"Su pago no ha sido confirmado, por favor confirme sus datos en 24 horas". Esto afirma un supuesto SMS de Netflix, la plataforma de streaming de series y películas, que están recibiendo algunos usuarios. Sin embargo, se trata de un caso de smishing: los timadores se hacen pasar por la plataforma de contenidos para hacerse con los datos personales y bancarios de las víctimas. Tanto la Oficina de Seguridad del Internauta (OSI) como los Mossos d'Esquadra han advertido sobre el timo.
Se hacen pasar por Netflix a través de un SMS para redirigirte a una web fraudulenta
La OSI explica que los mensajes que se están enviando utilizan como reclamo frases como "confirmar datos", "pago rechazado" o "actualice su información" y van introducidos por la palabra "NETFLIX" para dar más credibilidad al timo. Asimismo, intentan transmitir urgencia en el usuario, al pedir que realice una acción en un periodo de 24 horas.
Los SMS incluyen URL que utilizan palabras muy similares al nombre de Netflix, como "netfspain" o "netfxes". Esas URL dirigen a páginas web fraudulentas que suplantan a la web oficial de Netflix (https://www.netflix.com/es/), utilizando su imagen corporativa, como su logo o su diseño. Una vez el usuario está en esa web fraudulenta, le solicitan que introduzca sus credenciales de acceso.
Una vez la víctima ha introducido su usuario y contraseña, le muestran un mensaje que indica que su cuenta está temporalmente suspendida. Al pinchar en el botón 'Siguiente', aparece un formulario para que introduzca sus datos personales:
En el siguiente paso, le piden al usuario los datos de su tarjeta bancaria. Cuidado, porque si los introducimos podrían realizarnos un cobro:
Netflix afirma en su página web que nunca te pedirá que “proporciones información personal a través de un mensaje de texto o correo electrónico”. Entre esta información incluye números de tarjeta de débito o de crédito, datos de la cuenta bancaria o contraseñas de Netflix. Además, los Mossos d'Esquadra también han alertado de este timo a través de Twitter. "No piques, es una campaña de smishing", aclaraban.
⚠️ Suplanten @NetflixES i et diuen que no han renovat la suscripció del teu compte perquè has de confirmar el pagament i les teves dades en 24 hores. No piquis, és una campanya d'smishing #StopEstafes #CyberSecMonth pic.twitter.com/o7ZFHnPCE8
— Mossos (@mossos) October 25, 2022
Recientemente, desde Maldita.es advertimos de otro caso de smishing en el que también suplantaban a Netflix diciendo que el pago de tu suscripción había sido rechazado.
Qué hacer si has caído en el timo
Si has introducido tu usuario y contraseña de Netflix en el timo, la OSI recomienda que compruebes si todavía tienes acceso a tu cuenta. Si es así, debes cambiar tu contraseña a una más robusta. Además, si utilizas la contraseña que se ha visto comprometida en otras cuentas, también debes cambiarla en esos servicios. Si ya no tienes acceso a tu perfil, debes ponerte en contacto con Netflix.
Y, si has introducido los datos de tu tarjeta bancaria, debes ponerte en contacto cuanto antes con tu banco "o con el número de teléfono de emergencia de la compañía emisora de tu tarjeta" para bloquearla o anular los cargos realizados recientemente y también futuros movimientos, según apunta la OSI.
Consejos para evitar ser víctima de 'phishing'
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la URL de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- No te fíes si el texto tiene faltas de ortografía o frases inconexas.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
Si has sido víctima de esta estafa u otra similar, puedes contarnos tu caso escribiéndonos al email [email protected].
Primera fecha de publicación de este artículo: 25/10/2022