Phishing a los usuarios de Wise

Te contamos cómo los phishers consiguen los números de teléfono y las credenciales de los usuarios de Wise.

Los atacantes suelen enviar correos electrónicos de phishing haciéndose pasar por empresas conocidas para conseguir las credenciales de las cuentas personales de los usuarios, sus números de teléfono y cualquier otro tipo de información que pueda ser de utilidad para llevar a cabo estafas o robo de cuentas. Como es lógico, entre los perfiles más atractivos para los phishers están los clientes de organizaciones financieras como bancos, servicios de intercambio de criptomonedas, sistemas de pago y demás.

Esta vez hemos detectado un phishing que explota el servicio financiero online Wise (hasta hace poco conocido como TransferWise), que utilizan, cada día, millones de personas. En este artículo analizamos cómo está montado este entramado y te ayudamos a evitar ser víctima del fraude y el robo de datos.

Pongámonos en antecedentes

¿Por qué Wise? No es solo porque la gente le confía su dinero. Hasta hace poco, la empresa era conocida como TransferWise y su principal actividad eran las transferencias de dinero internacionales con un coste bastante bajo. En 2021, la empresa amplió su catálogo de servicios para incluir, además de las transferencias, cuentas multidivisas y tarjetas de débito (entre otros).

Como parte de este rebranding, Wise eliminó el “Transfer” de su nombre. Esto vino genial a los ciberdelincuentes, que decidieron aprovechar la confusión que pudo provocar el cambio de nombre de la compañía.

Cómo funciona este engaño

Todo comienza con un correo electrónico de phishing en el que se hacen pasar por el equipo de soporte de Wise. Dicho correo informa a la víctima de que, debido al cambio de marca, debe “migrar su cuenta a la nueva plataforma”.

Correo electrónico supuestamente de TransferWise sobre el cambio de la cuenta del usuario a una nueva plataforma

Correo electrónico supuestamente de TransferWise sobre el cambio de la cuenta del usuario a una nueva plataforma

Un usuario distraído podría confundirlo fácilmente por un mensaje auténtico, ya que el dominio “wise.com” aparece junto al nombre del remitente y el cuerpo del mensaje contiene el logotipo de la empresa con la bandera azul de la marca. Sin embargo, una mirada más exhaustiva nos revela un par de banderas que, más que azules, son rojas: la dirección del remitente es una cadena aleatoria de números acompañada por palabras totalmente ajenas a Wise y, por alguna razón, el dominio pertenece a… ¡Moringa School en Kenia! Además, el texto está lleno de errores y faltas de ortografía, algo que una empresa de este tipo jamás permitiría.

El correo electrónico contiene dos enlaces: uno que, supuestamente, te lleva al nuevo sitio y otro que supuestamente te permite contactar con el remitente. Sin embargo, la realidad es que ambos conducen a la misma página que redirige automáticamente a la víctima a otro sitio web de phishing.

El sitio de phishing es mucho más creíble que el correo electrónico del que proviene el usuario, ya que el diseño y el mensaje de bienvenida son idénticos a los de la web real de Wise. La única diferencia es la imagen que aparece a la izquierda de la página, y también la URL. Esta última muestra el nombre de una extraña aplicación para encontrar restaurantes y demás servicios con descuento. En esta parte los ciberdelincuentes piden al usuario que introduzca su correo electrónico y su contraseña para acceder a la cuenta.

Versión phishing de la página de inicio de sesión de Wise

Versión phishing de la página de inicio de sesión de Wise

Sin embargo, las credenciales no son los únicos datos personales que se recogen: una vez “aceptados” el correo electrónico y la contraseña (sean reales o no, ya que no hay comprobaciones), el mismo sitio pide el número de teléfono de la víctima. ¡Sorpresa! No es necesario introducir el número de teléfono para acceder a la web real de Wise.

En el último paso, los atacantes piden al usuario de Wise su número de teléfono

En el último paso, los atacantes piden al usuario de Wise su número de teléfono

Cuando el usuario hace clic en el botón de “Continuar”, el sitio parece congelarse: En ese momento los datos se están enviando a los ciberdelincuentes mientras la víctima solo ve un logotipo que gira con la palabra “Cargando”.

La página de phishing “pensando”

El usuario, impaciente, que hace clic una y otra vez en el botón de “Continuar” es redirigido de nuevo al sitio oficial de Wise. La idea aquí es que, aunque el usuario perciba algo raro y compruebe la URL en este punto, no se dé cuenta de que sus datos han caído en manos de los ciberdelincuentes y continúe su vida.

Al final, el usuario es redirigido a la página web oficial de Wise

Al final, el usuario es redirigido a la página web oficial de Wise

¿A dónde van esos datos?

Probablemente, lo que más les interesa a los ciberdelincuentes son los números de teléfono, ya que, probablemente, los recopilen en bases de datos y las vendan a estafadores telefónicos. De las cuentas comprometidas se puede obtener información adicional sobre los usuarios (nombre, apellidos y la dirección del domicilio) y, con esa información en su poder, los estafadores telefónicos pueden ser mucho más convincentes.

Cómo mantenerse a salvo

Para evitar caer en esta trampa y proteger tus datos, basta con seguir algunas reglas básicas de ciberseguridad.

  • Cuando recibas un correo electrónico, de una empresa conocida, aparentemente, comprueba de dónde procede en realidad. Si la dirección del remitente incluye una mezcla de números y letras sin sentido, palabras al azar o un dominio extraño, es más que probable que se trate de una estafa.
  • Aunque creas conocer al remitente, no sigas los enlaces directos que se incluyen en los correos electrónicos y las notificaciones. Siempre es mejor abrir los sitios desde tus marcadores o desde el navegador, o incluso introducir las URL manualmente si te las sabes de memoria.
  • Si tienes dudas o sospechas de una posible página de phishing, ponte en contacto con el equipo de asistencia de la empresa de la que procede el correo electrónico. Ellos te dirán con seguridad si es real o falso y, si es necesario, tomarán medidas y avisarán a otros usuarios.
  • Instala un antivirus fiable con protección contra el phishing y el fraude online. Esta te avisará al momento de cualquier amenaza a la que te expongas.
Consejos