Часто повторяющимся приманкой в фишинговых письмах, отправляемых от имени United Healthcare, является обещание бесплатной зубной щетки Oral-B. Но самое интересное здесь не зубная щетка, а ссылка.
Недавно мы обнаружили, что эти фишеры перешли с использования Microsoft Azure Blob Storage (ссылки выглядят так:
https://{string}.blob.core.windows.net/{same string}/1.html
к ссылкам, запутывающим использование IPv6-сопоставленного IPv4-адреса для скрытия IP таким образом, что это выглядит запутанно, но при этом остается вполне допустимым и маршрутизируемым. Например:
http://[::ffff:5111:8e14]/
В URL-адресах IP-адрес в квадратных скобках означает, что это литерал IPv6. Таким образом, [::ffff:5111:8e14] обрабатывается как адрес IPv6.
::ffff:x:y — это стандартная форма, называемая IPv4-сопоставленным IPv6-адресом, используемая для представления IPv4-адреса в нотации IPv6. Последние 32 бита ( x:y часть) кодируют адрес IPv4.
Поэтому нам нужно конвертировать 5111:8e14 к адресу IPv4. 5111 и 8e14 являются шестнадцатеричными числами. Теоретически это означает:
- 0x5111 в десятичной системе = 20753
- 0x8e14 в десятичной системе = 36372
Но для адресов, отображенных в IPv4, мы действительно рассматриваем последние 32 бита как четыре байта. Если мы распакуем 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Итак, IPv4-адрес, на который ведет этот URL, — 81.17.142.20.
Эти электронные письма представляют собой различные варианты поддельного вознаграждения от мошенников, выдающих себя за компанию United Healthcare, которые используют в качестве приманки премиальную зубную щетку Oral‑B iO. Жертвы попадают на быстро меняющуюся целевую страницу, где, вероятно, в конечном итоге происходит сбор личной информации (PII) и данных банковской карты под предлогом подтверждения права на получение вознаграждения или оплаты небольшой стоимости доставки.
Как оставаться в безопасности
Что делать, если вы ввели свои данные
Если вы предоставили данные своей карты:
- Немедленно свяжитесь со своим банком или эмитентом карты и заблокируйте карту.
- Оспаривайте любые несанкционированные списания
- Не ждите, пока появится мошенничество. Украденные данные карт часто используются быстро.
- Измените пароли для учетных записей, связанных с указанным вами адресом электронной почты.
- Запустите полное сканирование с помощью надежного продукта для обеспечения безопасности.
Другие способы обеспечить безопасность:
- Обновляйте свое устройство и программное обеспечение
- Используйте современное решение для защиты от вредоносных программ, работающее в режиме реального времени, с включенной веб-защитой.
- Если вы не уверены, является ли что-то мошенничеством, Malwarebytes могутотправить подозрительные сообщения в Scam Guardдля проверки.
Индикаторы компромисса (ИКС)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
Мы не просто сообщаем о мошенничестве - мы помогаем его обнаружить.
Риски кибербезопасности не должны выходить за рамки заголовков новостей. Если что-то кажется вам подозрительным, проверьте, не является ли это мошенничеством, с помощью Malwarebytes Guard. Отправьте скриншот, вставьте подозрительный контент или поделитесь ссылкой, текстом или номером телефона, и мы сообщим вам, является ли это мошенничеством или законным. Доступно с Malwarebytes Premium для всех ваших устройств, а также в Malwarebytes для iOS Android.
