Facebook Linkedin Twitter Instagram Youtube Telegram

Descubren una suplantación a WeTransfer

1. Una sospechosa citación judicial

2. Revisando la web que suplanta a WeTransfer

3. Conclusión

Una sospechosa citación judicial

Una de las técnicas clásicas que utilizan los delincuentes para atraer la atención de las víctimas potenciales consiste en utilizar un asunto llamativo que despierte su atención. En esta ocasión han optado por utilizar una citación judicial haciéndose pasar por un bufete de abogados y enviando los archivos mencionados supuestamente mediante el servicio WeTransfer.

En el cuerpo del mensaje vemos cómo se proporcionan enlaces para la supuesta descarga de dos archivos que hacen referencia a una citación en el juzgado y a una infracción de marca. Esto puede preocupar a algunos de los receptores de este tipo de mensajes al pensar que en su empresa se ha infringido algún tipo de registro de marca, lo que puede llevarlos a pulsar sobre los enlaces proporcionados por los delincuentes.

En el caso de que se sigan los enlaces proporcionados en el correo, seremos redireccionados a una web que luce muy similar a la original de WeTransfer, algo que ya hemos visto en otros casos anteriores.

La finalidad de esta web preparada por los delincuentes no es otra que la de robar nuestras credenciales de acceso, y aunque no se especifique qué credenciales son las que se solicitan, es muy probable que algunos de los usuarios que accedan a esta web introduzcan la contraseña de su correo electrónico, lo que permitirá a los delincuentes tomar el control del mismo, robar información interna de la empresa donde trabaja y usarlo para enviar correos maliciosos desde un remitente legítimo.

Revisando la web que suplanta a WeTransfer

A primera vista, puede parecer que la web utilizada por los delincuentes para hacerse pasar por el servicio WeTransfer está bien hecha, y si solamente nos fijamos en el apartado estético, es bastante fiel al estilo de la web legítima. Sin embargo, hay ciertos aspectos que podemos revisar para comprobar si nos encontramos en un sitio fraudulento.

Para empezar, podemos revisar la URL donde nos encontramos y comprobar que esta difiere de la original fijándonos en los dominios utilizados. La web original es wetransfer[.]com, mientras que la fraudulenta usa wetransfer[.]cn[.]com, lo que ya debería levantar algunas sospechas por mucho que el sitio web utilice el protocolo HTTPS y contenga el candado de seguridad que nos indica que la comunicación entre nuestro dispositivo y la web se realiza de forma cifrada, pero no que la web sea segura.

Si además revisamos cuándo se registró este dominio, comprobamos que tiene menos de un mes de antigüedad, por lo que difícilmente se tratará de una web legítima que pertenece a una empresa que ya lleva muchos años activa.

Además, podemos comprobar como el registro de este dominio se realizó en Rusia, algo sospechoso cuando WeTransfer tiene a los Países Bajos como lugar de origen y más aún con la situación actual provocada por la invasión rusa de Ucrania. También podemos revisar las redirecciones que se hacen al acceder a esa web y comprobar cómo, tras introducir las credenciales, la víctima es redirigida a una web legítima de WeTransfer donde se indica que los archivos a los que quiere acceder han sido eliminados.

Redirigir a la web legítima tras obtener las credenciales es algo bastante habitual en los casos de phishing, ya que, de esta forma, las víctimas no sospechan que haya podido ocurrir nada malo con las credenciales que han introducido en los campos que se las solicitaban.

El problema es que estas credenciales serán usadas muy probablemente en ataques posteriores que pueden causar serios problemas tanto a la empresa en la que trabaja la víctima como a sus clientes o proveedores. Por ese motivo es importante aplicar medidas tales como la implementación de soluciones de doble factor de autenticación para dificultar el acceso de los delincuentes a las redes y servicios corporativos, incluso cuando estos han conseguido obtener las credenciales de algunos de los empleados.

Conclusión

Este tipo de correos son solo un ejemplo de los muchos intentos que continuamente realizan los ciberdelincuentes que tratan de robar nuestras contraseñas. España se encuentra entre los países más afectados por este tipo de amenazas, y por ese motivo debemos andar con mucho cuidado a la hora de introducir nuestras credenciales en según qué sitios y contar con medidas adicionales de seguridad que mitiguen posibles incidentes.

Picture of MLuz Dominguez

MLuz Dominguez

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.