Powtarzającym się elementem przyciągającym uwagę w wiadomościach phishingowych podszywających się pod United Healthcare jest obietnica darmowej szczoteczki do zębów Oral-B. Jednak interesującym elementem nie jest szczoteczka, a link.
Ostatnio odkryliśmy, że oszuści ci przestali korzystać z usługi Microsoft Azure Blob Storage (linki wyglądające tak:
https://{string}.blob.core.windows.net/{same string}/1.html
do linków zaciemnionych poprzez użycie adresu IPv4 zmapowanego na IPv6 w celu ukrycia adresu IP w sposób, który wygląda na zagmatwany, ale nadal jest całkowicie prawidłowy i możliwy do routowania. Na przykład:
http://[::ffff:5111:8e14]/
W adresach URL umieszczenie adresu IP w nawiasach kwadratowych oznacza, że jest to literał IPv6. A więc [::ffff:5111:8e14] jest traktowany jako adres IPv6.
::ffff:x:y jest standardową formą zwaną adresem IPv6 mapowanym na IPv4, używaną do reprezentowania adresu IPv4 w notacji IPv6. Ostatnie 32 bity ( x:y część) kodują adres IPv4.
Więc musimy przekonwertować 5111:8e14 na adres IPv4. 5111 oraz 8e14 są liczbami szesnastkowymi. Teoretycznie oznacza to, że:
- 0x5111 w systemie dziesiętnym = 20753
- 0x8e14 w systemie dziesiętnym = 36372
Jednak w przypadku adresów mapowanych na IPv4 ostatnie 32 bity traktujemy jako cztery bajty. Jeśli rozpakujemy 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Adres IPv4, do którego prowadzi ten adres URL, to 81.17.142.20.
Wiadomości e-mail są odmianami fałszywej nagrody od oszustów podszywających się pod United Healthcare, którzy wykorzystują wysokiej klasy szczoteczkę do zębów Oral‑B iO jako przynętę. Ofiary są przekierowywane na szybko zmieniającą się stronę docelową, gdzie prawdopodobnym celem jest zebranie danych osobowych (PII) i danych karty kredytowej pod pretekstem potwierdzenia uprawnień lub uiszczenia niewielkiej opłaty za wysyłkę.
Jak zachować bezpieczeństwo
Co zrobić, jeśli podałeś swoje dane
Jeśli podałeś dane swojej karty:
- Skontaktuj się natychmiast ze swoim bankiem lub wystawcą karty i zablokuj kartę.
- Kwestionuj wszelkie nieautoryzowane opłaty
- Nie czekaj, aż pojawi się oszustwo. Skradzione dane kart są często szybko wykorzystywane.
- Zmień hasła do kont powiązanych z podanym adresem e-mail.
- Przeprowadź pełne skanowanie za pomocą renomowanego produktu zabezpieczającego.
Inne sposoby na zachowanie bezpieczeństwa:
- Aktualizuj swoje urządzenie i oprogramowanie
- Korzystaj z aktualnego rozwiązania antywirusowego działającego w czasie rzeczywistym z włączoną ochroną internetową.
- Jeśli nie masz pewności, czy coś jest oszustwem, Malwarebytes mogązgłaszać podejrzane wiadomości do Scam Guardw celu sprawdzenia.
Wskaźniki kompromisu (IOC)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
Nie tylko informujemy o oszustwach - pomagamy je wykrywać
Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Jeśli coś wydaje Ci się podejrzane, sprawdź, czy nie jest to oszustwo, korzystając z Malwarebytes Guard. Prześlij zrzut ekranu, wklej podejrzaną treść lub udostępnij link, tekst lub numer telefonu, a my powiemy Ci, czy jest to oszustwo, czy legalna strona. Funkcja dostępna w ramach Malwarebytes Premium dla wszystkich urządzeń oraz w Malwarebytes na iOS Android.
