ℹ️ Suplanten WeTransfer per robar contrasenyes

En el cos del missatge veiem com es proporcionen enllaços per a la suposada descàrrega de dos arxius que fan referència a una citació en el jutjat i a una infracció de marca. Això pot preocupar a alguns dels receptors, que poden pensar que en la seva empresa s'ha infringit algun tipus de registre de marca. Aquest dubte pot portar-nos a entrar en els enllaços proporcionats pels delinqüents.

En el cas d’entrar-hi, serem redirigits a una web que s’assembla molt a l'original de WeTransfer, amb una distribució i diversos elements que ja hem vist anteriorment.

La finalitat d'aquesta web preparada pels delinqüents no és altra que robar les nostres credencials d'accés. Tot i que no s'especifiqui quines credencials són les que se sol·liciten, és molt probable que alguns usuaris que accedeixin al web acabin introduint la contrasenya del seu correu electrònic. Això permetrà als delinqüents prendre el control d'aquest compte, robar informació interna de l'empresa on hi treballa i utilitzar-lo per a enviar correus maliciosos des d'un remitent legítim.

Revisant la web que suplanta WeTransfer 

A primera vista, pot semblar que aquesta pàgina està ben feta i només ens fixem en l'apartat estètic (bastant fidel a l'estil de la web legítima). No obstant això, hi ha certs aspectes que podem revisar per a comprovar si ens trobem en un lloc fraudulent.

Per a començar, revisem la URL on ens trobem i comprovem si aquesta difereix de l'original, fixant-nos en els dominis utilitzats. La web original és wetransfer.com, mentre que la fraudulenta usa *wetransfer[.]*cn[.]*com, una combinació que ja ens fa aixecar algunes sospites. És indiferent que el lloc web utilitzi el protocol HTTPS i contingui el cadenat de seguretat, que ens indica que la comunicació entre el nostre dispositiu i la web es realitza de forma xifrada, perquè això no ens assegura que la web sigui segura. A més, si revisem quan es va registrar aquest domini, comprovem que té menys d'un mes d'antiguitat, per la qual cosa difícilment es tractarà d'una web legítima que pertany a una empresa que ja porta molts anys activa.

També podem comprovar com el registre d'aquest domini es va realitzar a Rússia, un fet sospitós, donat que WeTransfer va nèixer als Països Baixos i més tenint en compte situació actual provocada per la invasió russa d'Ucraïna. Una altra comprovació que podem fer és a les redireccions que es fan en accedir a aquesta web i observar com, després d'introduir les credencials, la víctima és redirigida a una web legítima de WeTransfer on s'indica que els arxius als quals vol accedir han estat eliminats.

Redirigir-nos a la web legítima després d'obtenir les credencials és un fet bastant habitual en els casos de ‘phishing’, ja que, d'aquesta manera, les víctimes no sospiten que hagi pogut passar res dolent amb les credencials que han introduït en els camps que es sol·licitaven.

El problema és que aquestes credencials seran utilitzades molt probablement en atacs posteriors que poden causar seriosos problemes, tant a l'empresa en la qual treballa la víctima com als seus clients o proveïdors. Per aquest motiu, és molt important aplicar mesures, com ara la implementació del doble factor d'autenticació per a dificultar l'accés dels delinqüents a les xarxes i serveis corporatius, fins i tot quan aquests han aconseguit obtenir les credencials d'alguns dels empleats.

Conclusió

Aquest tipus de correus són només un exemple dels molts intents que contínuament realitzen els ciberdelinqüents que intenten robar les nostres contrasenyes. Espanya es troba entre els països més afectats per aquesta mena d'amenaces, i per aquest motiu hem de tenir molta cura a l'hora d'introduir les nostres credencials en segons quins llocs i comptar amb mesures addicionals de seguretat que ens permetin mitigar possibles incidents.