Es el nueva receta utilizada por los ciberdelincuentes esta misma semana y detectada en España. Los ingredientes: una citación judicial, unos supuestos documentos informativos y Wetransfer. Y el modo de realización, el clásico envío masivo aciéndose pasar por un bufete de abogados y esperar a que el porcentaje de los receptores piquen.
Lo han descubierto investigadores de ESET, quienes avisan de que en el cuerpo del mensaje de estos envíos se puede ver cómo se proporcionan enlaces para la supuesta descarga de dos archivos que hacen referencia a una citación en el juzgado y a una infracción de marca. Este aviso puede preocupar a algunos de los receptores de este tipo de mensajes al pensar que en su empresa se ha infringido algún tipo de registro de marca, lo que puede llevarlos a pulsar sobre los enlaces proporcionados.
En el caso de que se sigan los enlaces proporcionados en el correo, advierten desde la empresa de ciberseguridad, seremos redireccionados a una web que luce muy similar a la original de WeTransfer.
La finalidad de esta web preparada por los delincuentes no es otra que la de robar nuestras credenciales de acceso, y aunque no se especifique qué credenciales son las que se solicitan, es muy probable que algunos de los usuarios que accedan a esta web introduzcan la contraseña de su correo electrónico, lo que permitirá a los delincuentes tomar el control del mismo, robar información interna de la empresa donde trabaja y usarlo para enviar correos maliciosos desde un remitente legítimo.
Un análisis más profundo a la supuesta web de WeTransfer
A primera vista, puede parecer que la web utilizada por los delincuentes para hacerse pasar por el servicio WeTransfer está bien hecha, y si solamente nos fijamos en el apartado estético, es bastante fiel al estilo de la web legítima. Sin embargo, hay ciertos aspectos que podemos revisar para comprobar si nos encontramos en un sitio fraudulento.
Para empezar, podemos revisar la URL donde nos encontramos y comprobar que esta difiere de la original fijándonos en los dominios utilizados. La web original es wetransfer[.]com, mientras que la fraudulenta usa wetransfer[.]cn[.]com, lo que ya debería levantar algunas sospechas por mucho que el sitio web utilice el protocolo HTTPS y contenga el candado de seguridad que nos indica que la comunicación entre nuestro dispositivo y la web se realiza de forma cifrada, pero no que la web sea segura.
Si además revisamos cuándo se registró este dominio, comprobamos que tiene menos de un mes de antigüedad, por lo que difícilmente se tratará de una web legítima que pertenece a una empresa que ya lleva muchos años activa.
Además, podemos comprobar como el registro de este dominio se realizó en Rusia, algo sospechoso cuando WeTransfer tiene a los Países Bajos como lugar de origen y más aun con la situación actual provocada por la invasión rusa de Ucrania. También podemos revisar las redirecciones que se hacen al acceder a esa web y comprobar cómo, tras introducir las credenciales, la víctima es redirigida a una web legítima de WeTransfer donde se indica que los archivos a los que quiere acceder han sido eliminados. El redireccionamiento a la web legítima tras obtener las credenciales es algo bastante habitual en los casos de phishing, ya que, de esta forma, las víctimas no sospechan que haya podido ocurrir nada malo con las credenciales que han introducido en los campos que se las solicitaban.
El problema es que estas credenciales serán usadas muy probablemente en ataques posteriores que pueden causar serios problemas tanto a la empresa en la que trabaja la víctima como a sus clientes o proveedores.