Een terugkerende lokroep in phishing-e-mails die zich voordoen als United Healthcare is de belofte van een gratis Oral-B-tandenborstel. Maar het interessante is niet de tandenborstel. Het is de link.
Onlangs hebben we ontdekt dat deze phishers zijn overgestapt van het gebruik van Microsoft Azure Blob Storage (links die er als volgt uitzien:
https://{string}.blob.core.windows.net/{same string}/1.html
naar links die zijn versleuteld door een IPv6-gemapte IPv4-adres te gebruiken om het IP-adres te verbergen op een manier die verwarrend lijkt, maar nog steeds perfect geldig en routeerbaar is. Bijvoorbeeld:
http://[::ffff:5111:8e14]/
In URL's betekent het plaatsen van een IP tussen vierkante haken dat het een IPv6-letterlijke waarde is. Dus [::ffff:5111:8e14] wordt behandeld als een IPv6-adres.
::ffff:x:y is een standaardvorm die een IPv4-gemapte IPv6-adres wordt genoemd en die wordt gebruikt om een IPv4-adres weer te geven in IPv6-notatie. De laatste 32 bits (de x:y deel) het IPv4-adres coderen.
Dus we moeten converteren 5111:8e14 naar een IPv4-adres. 5111 en 8e14 zijn hexadecimale getallen. In theorie betekent dat:
- 0x5111 in decimaal = 20753
- 0x8e14 in decimaal = 36372
Maar voor IPv4-toegewezen adressen behandelen we die laatste 32 bits echt als vier bytes. Als we uitpakken 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Het IPv4-adres waarnaar deze URL verwijst, is dus 81.17.142.20.
De e-mails zijn variaties op een valse beloning van oplichters die zich voordoen als United Healthcare en die een hoogwaardige Oral‑B iO-tandenborstel als lokmiddel gebruiken. Slachtoffers worden naar een snel wisselende landingspagina gestuurd waar het uiteindelijke doel waarschijnlijk het verzamelen van persoonlijk identificeerbare informatie (PII) en kaartgegevens is, onder het mom van het bevestigen van geschiktheid of het betalen van een kleine verzendkosten.
Hoe blijf ik veilig
Wat te doen als u uw gegevens hebt ingevoerd
Als u uw kaartgegevens hebt opgegeven:
- Neem onmiddellijk contact op met uw bank of kaartuitgever en blokkeer de kaart.
- Betwist ongeoorloofde kosten
- Wacht niet tot er fraude plaatsvindt. Gestolen kaartgegevens worden vaak snel gebruikt.
- Wijzig de wachtwoorden voor accounts die zijn gekoppeld aan het door u opgegeven e-mailadres.
- Voer een volledige scan uit met een gerenommeerd beveiligingsproduct.
Andere manieren om veilig te blijven:
- Houd uw apparaat en software up-to-date
- Gebruik een actuele, realtime anti-malwareoplossing met webbeveiliging ingeschakeld.
- Als u niet zeker weet of iets oplichterij is, kunnen Malwarebytes verdachte berichtenter beoordelingindienen bij Scam Guard.
Indicatoren van compromissen (IOC's)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
We rapporteren niet alleen over zwendel, we helpen ook bij het opsporen ervan
Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Als iets u verdacht lijkt, controleer dan of het om oplichting gaat met Malwarebytes Guard. Stuur een screenshot, plak verdachte inhoud of deel een link, tekst of telefoonnummer, en wij vertellen u of het om oplichting gaat of dat het legitiem is. Beschikbaar met Malwarebytes Premium voor al uw apparaten en in de Malwarebytes voor iOS Android.
