Uma atração recorrente em e-mails de phishing que se fazem passar pela United Healthcare é a promessa de uma escova de dentes Oral-B gratuita. Mas a parte interessante não é a escova de dentes. É o link.
Recentemente, descobrimos que esses phishers deixaram de usar o Microsoft Azure Blob Storage (links parecidos com estes:
https://{string}.blob.core.windows.net/{same string}/1.html
para links ofuscados usando um endereço IPv4 mapeado em IPv6 para ocultar o IP de uma forma que parece confusa, mas ainda é perfeitamente válida e roteável. Por exemplo:
http://(::ffff:5111:8e14)/
Em URLs, colocar um IP entre colchetes significa que é um literal IPv6. Então (::ffff:5111:8e14) é tratado como um endereço IPv6.
::ffff:x:y é um formato padrão chamado endereço IPv6 mapeado para IPv4, usado para representar um endereço IPv4 dentro da notação IPv6. Os últimos 32 bits (o x:y parte) codifica o endereço IPv4.
Então precisamos converter 5111:8e14 para um endereço IPv4. 5111 e 8e14 são números hexadecimais. Em teoria, isso significa:
- 0x5111 em decimal = 20753
- 0x8e14 em decimal = 36372
Mas para endereços mapeados em IPv4, nós realmente tratamos os últimos 32 bits como quatro bytes. Se descompactarmos 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Portanto, o endereço IPv4 para o qual este URL leva é 81.17.142.20
Os e-mails são variações de uma recompensa falsa de golpistas que fingem ser a United Healthcare e que usam uma escova de dentes Oral-B iO premium como isca. As vítimas são enviadas para uma página de destino de rápida rotação, onde o provável objetivo final é a coleta de informações de identificação pessoal (PII) e dados de cartão, sob o pretexto de confirmar a elegibilidade ou pagar uma pequena taxa de envio.
Como se manter seguro
O que fazer se você inseriu seus dados
Se você enviou os dados do seu cartão:
- Entre em contato com seu banco ou emissor do cartão imediatamente e cancele o cartão
- Discutir quaisquer cobranças não autorizadas
- Não espere que a fraude apareça. Dados de cartões roubados costumam ser usados rapidamente
- Altere as senhas das contas vinculadas ao endereço de e-mail que você forneceu
- Execute uma verificação completa com um produto de segurança confiável
Outras maneiras de se manter seguro:
Indicadores de Compromisso (IOCs)
81.17.142.40
15.204.145.84
redirectingherenow(.)com
redirectofferid(.)pro
Não apenas denunciamos golpes, nós ajudamos a detectá-los
Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Se algo parecer duvidoso para você, verifique se é uma fraude usando o Malwarebytes Scam Guard. Envie uma captura de tela, cole conteúdo suspeito ou compartilhe um link, mensagem de texto ou número de telefone e diremos se é uma fraude ou se é legítimo. Disponível com Malwarebytes Premium Security para todos os seus dispositivos e no aplicativo Malwarebytes para iOS e Android.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!