Normalmente, los atacantes mandan correos electrónicos de phishing, simulando ser empresas conocidas para obtener los datos personales de los usuarios, así como números telefónicos o cualquier información valiosa que les sirva para estafar o robar cuentas. Lógicamente, los clientes de organizaciones financieras como bancos, criptointercambios, sistemas de pago y demás, se encuentran entre los perfiles más atractivos para los phishers.
En esta ocasión detectamos un phishing que explota el servicio financiero online Wise (antes conocido como TransferWise), que cada día es utilizado por millones de personas. En este artículo analizamos cómo es que esto funciona y te decimos cómo evitar ser víctima del fraude y el robo de datos.
Revisemos los antecedentes
¿Por qué Wise? No es solo porque la gente le confía su dinero. La empresa era conocida como TransferWise, hasta hace poco, y su actividad principal eran las transferencias internacionales de dinero, todo esto con un coste muy bajo. En 2021, la empresa aumentó su catálogo de servicios e incluyeron, además de las transferencias, cuentas multidivisas y tarjetas de débito (entre otros).
Debido a este rebranding, Wise eliminó el “Transfer” de su nombre. Esto le cayó genial a los ciberdelincuentes, quienes se aprovecharon de la confusión que este cambio de nombre pudo provocar.
Cómo funciona este engaño
Todo inicia con un mail de phishing en el que se hacen pasar por el equipo de soporte de Wise. Este correo avisa a la víctima de que debe “migrar su cuenta a la nueva plataforma”, justo por el cambio de marca.
Este mensaje podría pasar por auténtico si lo recibo un usuario distraído, ya que el dominio “wise.com” aparece junto al nombre del remitente y el cuerpo del mensaje contiene el logotipo de la empresa con la bandera azul de la marca. No obstante, sí se mira más a fondo, podemos observar un par de banderas que, más que azules, son rojas: la dirección del remitente es una cadena aleatoria de números acompañada por palabras completamente ajenas a Wise y, por alguna razón, el dominio pertenece a… ¡Moringa School en Kenia! Además, el texto está lleno de errores y faltas de ortografía, hecho que una empresa de este renombre no permitiría jamás.
Dicho mail contiene dos enlaces: el primero supuestamente te lleva al nuevo sitio y el segundo que te permite contactar con el remitente. Pero en realidad, ambos conducen a la misma página que redirige automáticamente a la víctima a otro sitio web de phishing.
Resulta mucho más creíble el sitio de phishing que el mail, ya que tanto el mensaje de bienvenida, como el diseño, son idénticos a los de la página web de Wise fidedigna. La única diferencia es la imagen que se localiza en el lado izquierdo de la página, así como la URL. Esta última muestra el nombre de una extraña aplicación para encontrar restaurantes y otros servicios con descuento. En este momento los ciberdelincuentes solicitan al usuario que introduzca su correo electrónico y su contraseña para acceder a la cuenta.
No obstante, estos no son los únicos datos personales que se recogen: una vez “aceptados” el correo electrónico y la contraseña (sean reales o no, ya que no hay comprobaciones), el mismo sitio pide el número de teléfono de la víctima. ¡Sorpresa! Para acceder a la verdadera web de Wise no es necesario introducir el número de teléfono.
Cuando el usuario da clic en el botón “Continuar”, pareciera que el sitio se congela: En ese momento los datos son enviados los ciberdelincuentes mientras la víctima solo ve un logotipo que gira con la palabra “Cargando”.
El usuario, que ya se impacientó, continúa dando clic en el botón de “Continuar”, por lo que es redirigido de nuevo al sitio oficial de Wise. La idea aquí es que, aunque el usuario perciba algo extraño y compruebe la URL, no se dé cuenta de que, en este punto, sus datos han caído en manos de los ciberdelincuentes y siga con su vida.
¿A dónde van esos datos?
Es muy probable que los ciberdelincuentes se interesen mucho más en los números telefónico, ya que, quizá, los recopilen en bases de datos y las vendan a estafadores telefónicos. De las cuentas hackeadas se puede obtener información adicional sobre los usuarios (nombre, apellidos o dirección del domicilio) y, con esa información, los estafadores telefónicos pueden realizar un trabajo mucho más convincente.
Cómo mantenerse a salvo
Para no caer en estas trampas y mantener tus datos protegidos, solo debes seguir algunas reglas básicas de ciberseguridad.
- Cuando recibas un correo electrónico, de una empresa aparentemente conocida, no olvides comprobar de dónde procede. Si la dirección del remitente está conformada por una mezcla de letras y números sin sentido, palabras al azar o un dominio extraño, es muy probable que se trate de una estafa.
- Aunque creas conocer al remitente, no des clic en los enlaces directos que se incluyen en los correos electrónicos y las notificaciones. Siempre es mejor abrir los sitios desde tus marcadores o navegador, o incluso, si te sabes la URL de memoria, introdúcela manualmente.
- Si tienes dudas o sospechas de una posible página de phishing, contacta al equipo de asistencia de la empresa que supuestamente te envió el correo electrónico. Ellos te dirán con seguridad si es real o falso y tomarán medidas y correrán la voz en caso de ser necesario.
- Instala un antivirus fiable con protección contra el phishing y el fraude online. Este te avisará cuando se presente alguna amenaza a la que te expongas.