Un reclamo recurrente en los correos electrónicos de phishing que se hacen pasar por United Healthcare es la promesa de un cepillo de dientes Oral-B gratuito. Pero lo interesante no es el cepillo de dientes, sino el enlace.
Recientemente hemos descubierto que estos phishers han dejado de utilizar Microsoft Azure Blob Storage (enlaces con este aspecto:
https://{string}.blob.core.windows.net/{same string}/1.html
a enlaces ofuscados mediante el uso de una dirección IPv4 mapeada a IPv6 para ocultar la IP de una forma que parece confusa, pero que sigue siendo perfectamente válida y enrutable. Por ejemplo:
http://[::ffff:5111:8e14]/
En las URL, poner una IP entre corchetes significa que es un literal IPv6. Por lo tanto, [::ffff:5111:8e14] se trata como una dirección IPv6.
::ffff:x:y es un formato estándar denominado dirección IPv6 mapeada a IPv4, que se utiliza para representar una dirección IPv4 dentro de la notación IPv6. Los últimos 32 bits (el x:y parte) codifica la dirección IPv4.
Por lo tanto, necesitamos convertir 5111:8e14 a una dirección IPv4. 5111 y 8e14 son números hexadecimales. En teoría, eso significa:
- 0x5111 en decimal = 20753
- 0x8e14 en decimal = 36372
Pero para las direcciones mapeadas en IPv4, realmente tratamos esos últimos 32 bits como cuatro bytes. Si desempaquetamos 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Por lo tanto, la dirección IPv4 a la que conduce esta URL es 81.17.142.20.
Los correos electrónicos son variaciones de una recompensa falsa de estafadores que se hacen pasar por United Healthcare y utilizan un cepillo de dientes Oral-B iO de alta gama como cebo. Las víctimas son enviadas a una página de destino de rápida rotación donde el objetivo final probable es la recopilación de información de identificación personal (PII) y datos de tarjetas bajo el pretexto de confirmar la elegibilidad o pagar una pequeña tarifa de envío.
Cómo mantenerse seguro
¿Qué hacer si ha introducido sus datos?
Si ha enviado los datos de su tarjeta:
- Póngase en contacto con su banco o con la entidad emisora de la tarjeta inmediatamente y cancele la tarjeta.
- Disputar cualquier cargo no autorizado
- No espere a que se produzca el fraude. Los datos de tarjetas robadas suelen utilizarse rápidamente.
- Cambia las contraseñas de las cuentas vinculadas a la dirección de correo electrónico que proporcionaste.
- Realice un análisis completo con un producto de seguridad de confianza.
Otras formas de mantenerse seguro:
- Mantenga su dispositivo y software actualizados.
- Utilice una solución antimalware actualizada y en tiempo real con protección web habilitada.
- Si no estás seguro de si algo es una estafa, Malwarebytes puedenenviar mensajes sospechosos a Scam Guardpara su revisión.
Indicadores de compromiso (IOC)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
No sólo informamos de las estafas, sino que ayudamos a detectarlas.
Los riesgos de ciberseguridad nunca deben ir más allá de un titular. Si algo te parece sospechoso, comprueba si se trata de una estafa con Malwarebytes Guard. Envía una captura de pantalla, pega el contenido sospechoso o comparte un enlace, texto o número de teléfono, y te diremos si se trata de una estafa o es legítimo. Disponible con Malwarebytes Premium para todos tus dispositivos y en la Malwarebytes para iOS Android.
