Um atrativo recorrente nos e-mails de phishing que se fazem passar pela United Healthcare é a promessa de uma escova de dentes Oral-B gratuita. Mas o interessante não é a escova de dentes. É o link.
Recentemente, descobrimos que esses phishers deixaram de usar o Microsoft Azure Blob Storage (links com o seguinte formato:
https://{string}.blob.core.windows.net/{same string}/1.html
para links ofuscados usando um endereço IPv4 mapeado para IPv6 para ocultar o IP de uma forma que parece confusa, mas ainda é perfeitamente válida e roteável. Por exemplo:
http://[::ffff:5111:8e14]/
Em URLs, colocar um IP entre colchetes significa que é um literal IPv6. Portanto, [::ffff:5111:8e14] é tratado como um endereço IPv6.
::ffff:x:y é um formato padrão chamado endereço IPv6 mapeado para IPv4, usado para representar um endereço IPv4 dentro da notação IPv6. Os últimos 32 bits (o x:y parte) codifica o endereço IPv4.
Portanto, precisamos converter 5111:8e14 para um endereço IPv4. 5111 e 8e14 são números hexadecimais. Em teoria, isso significa:
- 0x5111 em decimal = 20753
- 0x8e14 em decimal = 36372
Mas, para endereços mapeados para IPv4, tratamos os últimos 32 bits como quatro bytes. Se descompactarmos 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Portanto, o endereço IPv4 para o qual este URL leva é 81.17.142.20.
Os e-mails são variações de uma recompensa falsa de golpistas que fingem ser da United Healthcare e usam uma escova de dentes Oral‑B iO premium como isca. As vítimas são enviadas para uma página de destino em rápida rotação, onde o objetivo final provável é a recolha de informações de identificação pessoal (PII) e dados de cartão sob o pretexto de confirmar a elegibilidade ou pagar uma pequena taxa de envio.
Como se manter seguro
O que fazer se inseriu os seus dados
Se enviou os dados do seu cartão:
- Entre em contacto com o seu banco ou emissor do cartão imediatamente e cancele o cartão.
- Conteste quaisquer cobranças não autorizadas
- Não espere que a fraude apareça. Os dados de cartões roubados são frequentemente utilizados rapidamente.
- Altere as palavras-passe das contas associadas ao endereço de e-mail que forneceu.
- Execute uma verificação completa com um produto de segurança confiável.
Outras formas de se manter seguro:
- Mantenha o seu dispositivo e software atualizados
- Use uma solução antimalware atualizada e em tempo real com proteção da Web ativada
- Se não tiver a certeza se algo é uma fraude, Malwarebytes podemenviar mensagens suspeitas ao Scam Guardpara análise.
Indicadores de compromisso (IOCs)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
Não nos limitamos a informar sobre as burlas - ajudamos a detectá-las
Os riscos de cibersegurança nunca devem ir além de uma manchete. Se algo lhe parecer suspeito, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de ecrã, cole o conteúdo suspeito ou partilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.
