El mensaje con la supuesta confirmación de orden de pago de BBVA es a todas luces un intento de infectar el ordenador del usuario mediante un fichero que se descarga al acceder al enlace que propone la imagen del supuesto PDF comprobante, el supuesto comprobante de la orden de pago es un enlace a un fichero malicioso que está diseñado para ejecutar tareas invisibles, que pueden ir desde programas de escucha que convierten al PC infectado en un miembro de alguna red zombi, hasta capturadores de teclado que recopilan credenciales y contraseñas que el usuario use sin saber que serán recogidas y enviadas a los ciberdelincuentes. Si bien no es un caso típico de phishing BBVA, emplea la marca del banco para intentar convencer al usuario y llevarnos a la descarga y ejecución del supuesto adjunto PDF.

1. Dirección del remitente: Se utiliza un dominio que no tiene nada que ver con BBVA. Se dirige a un destinatario desconocido, que resultará ser una lista de emails capturados por las técnicas tradicionales de email-harvesting (recoger direcciones por rastreo de páginas web o compra de bases de datos masivas de direcciones recogidas).
2. Redacción del mensaje: estilo aparte, la inconcreción y ambigüedad siempre han de ser motivo de sospecha.
3. El comprobante es el ejecutor del objetivo del cibercriminal, su descarga y ejecución puede resultar fatal para la máquina del usuario y/o para sus bienes. No descargar ni abrir bajo ningún concepto.

El enlace de la imagen del supuesto PDF comprobante para descargar es:

https://www.mediafire.com/file/xdriXXXaojcle/Orden+de+pago.tgz/file

Queda claro que habrá de todo menos un PDF.