Ein wiederkehrender Köder in Phishing-E-Mails, die sich als United Healthcare ausgeben, ist das Versprechen einer kostenlosen Oral-B-Zahnbürste. Das Interessante daran ist jedoch nicht die Zahnbürste, sondern der Link.
Kürzlich haben wir festgestellt, dass diese Phisher von Microsoft Azure Blob Storage (Links, die so aussehen:
https://{string}.blob.core.windows.net/{same string}/1.html
zu Links, die durch die Verwendung einer IPv6-zugeordneten IPv4-Adresse verschleiert werden, um die IP auf eine Weise zu verbergen, die verwirrend aussieht, aber dennoch vollkommen gültig und routbar ist. Zum Beispiel:
http://[::ffff:5111:8e14]/
In URLs bedeutet die Angabe einer IP-Adresse in eckigen Klammern, dass es sich um eine IPv6-Literal handelt. Also [::ffff:5111:8e14] wird als IPv6-Adresse behandelt.
::ffff:x:y ist ein Standardformat, das als IPv4-gemappte IPv6-Adresse bezeichnet wird und zur Darstellung einer IPv4-Adresse in der IPv6-Notation verwendet wird. Die letzten 32 Bits (die x:y Teil) die IPv4-Adresse kodieren.
Also müssen wir konvertieren 5111:8e14 zu einer IPv4-Adresse. 5111 und 8e14 sind Hexadezimalzahlen. Theoretisch bedeutet das:
- 0x5111 in Dezimal = 20753
- 0x8e14 in Dezimal = 36372
Bei IPv4-zugeordneten Adressen behandeln wir die letzten 32 Bits jedoch tatsächlich als vier Bytes. Wenn wir entpacken 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Die IPv4-Adresse, zu der diese URL führt, lautet also 81.17.142.20.
Die E-Mails sind Variationen einer gefälschten Prämie von Betrügern, die sich als United Healthcare ausgeben und eine hochwertige Oral-B iO-Zahnbürste als Köder verwenden. Die Opfer werden auf eine schnell wechselnde Landing Page weitergeleitet, wo das wahrscheinliche Ziel darin besteht, unter dem Vorwand der Überprüfung der Berechtigung oder der Zahlung einer geringen Versandgebühr personenbezogene Daten (PII) und Kartendaten zu sammeln.
Wie man sicher bleibt
Was tun, wenn Sie Ihre Daten eingegeben haben?
Wenn Sie Ihre Kartendaten eingegeben haben:
- Wenden Sie sich umgehend an Ihre Bank oder Ihren Kartenaussteller und lassen Sie die Karte sperren.
- Beanstanden Sie alle nicht autorisierten Belastungen
- Warten Sie nicht, bis Betrug auftritt. Gestohlene Kartendaten werden oft schnell verwendet.
- Ändern Sie die Passwörter für Konten, die mit der von Ihnen angegebenen E-Mail-Adresse verknüpft sind.
- Führen Sie einen vollständigen Scan mit einem seriösen Sicherheitsprodukt durch.
Weitere Möglichkeiten, um sicher zu bleiben:
- Halten Sie Ihr Gerät und Ihre Software auf dem neuesten Stand.
- Verwenden Sie eine aktuelle Echtzeit -Anti-Malware-Lösung mit aktiviertem Webschutz.
- Wenn Sie sich nicht sicher sind, ob es sich um einen Betrug handelt, können Malwarebytes verdächtige Nachrichtenzur Überprüfungan Scam Guard senden.
Indikatoren für Kompromisse (IOCs)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
Wir berichten nicht nur über Betrugsfälle - wir helfen, sie aufzudecken
Cybersicherheitsrisiken sollten niemals über eine Schlagzeile hinausgehen. Wenn Ihnen etwas verdächtig erscheint, überprüfen Sie mit Malwarebytes Guard, ob es sich um einen Betrug handelt. Senden Sie einen Screenshot, fügen Sie verdächtige Inhalte ein oder teilen Sie einen Link, einen Text oder eine Telefonnummer, und wir sagen Ihnen, ob es sich um einen Betrug handelt oder nicht. Verfügbar mit Malwarebytes Premium für alle Ihre Geräte und in der Malwarebytes für iOS Android.
