Hay un nuevo phishing que circula en España y que es muy realista. Marcos Besteiro, director ejecutivo en ACEDIS Formación, alertó en su Twitter de haber recibido un mail que dice que "ha recibido 3 archivos", aunque en inglés. El emisor del mensaje es WeTranfer y el mail, que en realidad es una trampa, parece realmente un envío a través de WeTransfer.

Hoy, un intento de scam/phishing/robo de datos elaborado. Recibimos este correo: pic.twitter.com/dY7j9J6gOh— Marcos Besteiro 👧🏻👶🏻 (@MarcosBL) April 8, 2022

El mail menciona la dirección de correo del destinatario en el cuerpo, para darle mayor realismo. El directivo dice que sus compañeras son expertas y que le avisaron que ellas ni esperaban ni habían enviado nada reciente, y que al poner el ratón en el link, la URL no es la de https://wetransfer.com. Así que gracias a eso, no cayeron en la trampa.

Cómo llega a robar credenciales

Investigando, un hover sobre el enlace desveló que apunta a https://ipfs.io/ipfs/QmRQpbWjL8pHbQenKmoB8yzYpLeaoMyMS4gvaZKMPAbRD5?filename=flx.html#[email protected]. El script malicioso que tienen, recoge ese email, para saber de donde viene el click, elimina el user, y se queda con el dominio.

El script abre un iframe con ese dominio a pantalla completa, de forma que parece que estás en la web de tu propia empresa. Y sobre ese frame, posicionan una ventana de login suya, de forma que si picas y crees que tienes que entrar en tu web, captura tu usuario y contraseña, tal y como relata el directivo.

También se hizo otra prueba, …