{"id":24883,"date":"2022-06-14T08:01:55","date_gmt":"2022-06-14T14:01:55","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24883"},"modified":"2022-06-14T08:01:55","modified_gmt":"2022-06-14T14:01:55","slug":"wise-transferwise-phishing-2","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/wise-transferwise-phishing-2\/24883\/","title":{"rendered":"Phishing a los usuarios de Wise"},"content":{"rendered":"

Normalmente, los atacantes mandan correos electr\u00f3nicos de phishing, simulando ser empresas conocidas para obtener los datos personales de los usuarios, as\u00ed como n\u00fameros telef\u00f3nicos o cualquier informaci\u00f3n valiosa que les sirva para estafar o robar cuentas. L\u00f3gicamente, los clientes de organizaciones financieras como bancos<\/a>, criptointercambios<\/a>, sistemas de pago y dem\u00e1s, se encuentran entre los perfiles m\u00e1s atractivos para los phishers<\/em>.<\/p>\n

En esta ocasi\u00f3n detectamos un phishing <\/em>que explota el servicio financiero online Wise (antes conocido como TransferWise), que cada d\u00eda es utilizado por millones de personas. En este art\u00edculo analizamos c\u00f3mo es que esto funciona y te decimos c\u00f3mo evitar ser v\u00edctima del fraude y el robo de datos.<\/p>\n

Revisemos los antecedentes<\/strong><\/h2>\n

\u00bfPor qu\u00e9 Wise? No es solo porque la gente le conf\u00eda su dinero. La empresa era conocida como TransferWise, hasta hace poco, y su actividad principal eran las transferencias internacionales de dinero, todo esto con un coste muy bajo. En 2021, la empresa aument\u00f3 su cat\u00e1logo de servicios<\/a> e incluyeron, adem\u00e1s de las transferencias, cuentas multidivisas y tarjetas de d\u00e9bito (entre otros).<\/p>\n

Debido a este rebranding<\/em>, Wise elimin\u00f3 el \u201cTransfer\u201d de su nombre. Esto le cay\u00f3 genial a los ciberdelincuentes, quienes se aprovecharon de la confusi\u00f3n que este cambio de nombre pudo provocar.<\/p>\n

C\u00f3mo funciona este enga\u00f1o<\/strong><\/h2>\n

Todo inicia con un mail<\/em> de phishing <\/em>en el que se hacen pasar por el equipo de soporte de Wise. Este correo avisa a la v\u00edctima de que debe \u201cmigrar su cuenta a la nueva plataforma\u201d, justo por el cambio de marca.<\/p>\n

\"Correo

Correo electr\u00f3nico supuestamente de TransferWise sobre el cambio de la cuenta del usuario a una nueva plataforma<\/p><\/div>\n


\n<\/strong>Este mensaje podr\u00eda pasar por aut\u00e9ntico si lo recibo un usuario distra\u00eddo, ya que el dominio \u201cwise.com\u201d aparece junto al nombre del remitente y el cuerpo del mensaje contiene el logotipo de la empresa con la bandera azul de la marca. No obstante, s\u00ed se mira m\u00e1s a fondo, podemos observar un par de banderas que, m\u00e1s que azules, son rojas: la direcci\u00f3n del remitente es una cadena aleatoria de n\u00fameros acompa\u00f1ada por palabras completamente ajenas a Wise y, por alguna raz\u00f3n, el dominio pertenece a\u2026 \u00a1Moringa School en Kenia<\/a>! Adem\u00e1s, el texto est\u00e1 lleno de errores y faltas de ortograf\u00eda, hecho que una empresa de este renombre no permitir\u00eda jam\u00e1s.<\/p>\n

Dicho mail<\/em> contiene dos enlaces: el primero supuestamente te lleva al nuevo sitio y el segundo que te permite contactar con el remitente. Pero en realidad, ambos conducen a la misma p\u00e1gina que redirige autom\u00e1ticamente a la v\u00edctima a otro sitio web de phishing<\/em>.<\/p>\n

Resulta mucho m\u00e1s cre\u00edble el sitio de phishing que el mail, ya que tanto el mensaje de bienvenida, como el dise\u00f1o, son id\u00e9nticos a los de la p\u00e1gina web de Wise fidedigna. La \u00fanica diferencia es la imagen que se localiza en el lado izquierdo de la p\u00e1gina, as\u00ed como la URL. Esta \u00faltima muestra el nombre de una extra\u00f1a aplicaci\u00f3n<\/a> para encontrar restaurantes y otros servicios con descuento. En este momento los ciberdelincuentes solicitan al usuario que introduzca su correo electr\u00f3nico y su contrase\u00f1a para acceder a la cuenta.<\/p>\n

\"Versi\u00f3n

Versi\u00f3n phishing de la p\u00e1gina de inicio de sesi\u00f3n de Wise<\/p><\/div>\n

No obstante, estos no son los \u00fanicos datos personales que se recogen: una vez \u201caceptados\u201d el correo electr\u00f3nico y la contrase\u00f1a (sean reales o no, ya que no hay comprobaciones), el mismo sitio pide el n\u00famero de tel\u00e9fono de la v\u00edctima. \u00a1Sorpresa! Para acceder a la verdadera web de Wise no es necesario introducir el n\u00famero de tel\u00e9fono.<\/p>\n

\"En

En el \u00faltimo paso, los atacantes piden al usuario de Wise su n\u00famero de tel\u00e9fono<\/p><\/div>\n

Cuando el usuario da clic en el bot\u00f3n \u201cContinuar\u201d, pareciera que el sitio se congela: En ese momento los datos son enviados los ciberdelincuentes mientras la v\u00edctima solo ve un logotipo que gira con la palabra \u201cCargando\u201d.<\/p>\n

La p\u00e1gina de phishing \u201cpensando\u201d<\/p><\/div>\n


\n<\/strong>El usuario, que ya se impacient\u00f3, contin\u00faa dando clic en el bot\u00f3n de \u201cContinuar\u201d, por lo que es redirigido de nuevo al sitio oficial de Wise. La idea aqu\u00ed es que, aunque el usuario perciba algo extra\u00f1o y compruebe la URL, no se d\u00e9 cuenta de que, en este punto, sus datos han ca\u00eddo en manos de los ciberdelincuentes y siga con su vida.<\/p>\n

\"Al

Al final, el usuario es redirigido a la p\u00e1gina web oficial de Wise<\/p><\/div>\n


\n\u00bfA d\u00f3nde van esos datos?<\/strong><\/h2>\n

Es muy probable que los ciberdelincuentes se interesen mucho m\u00e1s en los n\u00fameros telef\u00f3nico, ya que, quiz\u00e1, los recopilen en bases de datos y las vendan a estafadores telef\u00f3nicos. De las cuentas hackeadas se puede obtener informaci\u00f3n adicional<\/a> sobre los usuarios (nombre, apellidos o direcci\u00f3n del domicilio) y, con esa informaci\u00f3n, los estafadores telef\u00f3nicos pueden realizar un trabajo mucho m\u00e1s convincente.<\/p>\n

C\u00f3mo mantenerse a salvo<\/strong><\/h2>\n

Para no caer en estas trampas y mantener tus datos protegidos, solo debes seguir algunas reglas b\u00e1sicas de ciberseguridad<\/a>.<\/p>\n