网络钓鱼者利用 IPv6 技巧在“免费牙刷”电子邮件中隐藏诈骗链接

冒充 United Healthcare 的网络钓鱼电子邮件中反复出现的诱惑是免费 Oral-B 牙刷的承诺。但有趣的部分不是牙刷。这是链接。

最近我们发现这些网络钓鱼者已不再使用 Microsoft Azure Blob 存储（链接如下所示：

https://{string}.blob.core.windows.net/{same string}/1.html

到使用 IPv6 映射的 IPv4 地址来混淆的链接，以一种看起来令人困惑但仍然完全有效和可路由的方式隐藏 IP。例如：

http://[::ffff:5111:8e14]/

在 URL 中，将 IP 放在方括号中表示它是 IPv6 文字。因此 [::ffff:5111:8e14] 被视为 IPv6 地址。

::ffff:x:y 是一种称为 IPv4 映射 IPv6 地址的标准形式，用于在 IPv6 表示法中表示 IPv4 地址。最后 32 位（x:y 部分）对 IPv4 地址进行编码。

因此，我们需要将 5111:8e14 转换为 IPv4 地址。5111 和 8e14 是十六进制数字。理论上这意味着：

0x5111（十进制）= 20753

0x8e14（十进制）= 36372

但对于 IPv4 映射地址，我们实际上将最后 32 位视为四个字节。如果我们解压 0x51 0x11 0x8e 0x14：

0x51 = 81

0x11 = 17

0x8e = 142

0x14 = 20

因此，该 URL 指向的 IPv4 地址是 81.17.142.20

这些电子邮件是骗子冒充 United Healthcare 的虚假奖励的变体，使用优质 Oral‑B iO 牙刷作为诱饵。受害者被发送到一个快速旋转的登陆页面，最终的结果可能是以确认资格或支付少量运费为幌子收集个人身份信息 (PII) 和卡数据。

如何保持安全

如果您输入了详细信息，该怎么办

如果您提交了银行卡详细信息：

立即联系您的银行或发卡机构并取消该卡

对任何未经授权的收费提出异议

不要等到欺诈出现。被盗卡数据往往很快被利用

更改与您提供的电子邮件地址关联的帐户的密码

使用信誉良好的安全产品运行全面扫描

其他保证安全的方法：

妥协指标 (IOC)