Nos últimos dias, detectamos uma campanha de phishing ativa que está circulando por email. A mensagem, que tem como assunto “Info Received your (2) files via WeTransfer”, conta com arquivos suspeitos que supostamente podem ser baixados através do popular serviço WeTransfer. O email inclui um link para baixar os arquivos e também indica a data de expiração do download (10 de fevereiro).
Email de um remetente falso com a informação de que dois arquivos estão disponíveis para download através do WeTransfer.
O primeiro detalhe que chama nossa atenção é que o endereço do remetente termina com um domínio de email desconhecido, quando deveria ser noreply@wetransfer.com.
Caso um usuário distraído não perceba esses sinais de aviso, pode acabar clicando na opção para baixar os arquivos e, consequentemente, ser redirecionado para uma página que não pertence ao WeTransfer, mas que faz parte de um domínio chileno (.cl). Nessa etapa, a vítima é orientada a inserir suas senhas para iniciar o download.
A vítima é orientada a inserir seus dados de login para acessar os arquivos.
Também podemos perceber que a URL para a qual as vítimas são redirecionadas, longe de pertecer ao serviço WeTransfer, trata-se de um site chileno. Mas se um usuário desavisado decidir inserir seus dados de login (o que não deve ser feito porque o WeTransfer não solicita qualquer chave para baixar um arquivo que chega por email), ele será direcionado para uma página legítima do WeTransfer na qual aparecerá uma mensagem informando que o download do arquivo expirou.
Site legítimo do WeTransfer para o qual a campanha redireciona as vítimas.
O site onde esse phishing está hospedado é de uma empresa chilena. Certamente, os cibercriminosos encontraram alguma vulnerabilidade em seu servidor para hospedar a falsa página do WeTransfer, que pretende enganar os usuários para roubar seus dados de login.
A campanha tenta roubar apenas dados de login, ou seja, não apresenta segundas intenções, como poderia ser o download de malware ou mineradores de criptomoedas. No caso de ter caído nesse tipo de golpe, recomendamos que você possa alterar a senha inserida.
Por outro lado, e para se familiarizar um pouco mais com esses golpes de phishing, o Google lançou recentemente um teste online gratuito para que o usuário possa testar sua capacidade de reconhecer esses tipos de emails falsos.
