystkich nieznanych sesji (więcej informacji na ten temat można znaleźć na stronie pomocy technicznej). Gdy konto zostało już przejęte i nie ma możliwości zalogowania się do niego wówczas należy skontaktować się z pomocą techniczną platformy. Jeżeli doszło do obciążenia rachunku to należy zgłosić kradzież organom ścigania, a następnie złożyć reklamację w banku lub skorzystać z mechanizmu ChargeBack.