Por estos días hemos visto circular una campaña de phishing activa a través del correo que se hace pasar por el envío de dos archivos para su descarga a través del popular servicio para el envío de archivos de gran tamaño WeTransfer. El mensaje en el asunto del correo dice “info Received your (2) files via WeTransfer”, que en español quiere decir “ha recibido sus (2) archivos a través de WeTransfer”. El correo incluye un enlace de descarga y se indica también la fecha de vencimiento de dicha descarga (10 de febrero).
Correo de un falso remitente con el mensaje en el asunto indicando que llegaron dos archivos para su descarga a través de WeTransfer.
Lo primero que debe llamarnos la atención es que la dirección del remitente termina con un dominio de correo desconocido, cuando debería ser noreply@wetransfer.com.
Si un usuario distraído no se percata de estas señales de alerta, al hacer clic en la opción para descargar los archivos será redireccionado a una página que no es la de WeTransfer, sino que pertenece a un dominio de Chile (.cl). Allí se solicitará a la víctima ingresar sus claves para poder comenzar con la descarga.
Falsa página de WeTransfer alojada en un dominio de chile (.cl) donde se solicita a la víctima que ingrese sus credenciales para acceder a los archivos
Nuevamente, lo que nos debería llamar la atención como usuarios es la URL a la que nos redireccionó, ya que lejos de ser la de WeTransfer, nos encontramos con una página que tiene como dirección la de un sitio de Chile. Pero si un usuario desprevenido decide ingresar sus credenciales (cosa que no debería hacer porque WeTransfer no solicita ingresar ninguna clave para descargar un archivo que llega a traves del correo) será direccionado a una página real de WeTransfer en la que aparecerá un mensaje que dice que la descarga de los archivos expiró.
Sitio real de WeTransfer al que nos redirecciona la campaña luego de ingresar nuestras credenciales
El sitio donde está alojado este phishing es de una compañía de Chile. Seguramente los ciberdelincuentes encontraron alguna vulnerabilidad en su servidor para alojar la falsa página de WeTransfer que pretende engañar a los usuarios para robar sus credenciales.
La campaña solo busca robar credenciales; es decir que no presenta segundas intenciones, como podría ser la descarga de malware o mineros de criptomonedas. En caso de haber caído en el engaño, recomendamos cambiar la contraseña que ingresó en los sitios o servicios que la utilice.
Por otra parte y para interiorizarse más en los engaños de phishing, Google lanzó recientemente un test online gratuito para que el usuario ponga a prueba su capacidad para reconocer este tipo de correos fraudulentos y que de paso aprenda.
Fuente: welivesecurity.com
