Une campagne de phishing en cours usurpe l'identité de Netflix. Son objectif : faire croire à un arrêt de l'abonnement pour que la victime communique ses informations bancaires.

Vous avez reçu un étrange message de réabonnement à Netflix ? Vous vous en doutiez, il s’agit effectivement d’un phishing qui circule en cette fin novembre 2020. Le message frauduleux vise à dérober vos informations de carte bancaire et à vous faire valider une transaction.

Cyberguerre a pu décortiquer l’un d’entre eux, passé outre les filtres antispam d’une boîte email : « Cher(e) Client(e), malheureusement, nous n’avons pas pu résoudre vote problème de paiement et votre abonnement a donc été annulé. Nous serions bien évidemment très heureux de vous compter de nouveau parmi nous. Pour ce faire, il vous suffit de réactiver votre abonnement » (sic). Deux petites fautes de grammaire se sont glissées dans le courriel, mais elles peuvent passer inaperçues lors d’une lecture rapide. Cependant, c’est un premier signal d’alerte.

Le courriel donne plusieurs bonnes raisons de cliquer dessus. // Source : Capture d’écran Numerama

L’expéditeur apparaît être « Netflix » : les pirates ont effectué une manipulation de l’affichage, couramment utilisée et plutôt facile à faire. Il suffit de cliquer sur le nom, afin de découvrir l’adresse cachée et de découvrir la supercherie. Dans notre cas, l’email provient en réalité de noreply@identity.wpengine.com. Puisque le nom de domaine officiel de Netflix est netflix.com, on peut en conclure que l’entreprise n’est pas à l’origine du message. Deuxième signal d’alerte donc.

Nous avons tout de même cliqué sur le lien contenu dans l’email sur les mots « Réactiver L’abonnement » (sic).

Faux chargement, vraie arnaque

L’email nous mettait en garde : « IMPORTANT : En cas de non règlement sous 3 jours, votre compte pourrait être DEFINITIVEMENT effacé. » C’est une des ficelles les plus utilisées par les malfrats. Ils tentent de créer un sentiment d’urgence, afin de précipiter la décision de leur cible. Si elle ne prend pas le temps de se poser les bonnes questions, elle ne repèrera pas les imperfections du courriel frauduleux comme les fautes de grammaire, les mises en page étranges, ou le caractère inhabituel de la situation.

Reste que dans ce cas précis, la menace n’est pas vraiment élevée. À part l’historique des films et séries visionnés, il n’y a rien à perdre sur un compte. Et le délai de 3 jours paraît plutôt large. Mais encore une fois, plus la victime réagira de façon précipitée — sur une courte pause au travail ou lors d’un trajet par exemple– plus le schéma des malfrats aura de chances de réussir.

La page prétend qu’elle effectue une procédure d’authentification. // Source : Capture d’écran Numerama

Le lien de l’email nous embarque dans une série de redirections qui vise vraisemblablement à tromper les filtres antispam de certains services d’email. Nous aboutissons à une page soi-disant en chargement (alors qu’elle ne l’est techniquement pas). Elle affiche « Vérification des coordonnées de votre identifiant », et un grand logo Netflix a pour objectif de nous faire croire que nous sommes sur un page du géant américain. À la fin du faux chargement, un formulaire de paiement à « Netflix France » apparaît, sans plus de contexte.

Les malfrats volent les informations bancaires et la double authentification

C’est ici qu’il faut faire attention. Un coup d’œil vers l’URL suffit à lever les doutes : acces-8172-2798-cgi[.]nickis[.]shop. Nous ne sommes pas sur une page de netflix.com, elle n’appartient donc pas à l’entreprise. Mais admettons que nous n’avons pas fait cette vérification : nous entrons un faux numéro de carte bancaire. Il faut savoir que les chiffres de votre carte ne sont pas complètement aléatoires : ils respectent un certain nombre de règles, que les sites web peuvent vérifier. C’est le cas de la page frauduleuse, et nous utilisons donc un générateur de numéro de carte bancaire plausible pour poursuivre notre petite enquête.

Après cette étape, le site nous demande d’entrer un code de sécurité envoyé sur notre smartphone. Cette procédure de double authentification par SMS est demandée par plusieurs banques. Mais puisque notre numéro de carte est faux, nous ne recevons pas de code.

Reste qu’en obtenant le code, les pirates rendraient leur adresse de paiement légitime auprès de la banque. Et ils pourraient éventuellement créer d’autres paiements grâce aux informations en leur possession, en fonction des protections de chaque banque.

Après le formulaire de paiement, la page demande un code envoyé par SMS. // Source : Capture d’écran Numerama.

Morale de cette histoire : si vous vous inquiétez pour le renouvellement de votre compte Netflix, passez plutôt par l’app officielle sur smartphone, ou directement par le site officiel netflix.com.

Netflix est-il responsable du phishing ?

Les pirates utilisent régulièrement l’identité de Netflix pour leurs arnaques, afin de profiter de sa popularité. Avec plus de 6,7 millions d’abonnés Netflix en France et plus de 190 millions dans le monde, les chances que leur message frauduleux touche une personne concernée s’avèrent relativement grandes.

Première chose à savoir lorsque vous recevez un email de phishing : rien n’indique que l’entreprise imitée dans le message a eu un quelconque problème de sécurité. L’éventualité existe, mais elle est rarement confirmée. Vous pouvez prévenir l’organisation, car elle pourra traquer les messages qui usurpent son identité et prévenir ses clients. Mais elle ne pourra pas, dans l’absolu, bloquer toutes les tentatives d’usurpation, et elle ne sera pas responsable en cas d’arnaque.

Les pirates pêchent au filet

Mais alors, comment s’y prennent les malfrats ? Concrètement, ils vont acheter (ou trouver gratuitement) des listes d’emails, le plus souvent issues de fuites de données de différents services, agrégés en gigantesques lots. Dans la majorité des cas, le phishing ne sera pas ciblé, dans le sens où les malfrats ne savent pas si oui ou non vous êtes abonné à Netflix, et ils n’auront que peu d’informations rattachées à votre email.

Ils feront simplement un envoi d’email aux milliers d’adresses qu’ils ont récupéré, tout en sachant qu’une plus ou moins grande partie des destinataires ne sera pas concernée par leur message.

C’est pourquoi ils utilisent des noms d’entreprises qui touchent un très grand public comme La Poste, PayPal, Darty ou celui de services publics comme l’Assurance Maladie. Dans le cas de Netflix, plus d’un Français sur dix pourrait se sentir concerné par le message de réabonnement.

Que faire si j’ai cliqué sur le phishing Netflix ?

  • Vous avez entré vos informations bancaires ? Faites opposition au plus vite. La grande majorité des banques ont une ligne téléphonique dédiée, appelez-là.
  • Vous avez cliqué sur le lien, mais vous n’avez pas rentré vos informations ? Pas d’inquiétude à avoir.
  • Redoublez d’attention et faites-vous confiance. Si un message vous parait ne serait-ce qu’un peu suspect, vous avez raison de le décortiquer. Peut-être que vous passerez parfois à côté de messages légitimes, comme ce courriel de Netflix aux allures de phishing. Mais mieux vaut passer à côté d’un ou deux messages que de mordre à message frauduleux.

Crédit photo de la une : Logo Netflix

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux