Phishing en curso?

Acabo de recibir un correo desde dominio bnext.es (o eso simula) pidiendo que me descargue un enlace almacenado en Amazon s3.

Entiendo que es phishing.

¿Podéis confirmarlo?

A mi no me ha llegado nada. No puedes ver el emisor real que hay detrás?

Que se supone que lleva ese enlace?

Te pego el correo, ocultando email y cambiando url

De: Equipo de soporte Bnext <support@bnext.es>
Fecha: 4 de septiembre de 2020, 20:20:25 CEST
Para:
Asunto: Certificado de cuenta para el usuario con MP: AxxxxD

URL DESCARGA: https://bnext-core2017.s3.eu-west-1.amazonaws.com/certs/A2752D_ACCOUNT_CERT_f4492508850c58446d4784339470xxxx.pdf?X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAXHFTZ5LSB72YJP4I%2F20200904%2Feu-west-1%2Fs3%2Faws4_request&X-Amz-Date=20200904T182025Z&X-Amz-SignedHeaders=host&X-Amz-Expires=7200&X-Amz-Signature=c90b4c47278548319886401a64288ca86cbaa811596d638ba658d14ddda0c874

No parece phising, parece auténtico. Otra cosa es que se confundiesen en la dirección mail (ojo que no es una broma). Tu pediste un certificado de titularidad? Tienes una tarjeta que empiece (el código de activación, digamos lo que identifica a la tarjeta) por A y acabe por D?

Pues ojo como sea el certificado de otra cuenta que no sea la suya…cuidado con hacer click ahí me saltanas alarmas

1 me gusta

Yo hice click xD.

Ya está desactivado. :wink:

Hola, Victor

No, no había pedido ningún certificado. Además, cambié la URL (cambié los últimos 4 dígitos a xxxx) para que nadie se infectase por error (si al final era phishing).

2 Me gusta

Cierto, solo miré al final. No no creo que sea phising, si no una cagada (si te estaban mandando los datos de otra persona) o al menos mandándote algo que no pediste.

En un pdf tampoco creo que te fueses a descargar nada chungo en todo caso. A ver si alguien lo ve y depuran que tipo de fallo fue.

1 me gusta

Se envía desde amazonaws.com. Yo sí lo consideraría pishing. ¡Qué más da que en algún sitio ponga el nombre de bnext! Lo importante es el dominio, y amazonaws.com yo no lo asociaría a bnext.

Seguramente Bnext trabaje con Amazon AWS de puertas para adentro, de ahí el enlace.

Un PDF puede contener un ataque igual o peor que un doc (referencia en Cómo son utilizados los archivos PDF para distribuir malware). Además, si es un caso de phising basta con que el PDF sea un formulario…

Como dices, a ver si alguien lo ve y comenta (dejé también mensaje en Twitter, pero no lo han contestado aún)

Que empresa no trabaja con aws a dia de hoy (si no es aws es azure). Al final no cunde ya tener servidores propios, por disponibilidad, por todo (salvo servicios que quieras que no estén externalizados, como servidores de correo propios).

Además el mensaje viene de bnext, lo que está en amazon (aws es amazon web services por si acaso xD) es el pdf, en el gestor documental.

Hola! La dirección de email que te aparece, efectivamente es nuestra. Nos puedes reenviar el email para que lo revisemos a support@bnext.es
Lo que puede haber ocurrido es que un usuario nos haya solicitado un certificado y por error hayamos accedido a tus datos, en lugar de a los suyos para enviar ese mismo certificado a tu email (con tus datos, no con los suyos). No tenemos posibilidad de enviar documentación de un perfil al email de otro usuario.

1 me gusta

Esta bien saberlo, gracias por la aclaración (entiendo además que está automatizado).

Enviado. Espero vuestros comentarios.

Me parece bien que BNext (si ese es el caso) trabaje con AWS. Lo que me hace sospechar es mandar directamente la URL en bruto, sin hacer referencia directamente al dominio “oficial” de bnext.

Tenéis la información de como se hace en:
https://docs.aws.amazon.com/AmazonS3/latest/user-guide/redirect-website-requests.html
https://docs.aws.amazon.com/es_es/AmazonS3/latest/dev/how-to-page-redirect.html