La cible du moment
Depuis quelques semaines, un e-mail demandant de mettre à jour les données vise les abonnés du service SVOD de Netflix. Celui-ci prétend provenir du support. Netflix est, en effet, l’objet d’une cyberattaque par phishing.
Le piège est assez classique et courant : le message informe les utilisateurs d’un problème de facturation et qu’il est nécessaire de vérifier et mettre à jour leurs informations personnelles. En outre, ajoutez à cela la notion d’urgence : en effet, l’e-mail indique que faute de réponse dans les 24 heures, le compte Netflix sera clôturé.
Ce n’est pas la première fois que Netflix doit faire face à ce type de cyberattaque par phishing. Fin mars 2020, un e-mail d’hameçonnage du même genre circulait déjà.
La technique et le processus sont, par ailleurs, bien rodés : cet e-mail frauduleux contient un lien qui renvoie vers un site miroir de la plateforme de streaming. Avant d’accéder au site, le lien de redirection amène l’internaute vers une fenêtre CAPTCHA. Confiant, l’utilisateur renseigne le formulaire mis en place et géré par les hackers : identifiants de connexion, téléphone, coordonnées de carte bancaire…tout y est ! Enfin, l’usager atteint réellement le site officiel.
Ni vu ni connu : le pirate informatique vient le hacker !
Le seul indice qui peut, néanmoins, éveiller les soupçons est l’adresse URL. Mais encore faut-il être vigilant !
Comment repérer le phishing ? L’exemple de Netflix
Netflix est un exemple regroupant toutes les caractéristiques standards d’une campagne de phishing :
- Appel à l’action (cliquez ici) ;
- Notion d’urgence (24 heures pour répondre) ;
- Caractère punitif (“si vous ne répondez pas, votre abonnement sera annulé”) ;
- Lien corrompu ;
- Adresse URL erronée ;
- Site miroir ;
- Abus de confiance ;
- Récupération des données personnelles.
Autant d’informations dont les hackers peuvent se servir afin de pirater un individu tant dans son environnement personnel que dans son environnement professionnel.
Imaginez les conséquences si l’usager a pour habitude de mélanger ses usages professionnels et ses usages personnels. D’ailleurs, rappelons qu’ici, il s’agit d’ingénierie sociale et que cela peut avoir des conséquences désastreuses. C’est pourquoi sensibiliser les utilisateurs sur les bonnes pratiques à adopter pour éviter les pièges de l’hameçonnage, est primordial.
