Skip to main content

Nieuwe Netflix phishing truc ontdekt: zo werkt het

(Image credit: Shutterstock / sitthiphong)

Beveiligingsanalisten hebben een gevaarlijke en zeer overtuigende nieuwe Netflix phishing-zwendel ontdekt. Deze nieuwe vorm van phishing is in staat is de traditionele e-mailbeveiligingssoftware te omzeilen.

De onderzoekers van Armorblox hebben de phishing-e-mails geïdentificeerd als een foutmelding voor de facturering, waarbij ze het slachtoffer onder druk zetten om hun betalingsgegevens binnen 24 uur bij te werken. Zo niet, dan zou hun Netflix-account komen te vervallen.

De link in de e-mail verwijst naar een functionerend CAPTCHA-formulier, dat in legitieme scenario's wordt gebruikt om onderscheid te maken tussen mensen en AI. Hoewel deze stap een extra laag aan het proces toevoegt, dient het hier om het gevoel van legitimiteit te versterken.

Nadat gebruikers hun accountgegevens invoeren, evenals hun factuuradres en betaalkaartgegevens, wordt het slachtoffer vervolgens doorgestuurd naar de echte Netflix homepagina, zonder dat hij of zij zich bewust is van het feit dat zijn of haar gegevens zijn gecompromitteerd.

Netflix phishing

Terwijl Netflix-phishing al bestaat sinds het platform een prominente plaats inneemt, is deze nieuwste oplichterij bijzonder bedreigend. Dat heeft te maken met zowel de professionaliteit als het probleem dat de mail vaak e-mailfilters weet te omzeilen.

Volgens ArmorBlox-onderzoekers zijn de oplichters e-mailbeveiliging met behulp van twee verschillende technieken vaak te slim af.

Het legitieme CAPTCHA-formulier dient om de phishing landingspagina te verbergen voor beveiligingstechnologieën die URL redirects analyseren, terwijl de landingspagina zelf gehost wordt op een bonafide domein (www.axxisgeo.com), dat beheerd wordt door een in Texas gevestigde olie- en gasmaatschappij. 

"Door phishingpagina's te hosten op legitieme moederdomeinen, zijn aanvallers in staat om veiligheidscontroles te omzeilen op basis van URL/link-bescherming, en om filters te omzeilen die bekende slechte domeinen blokkeren", zo legt ArmorBlox uit in een blogpost.

"Aanvallers maakten waarschijnlijk gebruik van kwetsbaarheden in de webserver of het Content Management System (CMS) om deze pagina's te hosten op legitieme moederdomeinen, zonder dat de beheerders van de website dit wisten.

De informatie die de oplichters verzamelden, kon worden gebruikt in een aantal secundaire aanvallen, waaronder het hacken van accounts, identiteitsdiefstal en financiële fraude.

Om zich te beschermen tegen dit soort phishingaanvallen, adviseert men gebruikers om e-mails te onderzoeken op afwijkingen die een oplichterij kunnen identificeren, en de URL's van de landingspagina's met bekende adressen te controleren (bijv. www.netflix.com) voordat ze account- of betalingsinformatie invoeren.