A l'entendre, Cofense observe une vague d'attaques d'hameçonnage par le truchement "du site d'hébergement de fichiers légitime WeTransfer". Ces attaques ciblent le secteur financier, la branche énergétique et les médias. Le mail de phishing ressemble à un message de WeTransfer, indiquant que quelqu'un a partagé un fichier. Ces mails sont envoyés via des adresses e-mail interceptées. Dans une notice, l'expéditeur signale qu'il s'agit par exemple d'une facture qui doit être payée, une astuce assez souvent utilisée par les auteurs de tentatives de phishing.

Si le destinataire souhaite télécharger le fichier, il est orienté vers une page WeTransfer, où se trouve un fichier htm ou html. S'il le télécharge, il est guidé vers un site contrefait, où il est invité à noter son nom d'utilisateur et son mot de passe pour Office365 de Microsoft par exemple. S'il le fait, ses données passent aussitôt entre les mains du ou des hameçonneur(s).

On ne sait pas qui a initié ce mode de phishing et combien de victimes il a déjà faites.