Wetransfer phishing hack you have a request for quote
Lo que parece ser un dominio abandonado de una conocida empresa brasileña de productos de cosmética y belleza, se utiliza para enviar otro ejemplo de Wetransfer phishing, también conocido como "Wetransfer scam email" y "Wetransfer hack". Lo que hace especial a este caso es que su gestión puede ser la clave para picar o no picar en el scam: según el cliente de correo que uses podrías llegar a leer el asunto en diagonal; eso unido a una máscara de correo potencialmente familiar o de confianza, puede traerte problemas. Adelante con el análisis:
- Dominio de procedencia: el dominio del remitente puede ser de cualquiera, en este caso parece un subdominio (205.*) de un dominio (*.mxvmno.gq) increíble (en Europa al menos). La máscara del buzón puede incluir tus propios alias de correo redirigidos a tu cuenta de correo habitual, como es el caso de este análisis en que según este scam me envío un email a mí mismo. El caso es que si lees este email en tu móvil, puedes pasar por alto que la dirección y la máscara del remitente son distintas y viendo la máscara solamente hubiera picado la mayoría. El asunto es difícil de tragárselo, pero "hay mercado". ¡Cuidado con gestionar correo en el móvil!
- Máscara de email personalizada: insistir en que se personalizó el mensaje con mi propio dominio de correo redirigido. Cuidado que los hackers cruzan datos con facilidad, toda la información está disponible en la Red.
- Llamada a la acción: ingeniería social básica, dar sentido de urgencia al mensaje para provocar una respuesta precipitada y emocional a la "advertencia": You have a request for quote and invoice confirmation via WeTransfer.
- Web impostora + phishing: Todos los enlaces del cuerpo van a la trampa.
- Branding: los elementos del pie del correo son perfectos, no te fíes.
Contenido principal del wetransfer phishing
Our new order list please With regards to your most recent Proforma Invoice, Please note that we need to receive the USD$ bank account details written on your letterhead in pdf file format so that we avoid fraudulent. The reason is we don't have your bank details as we used to pay by credit card on 90 days Credit terms, and this is our first time we've been required to make a payment prior to receive our order.
17 files
IMG_20190313_143729.jpg
IMG_20190219_114633.jpg
IMG_20190219_114649.jpg
IMG_20190313_143532.jpg
IMG_20190313_143711.jpg
+ 2 more
De dónde proviene esta amenaza de wetransfer email scam
El dominio se nutre de la familiaridad de una marca de cosméticos y productos de belleza con sede en Brasil. Este utiliza de forma lícita un dominio .com pero en un pasado debió usar el mismo nombre de dominio con extensión ccTLD .com.br
Es relativamente habitual que algunas empresas y otras instituciones abandonen un nombre de dominio por motivos estratégicos, como por ejemplo pasar de un mercado doméstico a uno global.
El servidor que tira de este fraude online tiene asignada la IP 144.126.213.187, en la ASN (subred) del proveedor Digital Ocean con base en California, EEUU.
Como se puede ver en las capturas, el dominio está ampliamente reconocido como fuente de spam y otras actividades sospechosas. Literalmente está en la lista negra.
Todas las empresas de hosting web deberían ser seguras y auditar mejor la actividad de sus alojados... Estamos lejos de una Internet segura.
Publicidad y Agradecimientos
El tiempo y recursos para investigar y publicar estos casos reales de scams o fraudes online y otras ciberamenazas provienen de contribuciones de particulares y Pymes locales y de publicidad generada por Google sobre servicios y productos de interés general. ¡Ayuda a mantener abierto este blog!
