ユナイテッド・ヘルスケアを装ったフィッシングメールで繰り返し使われる手口は、無料のオーラルB歯ブラシを約束することだ。しかし興味深いのは歯ブラシではなく、リンクである。
最近、これらのフィッシング詐欺師がMicrosoft Azure Blob Storageの使用から移行していることが判明しました(リンクは以下のような形式です:
https://{string}.blob.core.windows.net/{same string}/1.html
IPv6にマッピングされたIPv4アドレスを使用してリンクを難読化し、混乱を招くように見せつつも完全に有効かつルーティング可能な方法でIPを隠蔽する。例:
http://[::ffff:5111:8e14]/
URLにおいて、IPアドレスを角括弧で囲むと、それがIPv6リテラルであることを意味します。したがって [::ffff:5111:8e14] IPv6アドレスとして扱われます。
::ffff:x:y IPv4-mapped IPv6アドレスと呼ばれる標準形式であり、IPv6表記内でIPv4アドレスを表すために使用される。最後の32ビット( x:y part) IPv4アドレスを符号化する。
ですから、変換する必要があります 5111:8e14 IPv4アドレスに 5111 そして 8e14 16進数である。理論的には、それは次のことを意味する:
- 0x5111 を十進数で表すと = 20753
- 0x8e14 を10進数に変換すると = 36372
しかしIPv4マッピングされたアドレスの場合、最後の32ビットを実際に4バイトとして扱います。これをアンパックすると 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
では、このURLが指すIPv4アドレスは81.17.142.20です。
これらのメールは、ユナイテッド・ヘルスケアを装った詐欺師による偽の報酬を装ったもので、高級オーラルB iO歯ブラシを餌にしています。被害者は頻繁に更新されるランディングページに誘導され、資格確認や少額の送料支払いを装って、個人識別情報(PII)やカード情報の収集が最終目的である可能性が高いです。
安全に過ごすには
詳細を入力した場合の対処方法
カード情報を送信した場合:
- 直ちに銀行またはカード発行会社に連絡し、カードを停止してください
- 不正な請求に対して異議を申し立てる
- 詐欺が発生するのを待ってはいけない。盗まれたカードデータは、しばしば素早く悪用される。
- ご提供いただいたメールアドレスに関連付けられているアカウントのパスワードを変更してください
- 信頼できるセキュリティ製品でフルスキャンを実行してください
安全を確保するその他の方法:
- デバイスとソフトウェアを最新の状態に保ってください
- 最新のリアルタイムマルウェア対策ソリューションを使用し、ウェブ保護機能を有効にしてください
- 何かが詐欺かどうか確信が持てない場合、Malwarebytes 不審なメッセージをScam Guardに提出し、審査を受けることができます
妥協の指標(IOCs)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
私たちは単に詐欺を報告するだけでなく、詐欺の発見を支援します。
サイバーセキュリティリスクは見出し以上の広がりを見せてはなりません。怪しいと感じたら、Malwarebytes Guardで詐欺かどうか確認しましょう。スクリーンショットを送信、不審な内容を貼り付け、またはリンク・テキスト・電話番号を共有すれば、詐欺か正当かを判断します。すべてのMalwarebytes Premium 、 AndroidMalwarebytes 利用可能です。
