美国SANS技术研究院院长Johannes Ullrich 6月20日指出，使用TLS（安全传输层协议）认证网站的Netflix网络钓鱼邮件一直在增长。

Ullrich在一篇文章中阐述了他的发现和相关分析。获取TLS 证书过程大致如下：

1. 钓鱼攻击的幕后黑手利用未修补的安装、插件或弱密码，来破坏可疑的CMS软件，比如WordPress或Drupal。从那里，他们可以创建可能被误认为是真正的Netflix域名的钓鱼网站；

2. 使用通配符DNS记录，*anything.domain.com将指向相同的IP地址；

3. 攻击者利用子域/主机名来发起攻击；

4. 攻击者可以获取与netflix相关的主机名的TLS证书，如netflix.domain.com或netflix.login.domain.com;

获取有效TLS证书有助于网站避免被安全浏览器软件标记，提高钓鱼攻击成功率，但在以前尚未引起足够重视。

Ullrich指出，Netflix 新型钓鱼攻击中，最开始的欺诈电子邮件是最易被识别出的一个环节。邮件被标记成了垃圾邮件，行文措辞也漏洞百出。在Ullrich展示的例子中，邮件链接指向冒充Netflix官网的注册域名hxxps://www.safenetflax.com。

点击链接进入网站后，伪造的细节几乎一模一样，相对明显的差异是，使用其他非官网账号的替代登录入口不见了。因为Netflix是一家提供网络视频点播的公司，其账号订阅并不属于价值不菲的服务类型。但Netflix钓鱼攻击对黑客的吸引力在于攻击过程很容易变得自动化，而且受害者很难发现账号被攻击。单一订阅者的账号能同时让多人使用，即使在非订阅者的计算机或设备上也能登录服务，这意味着一旦账号被侵入，使用权通常会在受害者不知情的情况下被长期“共享”。除非账号主人因使用过多视频流被“踢下线”，否则，他/她可能永远不会知道。

百密终有一疏，虽然伪站使用TLS证书可以避免被安全浏览器标记，但Netflix或其他公司可以通过证书透明度日志找到网站。

近年来，使用TLS进行网络钓鱼攻击的方法急剧增加;全球信息安全公司Zscaler去年的数据也表明：与2016年SSL / TLS相比，黑客企图发起的钓鱼攻击数量增加了400％。其安全研究主管Deepen Desai说：“黑客在他们已经入侵的合法域名上发布钓鱼页面。这些合法网站中的很多都支持SSL / TLS，但很少有网络安全解决方案可以支持大规模检测加密数据包。”

对此Netflix给用户的建议是，避免点击通过电子邮件发送的链接;及时通过官网报告任何可疑信息。