Fałszywe strony serwisów streamingowych - Uważaj na te oszustwa

PREBYTES Security Incident Response Team -

Platformy streamingowe, szczególne od czasu pandemii zyskują na popularności. Użytkownicy chętnie z nich korzystają, aby obejrzeć interesujące seriale, filmy, czy posłuchać ulubionej muzyki, w dowolnym czasie. Wszystkie popularne platformy świadczą swoje usługi w ramach płatnej subskrypcji, a domyślną formą płatności jest podpięta do konta karta płatnicza. Oszuści oczywiście to wykorzystują i najczęściej pod pretekstem wygaśnięcia subskrypcji, czy problemów z płatnością na danej platformie proszą o wprowadzenie poufnych danych, szczególnie tych dotyczących kart płatniczych. Pozyskując te dane, mogą m.in. realizować zakupy online, wynajmować noclegi, czy sprzęt.

Fałszywe wiadomości SMS i Email

Każdy atak phishing ma swoje źródło, tak zwany wektor ataku. W przypadkach opisywanych w niniejszym artykule najpopularniejszym są wiadomości SMS.
Poniżej prezentujemy przykładowe teksty wiadomości SMS.

" Amazon: Twoja subskrypcja Amazon Prime jest obecnie zawieszona. Zaktualizuj go pod adresem: [LINK]"
" NETFLIX: Twoja subskrypcja jest tymczasowo zawieszona, prosze potwierdzic swoje dane, aby ja reaktywowac. Idz do: [LINK]"
" NET-FLIX: Twoja ostatnia platnosc zostala odrzucona, prosimy o potwierdzenie informacji. Przejdz do: [LINK]"
" NETFLIX: Twoja subskrypcja wygasla, prosimy o jej odnowienie poprzez potwierdzenie danych w ciagu 24 godzin. [LINK]"
" NETFLIX: Zaktualizuj swoje dane kontaktowe, aby nadal korzystać z naszych usług: [LINK]"
" DisneyPlus: Twoja platnosc nie moze byc zrealizowana. Aby nadal korzystac z naszych uslug, zaktualizuj swoje dane tutaj: [LINK]"

Poniżej prezentujemy kilka schematów wiadomości SMS, które były i w dalszym ciągu są rozsyłane na szeroką skalę.


Linki do złośliwych stron phishing są także dystrybuowane poprzez wiadomości email, a także reklamy w serwisach społecznościowych. Poniżej przykładowa wiadomość email pochodząca rzekomo z serwisu Netflix.

Strony podszywające się pod serwisy streamingowe

We wszystkich przypadkach, niezależnie od źródła wiadomości, odbiorca informowany jest o problemach z jego kontem w danym serwisie streamingowym. W niektórych przypadkach użytkownik jest proszony o zaktualizowanie danych kontaktowych, odnowienie subskrypcji, a jeszcze w innych o ponowienie opłaty za subskrypcję. Ma to na celu zastraszyć, tak aby użytkownik posiadający konto na danej platformie jak najszybciej zareagował i przeszedł na podaną w wiadomości stronę, która okazuje się być fałszywą.
W pierwszym kroku ataku, po przejściu na fałszywą stronę, użytkownik proszony jest o zalogowanie się do serwisu.

Po wprowadzeniu danych logowania wyświetlony zostaje komunikat z informacją, że nie udało się odnowić subskrypcji Amazon Prime z powodu nieudanej płatności. Należy zweryfikować informacje na temat karty płatniczej.

W kolejnym kroku użytkownik jest proszony o podanie danych płatności, tj. danych teleadresowych (imię, nazwisko, data urodzenia, numer telefonu, adres zamieszkania).

Po wprowadzeniu danych teleadresowych należy wprowadzić dane karty płatniczej, z której zostanie wykonana opłata za subskrypcję w Amazon Prime.

W kolejnym kroku wyświetlony zostaje komunikat "Twój sposób płatności został odrzucony" oraz formularz do wprowadzenia danych karty płatniczej. Użytkownik widząc taką informację może spróbować wprowadzić dane innej karty.

W ten sposób cyberprzestępcy mogą pozyskiwać dane z kilku kart płatniczych.

Inne fałszywe strony serwisów streamingowych

Schemat działania cyberprzestępców w atakach na inne platformy streamingowe jest bardzo podobny. Różnić mogą się wiadomości informujące o problemach z kontem dystrybuowane poprzez wiadomości email, czy SMS oraz ewentualnie niektóre dane, które są wyłudzane przez oszustów.

Tak prezentuje się strona phishing platformy Netflix po wprowadzeniu danych logowania. Widoczny jest komunikat o zawieszeniu konta.

W celu odblokowania dostępu do konta użytkownik w kolejnym kroku proszony jest o aktualizację danych płatniczych.

Serwis streamingu muzyki Spotify także jest na celowniku oszustów. W pierwszym kroku (dla wszystkich platform jest podobnie) należy podać dane logowania do konta.

W kolejnych krokach następuje wyłudzenie danych karty płatniczej, a także wyłudzany jest kod autoryzacyjny SMS w celu weryfikacji transakcji.

W przypadkach jak powyżej cyberprzestępcy wyłudzają także kody SMS, ponieważ niektóre operacje (np. zakupy online), gdzie używana jest karta płatnicza, wymagają właśnie kodów autoryzacyjnych, których mogą potrzebować oszuści.

Inna popularna platforma streamingu wideo także jest na celowniku oszustów, tak prezentuje się fałszywa strona serwisu Disney+.

We wszystkich przypadkach celem cyberprzestępców jest pozyskanie danych kart płatniczych w celu wykorzystania ich do swoich celów np. wypłaty środków czy zakupów online.

Złośliwe strony podszywające się pod platformy streamingowe są przez nas skutecznie blokowane w BrowserWall DNS. Informacje na temat aktualnych zagrożeń w cyberprzestrzeni są dostępne w CTI Feed. Baza danych o cyberzagrożeniach jest na bieżąco aktualizowana.

Podsumowanie

Zachowujcie ostrożność otrzymując wiadomości SMS, czy email rzekomo z serwisów, z których korzystacie na co dzień. Dokładnie sprawdzajcie ich treść oraz w razie wątpliwości wszelkie informacje i komunikaty weryfikujcie u źródła poprzez oficjalne kanały kontaktowe danych platform streamingowych. Linki zawarte w wiadomościach SMS, czy email, będą przekierowywać do stron, które łudząco przypominają strony logowania serwisów, z których korzystasz, ale w rzeczywistości są to strony phishing. Celem oszustów opisywanego schematu ataku jest wyłudzenie danych kart płatniczych, co może skutkować utratą pieniędzy z konta, do którego karta jest podpięta.