Le but des hackers attaque était de profiter de la popularité de Netflix pour s’emparer des identifiants de connexion de ses clients français.
Il semble que les confinements successifs ont beaucoup contribué au succès de Netflix et, l’année dernière, lui a été bien profitable. Avec 37 millions de clients qui se sont abonnés en 2020, Netflix a dépassé les 200 millions d’abonnés dans le monde entier. C’est peut-être ce succès vertigineux qui lui a attiré une attention particulière des hackers. Cela ayant pour conséquence que, depuis quelques semaines, plus de 70.000 clients français de Netflix ont été victimes de phishing.
Le schéma utilisé a été tout à fait classique. L’objectif des campagnes de phishing est d’inciter la victime à transmettre ses informations confidentielles (par exemple : des identifiants de connexion à un compte) à l’auteur de l’arnaque, souvent en lui proposant de suivre un lien ou d’ouvrir une pièce jointe. La victime ouvre un e-mail (qui contient une pièce jointe) ou un lien vers une URL de phishing, qui donne l’impression d’être envoyé par un expéditeur familier, par exemple un prestataire de services ou une institution publique.
Lors des attaques types de phishing par URL, l’e-mail reçu incite la victime à se connecter sur son compte habituel de son prestataire. Après avoir cliqué sur le lien, l’utilisateur est dirigé vers une fausse page Web, qui lui donne l’impression d’être le site de l’entreprise, Netflix en l’occurrence, sélectionnée par le hacker. Lorsque la victime saisit son login et son mot de passe, ces données sont expédiées à l’auteur de l’attaque. La victime ne s’en rend pas compte car, étant par la suite redirigée vers le site authentique, elle croit qu’elle s’est trompée en saisissant ses informations de connexion la première fois.
Les abonnés de Netflix ont reçu des e-mail si bien faits, qu’ils ne se sont pas rendus compte de leur caractère frauduleux. Le logo de Netflix et la signature de son équipe étaient censés dissiper tous les doutes possibles. Le but de ces campagnes de phishing a été de voler les identifiants de connexion des abonnés.
Certains messages signalaient aux destinataires que suite à un problème « de facturation » leurs comptes ont été suspendus par Netflix. Proofpoint, une société de cybersécurité réputée, a précisé que « si l’on clique sur l’URL figurant dans l’e-mail, le lien redirige alors vers un faux portail web demandant à l’utilisateur de fournir ses identifiants de connexion ».
Quels sont les mesures à prendre pour se protéger contre le phishing ?
Il existe des solutions. Des passerelles de messagerie qui sont capables de détecter et de catégoriser les e-mails de phishing compte tenu de la mauvaise réputation des liens URL qu’ils contiennent. Par contre, ces solutions ne sont pas toujours capables d’intercepter les emails de phishing qui contiennent des adresses URL de sites Web légitimes, ou des URL qui ne figurent pas dans la liste de celles de mauvaise réputation.
Il existe des systèmes capables d’intercepter les e-mails suspects à partir des anomalies, analysant les cas inhabituels dans le trafic, effectuant une surveillance non-stop.
Mais c’est aussi aux utilisateurs à apprendre à réfléchir, et analyser, pour détecter les messages suspects. Par exemple, sur la capture d’écran du message électronique frauduleux, prétendant être envoyé par l’équipe de Netflix, on voit 4 fautes d’orthographe ce qui devrait mettre en garde les abonnés.