Una de las técnicas clásicas que utilizan los delincuentes para atraer la atención de las víctimas potenciales consiste en utilizar un asunto llamativo que despierte su atención. En esta ocasión han optado por utilizar una citación judicial haciéndose pasar por un bufete de abogados y enviando los archivos mencionados supuestamente mediante el servicio WeTransfer.

En el cuerpo del mensaje vemos cómo se proporcionan enlaces para la supuesta descarga de dos archivos que hacen referencia a una citación en el juzgado y a una infracción de marca. Esto puede preocupar a algunos de los receptores de este tipo de mensajes al pensar que en su empresa se ha infringido algún tipo de registro de marca, lo que puede llevarlos a pulsar sobre los enlaces proporcionados por los delincuentes.

En el caso de que se sigan los enlaces proporcionados en el correo, seremos redireccionados a una web que luce muy similar a la original de WeTransfer, algo que ya hemos visto en otros casos anteriores.

La finalidad de esta web preparada por los delincuentes no es otra que la de robar nuestras credenciales de acceso, y aunque no se especifique qué credenciales son las que se solicitan, es muy probable que algunos de los usuarios que accedan a esta web introduzcan la contraseña de su correo electrónico, lo que permitirá a los delincuentes tomar el control del mismo, robar información interna de la empresa donde trabaja y usarlo para enviar correos maliciosos desde un remitente legítimo.

Revisando la web que suplanta a WeTransfer
A primera vista, puede parecer que la web utilizada por los delincuentes para hacerse pasar por el servicio WeTransfer está bien hecha, y si solamente nos fijamos en el apartado estético, es bastante fiel al estilo de la web legítima. Sin embargo, hay ciertos aspectos que podemos revisar para comprobar si nos encontramos en un sitio fraudulento.

Para empezar, podemos revisar la URL donde nos encontramos y comprobar que esta difiere de la original fijándonos en los dominios utilizados. La web original es wetransfer[.]com, mientras que la fraudulenta usa wetransfer[.]cn[.]com, lo que ya debería levantar algunas sospechas por mucho que el sitio web utilice el protocolo HTTPS y contenga el candado de seguridad que nos indica que la comunicación entre nuestro dispositivo y la web se realiza de forma cifrada, pero no que la web sea segura.

Si además revisamos cuándo se registró este dominio, comprobamos que tiene menos de un mes de antigüedad, por lo que difícilmente se tratará de una web legítima que pertenece a una empresa que ya lleva muchos años activa.