Sebastián R. deslizou o rato do computador, intrigado pela mensagem que acabava de chegar a sua bandeja primeiramente corporativa. Era um correio eletrónico de Netflix que lhe advertia de que sua conta ia ser suspendida de imediato por um suposto problema de facturação.
O desenho era perfeito, idêntico ao original, e o remitente, invoice@netflix.com, irradiaba autoridade. Não obstante, tinha um detalhe absurdo e incongruente que lhe fez estar seguro de que o remitente não era realmente Netflix e que se tratava de um ataque de phishing. Ou isso parecia inicialmente.
A anatomía do engano
Aquela mensagem tinha chegado a seu correio eletrónico de trabalho, uma direcção que não estava vinculada à plataforma de streaming e que, por isso, acordava todas as suspeitas.
Para entender a magnitude da mensagem que recebeu Sebastián, Consumidor Global tem consultado a Samuel Parra, advogado especialista em protecção de dados e ciberseguridad. "Efectivamente, é um ataque de phishing muito bem construído", assinala.
"Detecta-se porque o enlace ao que te envia o botão de 'validar agora' não é um enlace legítimo, aponta ao domínio safelinks.info (se fazendo passar pelo serviço real de ciberseguridad de Microsoft Safe links)", continua a explicação o experiente. "Essa é de facto a única pista para detectar esse ataque de phishing, porque a direcção de remitente é @netflix.com (têm suplantado a direcção de remitente)", realça sobre a técnica de spoofing –suplantación de identidade– utilizada.
O giro de guion
De repente, Parra detém-se num matiz. "É estranho que o servidor de correio do afectado o tenha deixado passar, que não tenha acabado na pasta de spam ou, directamente, que não se tenha bloqueado a entrega", reflexiona o experiente, questionando a permeabilidad das defesas informáticas da empresa.
E é precisamente essa observação a que desencadeia um giro de guion. Sebastián reportou o incidente ao departamento de informática (IT) de sua empresa e a resposta que recebeu continha um plot twist, digno das séries da própria plataforma: tudo fazia parte de um simulacro.
Um simulacro a costa de Netflix
"Responderam-me que era uma simulação de phishing interno que lho têm mandado a vários da empresa. Parece que ninguém tem picado e se puseram muito contentes", confessa utente. O ataque era, em realidade, um teste desenhado por sua própria companhia para avaliar a resiliência de seus empregados em frente aos ciberataques.
Consumidor Global pôs-se em contacto com Netflix para confirmar se a direcção invoice@netflix.com pertence à plataforma e sem são conscientes de que é utilizada para este tipo de simulacros. Até a data de publicação desta reportagem, a multinacional não tem oferecido esclarecimentos.
Netflix tem 800.000 ataques num ano
Ainda que o suposto ataque de phishing de Sebastián terminou numa felicitación do departamento de sistemas, a realidade fora dos simulacros é devastadora. Segundo dados recentes da assinatura de segurança Kaspersky, Netflix e Spotify são as empresas de entretenimento mais suplantadas do mundo. Os ciberdelincuentes atacam onde há maior saturação de utentes e, por tanto, uma probabilidade mais alta de encontrar um cartão de crédito ativa.
Só em 2025, as tentativas de phishing relacionados com Netflix atingiram os 801.148 casos. O passado 6 de fevereiro, o Escritório de Segurança do Internauta (OSI) do Instituto Nacional de Ciberseguridad (Incibe) lançou uma alerta vermelha. Uma nova campanha em massa de correios baixo o assunto 'Netflix - Actualiza tua conta para rever' estava a esvaziar contas bancárias.
Que fazer e daí evitar
A própria plataforma de streaming tem estabelecido um protocolo de contenção. "Os estafadores só podem obter informação tua se lha dás", recordam desde Netflix.
Como identificar a armadilha:
- Netflix nunca pedirá números de cartões, contas bancárias ou senhas através de um SMS ou correio eletrónico.
- Jamais solicitarão um pagamento através de um provedor ou sitio site de terceiros.
- Num computador, dantes de clicar em qualquer botão, passa o cursor acima do enlace. Se a URL não é netflix.com, é uma fraude.
O protocolo se tens caído na armadilha:
- Como indica Samuel Parra, o primeiro passo é o bloqueio. "O utente deve bloquear e anular imediatamente o cartão de crédito introduzida no site maliciosa".
- Muda a senha de Netflix e fá-lo extensivo a qualquer outro serviço onde utilizes a mesma chave.
- Reúne provas (capturas de ecrã, correios) e apresenta uma denúncia em delegacia. Posteriormente, segue o trâmite com tua entidade bancária. "Normalmente os seguros bancários têm cobertura e devolvem o dinheiro, mas pillar ao estafador é muito complicado", enfatiza Parra.
- Reenvia a mensagem fraudulenta (seja SMS ou correio) a phishing@netflix.com e, posteriormente, elimina de teu dispositivo.