Une incitation récurrente dans les e-mails de phishing usurpant l'identité de United Healthcare est la promesse d'une brosse à dents Oral-B gratuite. Mais ce qui est intéressant, ce n'est pas la brosse à dents. C'est le lien.
Nous avons récemment découvert que ces hameçonneurs ont cessé d'utiliser Microsoft Azure Blob Storage (liens ressemblant à ceci :
https://{string}.blob.core.windows.net/{same string}/1.html
aux liens obscurcis en utilisant une adresse IPv4 mappée IPv6 pour masquer l'adresse IP d'une manière qui semble confuse, mais qui reste parfaitement valide et routable. Par exemple :
http://[::ffff:5111:8e14]/
Dans les URL, mettre une adresse IP entre crochets signifie qu'il s'agit d'une adresse IPv6 littérale. Donc [::ffff:5111:8e14] est traitée comme une adresse IPv6.
::ffff:x:y est un format standard appelé adresse IPv6 mappée IPv4, utilisé pour représenter une adresse IPv4 dans la notation IPv6. Les 32 derniers bits (les x:y partie) encodent l'adresse IPv4.
Nous devons donc convertir 5111:8e14 à une adresse IPv4. 5111 et 8e14 sont des nombres hexadécimaux. En théorie, cela signifie :
- 0x5111 en décimal = 20753
- 0x8e14 en décimal = 36372
Mais pour les adresses mappées IPv4, nous traitons réellement ces 32 derniers bits comme quatre octets. Si nous décompressons 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Ainsi, l'adresse IPv4 vers laquelle mène cette URL est 81.17.142.20.
Les e-mails sont des variantes d'une fausse récompense proposée par des escrocs se faisant passer pour United Healthcare, qui utilisent une brosse à dents haut de gamme Oral-B iO comme appât. Les victimes sont redirigées vers une page d'accueil à rotation rapide où l'objectif final est probablement la collecte d'informations personnelles identifiables (PII) et de données de carte bancaire sous prétexte de confirmer leur éligibilité ou de payer des frais d'expédition minimes.
Comment rester en sécurité
Que faire si vous avez saisi vos coordonnées
Si vous avez fourni les détails de votre carte bancaire :
- Contactez immédiatement votre banque ou l'émetteur de votre carte et faites opposition.
- Contestez tout frais non autorisé
- N'attendez pas que la fraude se produise. Les données de cartes volées sont souvent utilisées rapidement.
- Modifiez les mots de passe des comptes liés à l'adresse e-mail que vous avez fournie.
- Effectuez une analyse complète à l'aide d'un produit de sécurité réputé.
Autres moyens d'assurer votre sécurité :
- Maintenez votre appareil et vos logiciels à jour
- Utilisez une solution anti-malware à jour et en temps réel avec la protection Web activée.
- Si vous n'êtes pas sûr qu'il s'agisse d'une arnaque, Malwarebytes peuventsoumettre les messages suspects à Scam Guardpour examen.
Indicateurs de compromis (IOC)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
Nous ne nous contentons pas de signaler les escroqueries, nous contribuons à les détecter.
Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Si quelque chose vous semble louche, vérifiez s'il s'agit d'une arnaque à l'aide de Malwarebytes Guard. Envoyez une capture d'écran, collez le contenu suspect ou partagez un lien, un texte ou un numéro de téléphone, et nous vous dirons s'il s'agit d'une arnaque ou d'un site légitime. Disponible avec Malwarebytes Premium pour tous vos appareils, et dans Malwarebytes pour iOS Android.
