Email suplantando a WeTransfer intenta robar credenciales de correo

Entre las tendencias que se están observando durante los últimos meses en materia de cibercrimen, una de las que más fuerza está cogiendo son las campañas destinadas al robo de credenciales almacenadas en aplicaciones de uso común en entornos domésticos y corporativos. Los delincuentes tratan de obtener estas credenciales ya sea mediante la instalación de malware en el sistema de la víctima o, como en este caso, suplantando la identidad de una reconocida empresa.

Correo de WeTransfer

En esta ocasión vemos como se están utilizando correos que se hacen pasar por el servicio de transferencia de ficheros WeTransfer para llamar la atención de los usuarios. La utilización de su logotipo y un escueto mensaje indicando que se han enviado tres ficheros para que los descarguemos son solo el inicio.

A la hora de comprobar la legitimidad de estos correos siempre es recomendable no confiar únicamente en la plantilla de correo usada y centrarse en revisar las cabeceras del email. En este caso vemos como los delincuentes han hecho un buen trabajo ocultando el remitente real, pues a ojos de un usuario no entrenado parecería que el envío del mensaje se realiza realmente desde WeTransfer.

Sin embargo, si indagamos un poco más en la cabecera encontraremos detalles que nos hacen sospechar, como el comprobar que el envío se realiza realmente desde un servidor en Argentina cuando WeTransfer es una empresa con sede en los Países Bajos.

A pesar de esto, que los delincuentes detrás de esta campaña hayan camuflado la procedencia de los mensajes bastante bien puede hacer caer a más de un usuario desprevenido que esté esperando ficheros que hayan sido enviados utilizando el servicio de WeTransfer.

Falsa descarga y petición de credenciales

En el caso de que el receptor del mensaje pulse sobre el botón de descarga incluido en el correo, será redirigido a una web que simula la apariencia del servicio WeTransfer con los supuestos archivos pendientes de su descarga.

Sin embargo, al pulsar sobre el botón de descarga en esta web se nos mostrará una ventana emergente donde se nos solicita que introduzcamos tanto nuestra dirección de correo electrónico como su contraseña. De hacerlo, los delincuentes tendrán acceso a nuestro correo electrónico para utilizarlo como quieran o revisar los emails enviados y recibidos en nuestra cuenta.

El porqué de que se estén viendo tantas campañas desde hace meses que intentan obtener las credenciales relacionadas con el correo electrónico, contraseñas almacenadas en navegadores, clientes FTPs y VPNs puede tener varios motivos. Sin embargo, uno de ellos presenta un especial riesgo para empresas de todos los tamaños, ya que con estas credenciales los delincuentes pueden suplantar la identidad de los empleados, enviando mensajes en su nombre, obtener información confidencial almacenada en los correos, acceder a la transferencia de ficheros desde los servidores FTPs usados por la empresa o a la propia red interna si se consiguen las credenciales de la VPN utilizada, por poner solo unos ejemplos.

En lo que respecta a la URL utilizada para alojar la web de phishing, podemos ver como ya está empezando a ser detectada como maliciosa. Sin embargo, es probable que muchos usuarios que han recibido este correo durante la pasada madrugada y lo hayan visto en su buzón de entrada al iniciar su jornada laboral este lunes hayan pulsado sobre el enlace de descarga sin recibir ningún aviso de alerta.

Ante este tipo de correos, lo mejor es adoptar una postura de prevención, poniendo en cuarentena todos aquellos emails que no hayamos solicitado previamente, especialmente si contienen enlaces o ficheros adjuntos, y contactando con la persona que nos lo envía para ver si realmente nos lo ha querido enviar o si se está suplantando su identidad.

Conclusión

Tal y como acabamos de ver, los delincuentes no necesitan complicarse demasiado la vida para obtener credenciales que pueden llegar a comprometer no solo nuestra cuenta de correo particular, sino también la seguridad de una red corporativa. Por ese motivo es esencial andar con cuidado con los correos recibidos, especialmente ahora que hay mucho empleado trabajando desde casa, y contar con una solución de seguridad capaz de detectar amenazas asociadas al email.

Josep Albors

“Orden devuelta” El troyano bancario Mekotio vuelve a suplantar a Correos