La utilización fraudulenta del nombre de servicios conocidos que se emplean en el día a día de muchas empresas es algo que los delincuentes hacen constantemente para tratar de robar información como credenciales de acceso. Uno de estos servicios, cuyo nombre es utilizado de forma ilícita con cierta frecuencia, es el de la empresa de transferencia de ficheros WeTransfer, protagonista de una campaña de robo de contraseñas realizada durante esta semana y también detectada en España.
Una sospechosa citación judicial
Una de las técnicas clásicas que utilizan los delincuentes para atraer la atención de las víctimas potenciales consiste en utilizar un asunto llamativo que despierte su atención. En esta ocasión han optado por utilizar una citación judicial haciéndose pasar por un bufete de abogados y enviando los archivos mencionados supuestamente mediante el servicio WeTransfer.
En el cuerpo del mensaje vemos cómo se proporcionan enlaces para la supuesta descarga de dos archivos que hacen referencia a una citación en el juzgado y a una infracción de marca. Esto puede preocupar a algunos de los receptores de este tipo de mensajes al pensar que en su empresa se ha infringido algún tipo de registro de marca, lo que puede llevarlos a pulsar sobre los enlaces proporcionados por los delincuentes.
En el caso de que se sigan los enlaces proporcionados en el correo, seremos redireccionados a una web que luce muy similar a la original de WeTransfer, algo que ya hemos visto en otros casos anteriores.
La finalidad de esta web preparada por los delincuentes no es otra que la de robar nuestras credenciales de acceso, y aunque no se especifique qué credenciales son las que se solicitan, es muy probable que algunos de los usuarios que accedan a esta web introduzcan la contraseña de su correo electrónico, lo que permitirá a los delincuentes tomar el control del mismo, robar información interna de la empresa donde trabaja y usarlo para enviar correos maliciosos desde un remitente legítimo.
Revisando la web que suplanta a WeTransfer
A primera vista, puede parecer que la web utilizada por los delincuentes para hacerse pasar por el servicio WeTransfer está bien hecha, y si solamente nos fijamos en el apartado estético, es bastante fiel al estilo de la web legítima. Sin embargo, hay ciertos aspectos que podemos revisar para comprobar si nos encontramos en un sitio fraudulento.
Para empezar, podemos revisar la URL donde nos encontramos y comprobar que esta difiere de la original fijándonos en los dominios utilizados. La web original es wetransfer[.]com, mientras que la fraudulenta usa wetransfer[.]cn[.]com, lo que ya debería levantar algunas sospechas por mucho que el sitio web utilice el protocolo HTTPS y contenga el candado de seguridad que nos indica que la comunicación entre nuestro dispositivo y la web se realiza de forma cifrada, pero no que la web sea segura. Si además revisamos cuándo se registró este dominio, comprobamos que tiene menos de un mes de antigüedad, por lo que difícilmente se tratará de una web legítima que pertenece a una empresa que ya lleva muchos años activa.
Además, podemos comprobar como el registro de este dominio se realizó en Rusia, algo sospechoso cuando WeTransfer tiene a los Países Bajos como lugar de origen y más aun con la situación actual provocada por la invasión rusa de Ucrania. También podemos revisar las redirecciones que se hacen al acceder a esa web y comprobar como, tras introducir las credenciales, la víctima es redirigida a una web legítima de WeTransfer donde se indica que los archivos a los que quiere acceder han sido eliminados.
Redirigir a la web legítima tras obtener las credenciales es algo bastante habitual en los casos de phishing, ya que, de esta forma, las víctimas no sospechan que haya podido ocurrir nada malo con las credenciales que han introducido en los campos que se las solicitaban.
El problema es que estas credenciales serán usadas muy probablemente en ataques posteriores que pueden causar serios problemas tanto a la empresa en la que trabaja la víctima como a sus clientes o proveedores. Por ese motivo es importante aplicar medidas tales como la implementación de soluciones de doble factor de autenticación para dificultar el acceso de los delincuentes a las redes y servicios corporativos, incluso cuando estos han conseguido obtener las credenciales de algunos de los empleados.
Conclusión
Este tipo de correos son solo un ejemplo de los muchos intentos que continuamente realizan los ciberdelincuentes que tratan de robar nuestras contraseñas. España se encuentra entre los países más afectados por este tipo de amenazas, y por ese motivo debemos andar con mucho cuidado a la hora de introducir nuestras credenciales en según qué sitios y contar con medidas adicionales de seguridad que mitiguen posibles incidentes.