Netflix : hacké ?

0
Les chercheurs de FireEye ont récemment identifié une campagne de phishing mise en place pour attirer les utilisateurs de Netflix à renoncer à leurs informations. La campagne – maintenant disparue – a commencé par un courriel informant les utilisateurs qu’ils avaient besoin de mettre à jour les détails de leur compte.
De là, les victimes ont été amenés à une page de connexion légitime Netflix où ils les été demandé leur adresse e-mail et mot de passe Netflix. Non content de l’obtention des informations d’identification des utilisateurs, l’attaquant dirige alors les victimes vers un autre formulaire où il leur est demandé de mettre à jour leurs informations de facturation. 
Les utilisateurs sont encouragés à entrer leur nom, date de naissance, adresse et informations de carte de crédit. En plus, l’attaquant a demandé aux utilisateurs de fournir leur numéro de sécurité sociale – quelque chose que Netflix ne demanderait jamais – et le code sécurisé 3D VBV (Verified by Visa) des utilisateurs, un service relativement nouveau utilisé par Visa en Europe et en Inde.
Alors que les pages imitent les pages réelles Netflix et même disposer d’un jaune « serveur sécurisé » de verrouillage, ils sont complètement faux. La campagne renvoie réellement toutes les informations vers l’attaquant via un utilitaire de messagerie PHP, ce qui leur permet de déployer le kit d’hameçonnage sur plusieurs sites Web.
Mohammed Mohsin Dalla, chercheur au sein de l’équipe de recherche sur les menaces de FireEye qui a découvert la campagne, note que jusqu’à ce qu’elle ait été retirée, la campagne était capable de contourner les filtres de phishing car elle utilisait le cryptage AES pour coder le contenu servi, ce qui aurait rendu facile pour elle d’échapper à la détection.
« En occultant la page Web, les attaquants tentent de tromper les classificateurs basés sur le texte et les empêchent d’inspecter le contenu des pages Web« , assure Mohammed Mohsin Dalla, expert de l’équipe de FireEye qui a découvert le malware, « cette technique emploie deux fichiers, un PHP et un fichier JavaScript qui ont des fonctions pour chiffrer et décrypter l’entrée. Le fichier PHP est utilisé pour chiffrer les pages Web du côté serveur … du côté client, le contenu chiffré est décodé en utilisant une fonction définie dans le fichier JavaScript. Les campagnes de phishing qui ciblent les clients Netflix ne sont pas révolutionnaires, mais celle-ci était différente en raison de la façon dont elle évitait la détection et servait ses pages d’hameçonnage. Les pages hébergées sur des serveurs légitimes mais compromis ne s’affichent pas aux utilisateurs si leur DNS est lié à Google ou à PhishTank, un service anti-phishing qui regroupe des données sur les escroqueries comme celles-ci.
Fig1-1024x579
En fait, selon FireEye, si un visiteur de Google, Phishtank, ou d’autres sites comme le Calyx Institute ou Netflix lui-même visite le site faux, la campagne permettrait d’assurer un message « 404 pas trouvé » serait affiché – ce qui rend moins probable que l’arnaque soit découvert.
Les campagnes de phishing de Netflix sont devenues des escroqueries omniprésentes. Une poignée de faux courriels facture a fait les tours au Royaume-Uni plus tôt cet été en essayant de tromper les utilisateurs en pensant qu’ils avaient acheté un abonnement Netflix et insistent pour qu’ils remettent leurs informations de carte de crédit.
Une autre arnaque, qui a été mis sur les utilisateurs Netflix et essayé de leur convaincre qu’ils avaient besoin de mettre à jour leurs données de carte de crédit, a fait les rounds l’été dernier, en Juillet. Après avoir entré leurs informations, les victimes ont été informées de leur compte a été suspendu et qu’ils ont besoin de télécharger «logiciel de support Netflix». Ce logiciel, au moins selon le Bureau de Better Business Bureau de Knoxville, était un «logiciel de connexion à distance» qui a remis les attaquants les clés des ordinateurs des victimes.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply