Microsoftin nimissä saapunut henkilötietovarkausyritys

 Kirje ei saapunut Microsoftista Lontoosta, vaan japanilaisesta osoitteesta: "ishida@sugaya.ne.jp"

En minä, ettekä tekään, joka vastaavan kirjeen on saanut, ole voittanut yhtään mitään Jos annatte henkilötietonne, niitä tullaan käyttämään verkkorikoksiin teidän kustannuksellanne.

HENKILÖTIETOJA EI SAA ANTAA e-mailin perusteella kenellekään, eikä millekään taholle. Yritysten nimiä käytetään väärin jatkuvasti ja kirjeisiin liitetään verkosta varastettuja logoja ja kuvia, sekä luvattomasti käytettyjä yritysten edustajien henkilönimiä.

----------------------------KIRJE------------------------------

Date     11.7.2021 12:50

[contactphoto]
MICROSOFT® CORPORATION
Cardinal Place
80-100 Victoria Street
London,SW1E 5JL
United Kingdom
 

Dear Winner
 
This message is from the Office of the MICROSOFT® Co-Operation. We are pleased to inform you of the result for the just concluded annual draws of the MICROSOFT® Online Lotto for regular users of Msn,Hotmail and Bing search engine for the year 2021.Your email address in the 1st category and therefore a cash award of ?845,000.00 GBP (Eight Hundred and Forty Five Thousand Great British Pounds Sterling) in cheque credited to Email Bonus Numbers: MSLP-54399. Please proceed with your claims by writing to our Foreign Co-coordinator (Derrick McCourt) Public/Online Sector U.K So he can assist you in redeeming your price with the following details


Full name’s and address
Nationality and Country of residence
Gender and Age (yy/mm/dd)
Marital Status and Occupation
Private e-mail address
Mobile and Fax Number
 

Derrick McCourt
General Manager, Public/Online Sector U.K
E-mail:  xxxxxxx@yandex.com <mailto:xxxxxxx@yandex.com>
            xxxxxxx@dr.com <mailto:xxxxxxx@dr.com>
 
Congratulations from the Staffs & Management of Microsoft Corporation.
 

Signed,
Michel Van Der Bel
Managing Director,
Microsoft® UK and Vice President, Microsoft International
©2021 MICROSOFT® Co-Operation

All right reserved. This email was sent from Microsoft notification email address. The information in this email is confidential and legally privileged. It is for the exclusive use of the intended recipient(s). Please consider the environment.??

"ewe.net" osoitteista varoitetaan

Edellinen blogiteksti kertoi "ewe.net" osoitteesta saapuneesta huijauskirjeestä.
Tämä plavelin on ilmeisen saastunut spämmääjistä joiden kirjeiden tarkoitus vaikuttaa olevan pääsääntöisesti "phishing" eli henkilötietokalastelu. Pidemmälle vietynä sen kirjeiden avulla saatetaan udella myös pankkitietoja tai luottokorttitietoja. Näitä tietoja EI tule antaa kenellekään verkkotoimijalle, sen todellisia aikeita ja taustoja selvittämättä. Poikkeuksen tekee oma pankkisi. Tarkista joka kerta myös pankissa asioidessasi, että sen osoite on oikein ja juuri se oikea ja virallinen.

Nyt kiertävissä roskaposteissa on sinun nimesi nostettu robotin kopioimana "lähettänimeksi" ja tämä on jo suuri varoitusmerkki kirjeen aikeista: sinun.nimesi <tim.meier1@ewe.net>. Tuota Tim Meiriä ei kannata etsiä, se nimi on tekaistu ja sillä on peitetty kirjeen todellinen lähettäjä.

Header analyysi on sama kuin eilisessä blogitekstissä: "laihdutatko-lompakkoasi", eli ihan puhtaasta huijausyrityksestä näissä kirjeissä on kyse. Linkit vievät tuntemattomille palvelimille ja tietourkintaa varten räätälöityyn haittaohjelmaan.

Analyysiä löytyy:
https://vaarallinenweb.blogspot.com/2020/03/laihdutatko-lompakkoasi.html

FBI ei avusta verkossa huijattuja

Tämä on henkilötietovarkaus. FBI:n nimissä on saapunut vastaavia kirjeitä myös aikaisemmin ja olen niistä varottanut. Kertaus ei ole pahitteeksi.
Nimesi ja henkiklötietosi varastetaan seuraaviin verkkohuijauksiin. Heitä kirje roskikseen.

Lähettäjä:FBI office <enquiry@dutasuryasukses.com> (ei ole FBI vaan hämäystarkoituksessa varastettu osoite josta verkko kertoo mm. "Duta Surya Sukses sets a new milestone for the island's Gas Industry". Ei vaikuta FBI:ltä, vaikka peiteopertaatioita tekisikin peitenimillä)
Aihe: Your Urgent Response is needed (tyypillisesti huijarilla on kiire, jotta et ehtisi miettimään mistä oikeasti onkaan kysymys)

Headerista selviää, että lähetys on lähtenyt muualta kuin mitä lähetysosoite näyttää:

Received: from [156.96.56.163] (port=52025 helo=User)
 by sgvip1.noc401.com with esmtpa (Exim 4.93)
 (envelope-from <enquiry@dutasuryasukses.com>) (tämä rivi kertoo, 
miten lähettäjäosoite on saatu vaihdettua)

Seuraava rivi kertoo, minne vastauksesi olisi menossa. Ei suinkaan FBI:n, vaan huijarin osoitteeseen.

Reply-To: <fbiheadquarters02@gmail.com>

"gmail.com" - tekaistu GMAIL ilmaisosoite, tai mikä tahansa muu ilmaisosoite EI ole koskaan luotettava, eikä FBI:n käyttämä.

Kirje lupaa sinulle korvausta verkkohuijauksista mutta se on siis täyttä puppua. En ole tähän päivämäärään mennessä kuullut, että mikään rehellinen organisaatioi olisi jaellut korvauksia tai avustuksia verkkohuijatuille.

---------------------------------------EMAIL------------------------------------------

FBI HEADQUARTERS IN WASHINGTON, D.C

FEDERAL BUREAU OF INVESTIGATION

J. EDGAR HOOVER BUILDING

935 PENNSYLVANIA AVENUE, NW

WASHINGTON, D.C. 20535-0001

We have finally completed an investigation with the help of our Intelligence Monitoring Network system, Your name and email address was short listed as one of the victims of internet fraud, that is why we are contacting you as one of the beneficiaries of this compensation payment. We do understand what you went through in the hands of these scammers, but you have to receive this compensation as part of our effort to protect human rights all over the world.

This is to Inform You that the Federal Bureau Of Investigation (FBI) in conjunction with the United Nations Compensation Commission (UNCC), has agreed to pay a compensation of USD$850.000.00 ( Eight Hundred and Fifty Thousand Dollars Only) to each of the victims of various internet fraud, who may have lost their hard earned money in the hands of internet fraudsters all over the world and Africa countries like Nigeria, Ghana, Benin etc.

If you receive any E-mail from an unknown sender that you don’t understand forward it to these office for proper investigation.

Re-confirm the below to avoid double claim of your fund.

Your Full Name

Your Contact Address

Your Tel/Fax Numbers

Your Occupation

Your Nationality/Country

Age/Gender

NOTE: If You Receive This Message In Your Junk Or Spam It's Due To Your Internet Provider.

Thanks for your understanding as you follow instructions.

Christopher A. Wray

FBI Director.

-----------------------------------------------------------------------------

VASTAAVIA AIKAISEMPIA HUIJAUSYRITYKSIÄ:
YK:n nimissä. UN/IMF ei käytä minkäänlaiseen postitukseen G-mailin ilmaisosoitetta, eikä heillä ole tällaista kampanjaa menossa. Varoitus spämmistä löytyy IMF:n sivulta: https://www.imf.org/external/scams.htm
Edellinen YK:n nimissä tehty yritys oli 2017: https://vaarallinenweb.blogspot.com/2017/12/unites-nations-ei-kayta-g-mailia.html
Myös FBI:n nimissä on vastaavaa yritetty: https://vaarallinenweb.blogspot.com/2019/07/fbi-ansa-kiertaa-jalleen-postilaatikoita.html
Ja seuraava yritys" muka YK:sta": United Nations Headquarters in Geneva

Pankkien "päivitykset" ovat ansoja

Nyt ropisee päivittän jos jonkin pankin "päivitys" pyyntöjä, olitpa sitten asiakas tahi et. Nämä kaikki ovat ansoja joilla pyritään varastamaan henkilötietosi ja mahdollisesti myös pankkitunnuksesi.
Mihinkään linkkiin ei tule klikata. Linkki näyttää vievän spämmereiden suosiman lomakepalvelun
(form.jotformeu.com) sivulle jonka kautta tietojen varastaminen tapahtuu.
Olen näistä varoittanut jo aikaisemmin mutta kertaus ei ole koskaan pahitteeksi.
SE seikka, että lähettäjäosoitteen paikalla on "asiakaspalvelu@poppankki.fi", ei takaa, että lähetys olisi kotoisin sieltä. Lähettäjänimen voi väärentää, tai sähköpostitilin hakkeroida.
Tekniikkaa on selitetty edellisen varoituksen yhteydessä: http://vaarallinenweb.blogspot.com/2018/10/pankkien-tietoturvapaivitykset-ovat.html

Mm. tämän pankin asiakas en ole koskaan ollut, eikä tämä kirje ole tullut pankista vaan verkkorikolliselta.

-----------------KIRJEEN SISÄLTÖ------------------------

Hyvä  PoPPankki asiakas,

Verkkopankissa järjestelmäpäivitysten vuoksi verkkopalvelujen käyttäjien on hyväksyttävä järjestelmäpäivitys ja päivittää yhteystiedot ajantasalle.

Päivitä yhteystietosi ja tee järjestelmäpäivitys tästä (linkki poistettu)

Prosessi järjestelmän ja tietojen päivittämiseksi on tehty mahdollisimman helpoksi ja sujuvaksi.

Asiakaspalvelijamme ottaa teihin yhteyttä 72 tunnin sisällä päivittämisen jälkeen.

Terveisin

Asiakaspalvelu

POPPankki

-------------------------------------------------------------------
Ilmoitin jotformeu.com lomakesivuston ylläpitäjälle näistä ID varkauskirjeistä. Odotellaan, mitä siellä tapahtuu. Jos ei tapahdu, täytyy ryhtyä muihin toimenpiteisiin. Näitä saapuu nyt aivan tuhka tiheään. Itsestäni en ole huolestunut mutta ilmeisesti ansaan on ihmisiä mennyt, koska pommitus jatkuu tauotta.


JOTFORM VASTASI KIITETTÄVÄN NOPEASTI (muutamassa tunnissa)

Jotform ilmoitti poistaneensa (ja estäneensä) epäilyttävän henkilön palvelimeltaan. Nyt ei vastaavista spämmeistä pitäisi olla haittaa. Tietysti spämmeri hakee seuraavan huonosti hoidetun vastaavan sivuston. Odotellaan sitä.

____________________________________________

Answered by BitiaP

Thank you very much for reporting those forms, all of them are suspended now and their IP has been banned, if you come across with suspicious activity involving our forms, do not hesitate to contact us.
Thank you
____________________________________________

Pankkien tietoturvapäivitykset ovat ansoja

Minulle sapui Nordean tietoturvapäivitys pyyntö joka ei oikeasti ole tullut Nordeasta, vaikka sähköpostiosoite siltä näyttää. Tuo turvapäivitys-linkki veisi kuuluisalle huijjareiden suosimalle "tietovarkaussivulle jotformeu.com" eli ei missään tapauksessa Nordeaan.
Mitään tietoja ei näihin "turvapäivityskyselyihin" tule antaa.
Tämä kirje on tunnistettavissa  huijjaukseksi jo kehnosta käännöksestä mutta usein huijjauskirje saattaa vaikuttaa myös aivan asialliselta.

Pankkeja ei nämä huijjausyritykset tunnu isommin kiinnostavan.
Pankkien etusivuilla tai piiloitetummissakin paikoissa saattaa olla
varoitus huijjauskirjeistä mutta muuten pankit ovat erittäin passisiivisia,
ilmiantamaan näitä huijjareita. Sain Jotformin kanssa kirjeenvaihdolla
poistettua tämän ID varkaan heidän sivustoiltaan. Ei se iso vaiva ollut.
https://vaarallinenweb.blogspot.com/2018/11/pankkien-paivitykset-ovat-ansoja.html

Alla kirjeen lähdekoodi. Kommenttini suluissa.

---------------------e-mailin lähdekoodi--------------------------

Received: via tmail-2007f.2015-sau for fp6592.200; Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
Received: from fe21.mail.saunalahti.fi (fe21.mail.saunalahti.fi [62.142.5.26])
 by be408.mail.saunalahti.fi (Postfix) with ESMTP id 8D2046038B;
 Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
X-Client-Addr: 162.219.251.219 (alussa spämmisuodattimen hakkerointia)
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
Received: from mets.unisonplatform.com (mail219.mets.unisonplatform.com [162.219.251.219])
(rekisteröity palvelimelle USA:ssa Kirklandin kaupungissa oleva palveln. Muut reksiteritiedot 
on salattu) 

(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
 (No client certificate requested)
 by fe21.mail.saunalahti.fi (Postfix) with ESMTPS id C236A20004;
 Tue, 16 Oct 2018 13:23:40 +0300 (EEST)
Received: from [::1] (port=54362 helo=mets.unisonplatform.com)
 by mets.unisonplatform.com with esmtpa (Exim 4.89_1)
 (envelope-from <asiakaspalvelu@nordea.fi>)  (tämä nordean osoite on 
saatu aikaiseksi seuraavalla metodilla: Kun viesti palautetaan, palautusvastaus 

lähetetään yleensä kirjekuoressa (evelope) lähettäjälle. 

Roskaposti-sivustot ovat oppineet tämän sähköpostin 
ominaisuuden ja voivat käyttää sitä saadakseen virhellisen lähettäjänimen 

kirjeeseensä)

 id 1gCItR-0006vs-OV; Mon, 15 Oct 2018 23:31:49 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="=_3782c37711968b63c65629452622c297"
Date: Tue, 16 Oct 2018 00:31:49 -0600
From: Nordian Verkkopankkia <asiakaspalvelu@nordea.fi> 

(tästä "lähettäjäväärennöksestä" on edellä selostus)

To: undisclosed-recipients:;
Subject: =?UTF-8?Q?--__Hyv=C3=A4_asiakaamme=2C?=
Message-ID: <f6e3e52dac878d00e032e8354c319f0b@nordea.fi>
X-Sender: asiakaspalvelu@nordea.fi (tästä "lähettäjäväärennöksestä"
 on edellä selostus)

User-Agent: Roundcube Webmail/1.3.3
X-AntiAbuse: This header was added to track abuse, please include it 

with any abuse report
X-AntiAbuse: Primary Hostname - mets.unisonplatform.com
X-AntiAbuse: Original Domain - elisanet.fi
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - nordea.fi (selitetty alussa mistä tämä periytyy)
X-Get-Message-Sender-Via: mets.unisonplatform.com: authenticated_id: 
nor@dawnprince.com (Rekisteröity Illinois, USA. Tarkemmat reksiteritiedot salattu)
X-Authenticated-Sender: mets.unisonplatform.com: nor@dawnprince.com

--=_3782c37711968b63c65629452622c297
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8

-- 

------------------KIRJEEN SISÄLTÖ------------------------- 

Hyvä asiakaamme,

Verkkopankissa tietoturvapäivitysten vuoksi verkkopalvelujen käyttäjien

on hyväksyttävä päivitys ja päivittää yhteystiedot ajantasalle. 

 Päivitä tietosi ja tee tietoturvapäivitys tästä  (linkki poistettu vaarallisena) 

Prosessi järjestelmän ja tietojen päivittämiseksi on tehty

mahdollisimman helpoksi ja sujuvaksi. 

Käsittelemme rekistereissämme kaikkien asiakkaidemme tietoja samojen käsittely- ja tietoturvaperiaatteiden mukaisesti. 

Kaikkien asiakkaidemme tiedot ovat esimerkiksi pankkisalaisuuden,

vakuutussalaisuuden tai vastaavan salassapitovelvoitteen alaisia tietoja riippumatta siitä, onko kyse henkilö- vai yritysasiakkaasta.

Tietojen luovuttaminen on mahdollista vain asiakkaan antaman suostumuksen tai lain perusteella. 

Ilman päivitystä pankkipalveluita voidaan joutua rajoittamaan.

Rajoitukset perustuvat 01.01.2018 voimaan tulleeseen uuteen rahanpesulakiin. 

Rajoitukset koskevat maksukortteja ja verkkopankkia tai muuta tilin käyttöä.

Terveisin 

Asiakaspalvelu 

Nordian Verkkopankkia

  

Links:
------
[1] https://form.jotformeu.com/82881057654364
--=_3782c37711968b63c65629452622c297

(tämä linkki vie tietokalastuslomakkeelle jossa kysellään pankkitietosi tai 
"ikäänkuin" pyydetään kirjautumaan tilillesi. Kirjautumisen yhteydessä tunnuksesi 
kopioidaan rikolliseen käyttöön) 

Jotformeu -ansoja tehtaillaan

Tähän linkkiin ei ole syytä klikata. Se vie ID varkaus lomakkeelle.
"jotformeu.com" lomakkeentuotantosivustoa käytetään yleisesti rikolliseen henkilötietojen ja muiden arkaluontoisten tietojen keräilyyn. Näillä lomakkeilla saatetaan kysellä myös verkkotunnuksiasi. Jos olet antanut FB tunnuksesi tällaiselle lomakkeelle, FB tili on syytä vaihtaa tai lakkauttaa vanha tili ja luoda uusi.
Tämä ansa on kömpölö mutta aina kannattaa katsoa minne linkki veisi, ennen klikkaamista. Siis hiiri linkin päälle ja alamarginaaliin ilmestyy linkin osoite. Jos linkin loppuosa on "....jotformeu.com" on luultavimmin kyseessä ID-varkausyritys. Näet myös, viekö linkki sinne minne sen osoittama teksti tai kirjeen sisältö lupaa. ÄLÄ klikkaa, tai ainakaan anna mitään tietojasi tällaiselle lomakkeelle.

-------------------------------e-mail----------------------------------------------------
--

Vahvistus / sähköposti-lipputunnus EB50-11-14-9-77

Hyvä voittaja,

Sähköisen sähköisen online-palkintopisteen tulosten virallinen julkaiseminen Free Lotto CORPORATIONin järjestämällä, <  klikkaa tästä> Voit tehdä hakemuksesi

-------------------------------------------------------------------------------------------

Ansa S-Pankin nimissä

ÄLKÄÄ koskeko linkkeihin.
EI myöskään tule klikata "Send Receipt" "Lähetä kuittaus" buttonia.
Nämä linkit eivät vie S-Pankkiin. Ttämän kirjeen lähettäjäkään ei ole S-Pankki.
Kaikissa painkkitoimintaan tai rahan liikutteluun liittyvissä toimenpiteissä, KÄYTÄ vain pankin omaa suojattua yhteyttä kuten toimit laskuja maksaessasikin.
Tässä on kysymyksessä mitä ilmeisimmin pankkitietojesi kalastelu, jonka jälkeen tiliäsi voidaan käyttää rikollisiin toimiin. Kuvan alla on taustaa tälle spämmille.

Lähettäjä on:

info@confirm-your-acc-7.cf
".cf " on Keski-Afrikan tasavallan Internet-maatunnus, jota ylläpitää SOCATEL. Kuulostaako S-Pankilta? Sähköpostihaku ei tuota tulosta. Osoite on myös merkillinen sikäli, että
".cf " pääte vosi tarkoitta myös "Configuration file" jollei se olisi lähettäjän e-mailosoitten osana.
Muuta tietoa löytyy: This website (confirm-your-acc-7.cf) contacted 1 IPs in 1 countries across 1 domains to perform 1 HTTP transactions. Of those, 0 were HTTPS (0 %) and 0% were IPv6.
The main IP is 159.203.3.229, located in Toronto, Canada and belongs to DIGITALOCEAN-ASN - DigitalOcean, LLC, US. Joka on "pilvipalvelun" tarjoaja. Verkossa on kommentti: https://www.digitalocean.com/community/questions/digital-ocean-inc-is-spamming-my-website Joka viesti kertoo, että Digital Ocean Inc spämmää hänen verkkosivujaan jatkuvasti. Kaikki viittaa erittäin vastuuttomiin tahoihin jotka mahdollistavat rikollisen toiminnan verkossa.

Linkki veisi palvelimelle:

form.jotformeu.com

Taustatiedot kertovat: "Online Form Builder & Form Creator | JotForm

If you need online forms for generating leads, distributing surveys, collecting payments and more, JotForm is for you. Learn more about how we can help at JotForm.com."

ELI SUOMEKSI tämä on lomakkeiden tuottaja ja ylläpitäjä joka ei välitä siitä mihin tarkoitukseen sen lomakkeita käytetään. Se on huolellisesti piiloittanut taustansa, joka käy ilmi seuraavasta.

Donannimitiedustelu "jotformeu.com" toi eritäin epämääräisen vasteen:

Registry Registrant ID: (ei ole mitään)
Registrant Name: Data Protected Data Protected (on peitetty)
Registrant Organization: Data Protected (on peitetty)
Registrant Street: 123 Data Protected  (on peitetty)
Registrant City: Toronto
Registrant State/Province: ON
Registrant Postal Code: M6K 3M1
Registrant Country: CA
Registrant Phone: (ei annettu)
Registrant Phone Ext:
Registrant Fax: (ei annettu)
Registrant Fax Ext:
Registrant Email: (on peitetty)

Lottovoitto FBI:stä. Voihan kiesus.

ANTI-TERRORIST AND MONETARY CRIMES DIVISION

Tätä instanssia spämmi-konnat eivät viellä olleet keksineetkään.
Seuraavan lottovoiton lähettää kaiketi Donald Trump itse henkilökohtaisesti.
Spämmitekstin alapuolella domannimitiedustelut lähetysosoitteesta ja palauteosoitteesta joista kaksi on kotoisin Turkista ja yksi Sveitsistä. Kaikki luultavasti hakkeroituja osoitteita. Mukana olevat liitteet ovat vaarallisia ja sisältävät vähintään henkilötietovarkausyrityksen mutta yhtä hyvin myös viruksen.

 

 -------------------SPÄMMI---------------------------------------------------------------------

 

FBI HEADQUARTERS IN WASHINGTON, DC

FEDERAL BUREAU OF INVESTIGATION

J. EDGAR HOOVER BUILDING

935 PENNSYLVANIA AVENUE, NW

WASHINGTON, DC 20535-0001

 

 

This is to officially inform you that it has come to our notice and we have thoroughly completed an investigation with the help of our Intelligence Monitoring Network System that your E-mail address was among the email that won Lottery Award which you did not claim, we want to let you know that one of the bank worker where your fund was deposited arrange with his friend to come as the owner of the E-mail that won the prize which they claim your fund, but now your fund has been recovered from them and the people that claim your fund has been arrested.

 

 

If you receive any E-mail that you did not understand that is from unknown person to you please do forward it to us to verify and bring the person to justice.

 

 

It has come to the attention of our Money trafficking investigation department, that you have some funds valued $800,000.00 USD on your name, the said payment is awaiting adjudication and we have authorised this winning to be paid to you, this funds are from LOTTERY.

 

 

Re-confirm, Names, Address, Phone Number, Age / sex, Occupation and Country, to avoid double claim of your fund.

 

 

YOUR IMMEDIATE RESPONSE IS NEEDED

 

REGARDS,

 

Federal Bureau of Investigation/Director

Christopher A. Wray

 

 

----------Source koodista poimitut osoitteet ja oleelliset tiedot---------

Reply-To: <u.s.fbi1@protonmail.com>
REKSITERÖITY SVEITSIIN:
Swizerland
Registrant Organization: Proton Technologies AG
Registrant State/Province: Geneva
Registrant Country: CH


From: FBI OFFICE <murattolunay@topcuogluoto.com.tr>  
REKISTERÖITY TURKKIIN
** Registrant:
TOP?UO?LU OTOMOT?V SANAY? VE T?CARET A.?
SAN? KONUKO?LU BULVARI NO:65
?EH?TKAM?L / GAZ?ANTEP
Gaziantep,
T?rkiye


msm126.ada.net.tr 
REKISTERÖITY MYÖS TURKKIIN

LÄHETETTY
 with Microsoft SMTP Server id 14.3.361.1;


POSTIN LIITTEET JOISTA MOLEMMISSA SAATTAA OLLA KOODATTUNA VIRUS TAI MUU HAITTAOHJELMA. TÄLLAISIA LIITTEITÄ EI TULE AVATA.

------=_NextPart_000_0044_01C2A9A6.4EAB7582
Content-Type: application/octet-stream; name="FBI CLASSIFIED.docx"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="FBI CLASSIFIED.docx"


------=_NextPart_000_0044_01C2A9A6.4EAB7582
Content-Type: application/octet-stream; name="FBI CLASSIFIED.pdf"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="FBI CLASSIFIED.pdf"

 

Gloria Honkongista? Tuskimpa saat koskaan lehteä

Jälleen lehtitilausansa. Kaksi palvelinta sijaitsee Panamassa ja yksi Honkongissa.
En todellakaan koskisi tällaiseen tarjoukseen. Tässä on kyse jälleen ID varkausyrityksestä tai lehtitilauksesta jonka maksat mutta et saa koskaan. Kuvan alla domannimielvityksiä.

Tuossa "Tilaa ja tutustu" -linkissä on Honkongiin vievä osoite. Lähettäjän domannimi löytyy Panamasta, kuten myös "reply" eli postin vastausosoite. Kaikkien domannimien omistajat on piiloitettu domainrekistereissä ja kaikki nimet ovat peräisin domain-"halpakaupasta".
Honkongilainen osoite on tällä hetkellä 3kk ikäinen, eli sitä ei ole ehditty ilmiantaa spämmirekistereihin tai blokata pois verkosta.

Domain Name: HLOSEND.COM  (Isäntäkone on Honkongissa - nimen omistajasta ei ole tietoa)
   Registry Domain ID: 2217603502_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.namecheap.com
   Registrar URL: http://www.namecheap.com
   Updated Date: 2018-01-23T23:23:20Z
   Creation Date: 2018-01-23T23:23:19Z
   Registry Expiry Date: 2019-01-23T23:23:19Z
   Registrar: NameCheap Inc.
   Registrar IANA ID: 1068
   Registrar Abuse Contact Email: abuse@namecheap.com
   Registrar Abuse Contact Phone: +1.6613102107
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: DNS1.REGISTRAR-SERVERS.COM
   Name Server: DNS2.REGISTRAR-SERVERS.COM
   DNSSEC: unsigned


Reply osoite: CUBSEND.INFO on rekisteröity myös halpiksesta (namecheap) omistajanimet piiloitettu. Hankittu syyskuussa 2017 yhdeksi vuodeksi.

Domain Name: CUBSEND.INFO
Registry Domain ID: D503300000045301887-LRMS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: www.namecheap.com
Updated Date: 2017-11-07T20:30:42Z
Creation Date: 2017-09-07T22:31:17Z
Registry Expiry Date: 2018-09-07T22:31:17Z
Registrar Registration Expiration Date:
Registrar: NameCheap, Inc
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107Registry Admin ID: C208683418-LRMS

Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: 586587f2c2a94645bf1590e72600cbcd.protect@whoisguard.com

Lähettäjän postiosoite ABROSEND.INFO on myös Panamasta ja omistaja tuntematon.
Hankittu samoin syyskuussa 2017 yhdeksi vuodeksi.

omain Name: ABROSEND.INFO
Registry Domain ID: D503300000045275893-LRMS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: www.namecheap.com
Updated Date: 2017-11-05T20:30:50Z
Creation Date: 2017-09-05T21:44:14Z
Registry Expiry Date: 2018-09-05T21:44:14Z
Registrar Registration Expiration Date:
Registrar: NameCheap, Inc
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107

Registry Admin ID: C208599737-LRMS
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: a2d4dfbb786a46b1939ba8c9abdb652c.protect@whoisguard.com
Registry Tech ID: C208599736-LRMS

ATM pankkikortti ansa

Viesti otsakkeella:

Your ATM CARD Has Been Approved eli ATM-korttisi on hyväksytty

Syvä uskomukseni on, että en saa senttiäkään mistään mutta tulen mahdollisesti menettämään suuriakin summia jos vastaisin tällaiseen viestiin. Tässä on tyypillinen rahan tarjonta ansa. Kun selitetään tarpeeksi laajasti ja monimutkaiseksi vastaanottaja saattaa kuvitella saavansa jotakin ja vastaa tällaiseen viestiin. Mielenkiitoista myös on, että kirjeessä kielletään ottamasta yhteyttä "kehenkään muuhun" tai "viranomaisiin". 

EIhän tallaiseen normaalisti kukaan enää lankea mutta kenties joku PK-yritys jolla on liikesuhteita merentakaisiin valtioihin, saattaisi haksahtaa johonkin "saamattomaan suoritukseen" ja erehtyä vähintäänkin kysymään, mistä "saamattomasta suorituksesta" mahtaa olla kysymys. 

Nuo pyydetyt henkilötiedot viittaavat identiteettivarkaus yritykseen. ELI siinä on koko viestin ydin. Sinulta saadaan tietoja joita voidaan käyttää esim. verkkoliiketoiminnassa tai seuraavassa muussa huijjausyrityksessä.
Puhelinnumerokin on laitettu mutta siihen soittaminen on yhtä vaarallista, kuin viestiin vastaaminen. 

Asiallinen ja virallinen taho ei käytä ilmaista gmail-osoitetta (muutettu), eikä jätä kertomatta firmansa nimeä. E-ail on tullut osoitteesta info@info.com joka on hakukone. 

-------------------VIESTI---------------------

Attention Beneficiary,
 
This is to officially inform you that we have verified your contract file presently on my desk, and I found out that you have not received your payment due to your lack of co-operation and not fulfilling the obligations giving to you in respect to your contract payment. Secondly, you are hereby advised to stop dealing with some non-Officials in the bank as this is an Illegal act and will have to stop if you so wish to receive your payment After the Board of directors' meeting held in Abuja, we have resolved in finding a solution to your problem. We have arranged your payment through our ATM CARD PAYMENT CENTRE in Europe, America, Africa and Asia Pacific; this is part of an instruction/mandate passed by the Senate in respect to overseas contract payment and debt re-scheduling.

We will send you an ATM CARD which you will use to withdraw your money via ATM MACHINE in any part of the world, and the maximum daily limit is Five Thousand United States Dollars ($5,000.00) valued sum at Five Million United States Dollars {$5,000,000.00}.
 
If you desire to receive your fund this way, kindly re-confirm your:

(1) Your Full Name:
(2) Full residential address:
(3) Phone and Fax Number:
(4) Occupation:

You will find below my personal email address and contact telephone number.

Name: Mr. Steve Mark. Email: (stevemark01O7@gmail.com) Tel: +234-905-897-3641 we shall be expecting to receive your information as you have to stop any further communication with anybody or officer.
 
Thanks for your co-operation.

BEST REGARDS,
Mr. Steve Mark.

Business ansa, "Van Hans Advocaten" Scam

Business ansoja on lukemattomia ja tässä yksi niistä.
Jokainen kirjeen e-mailosoite on ilmainen joten mistään rehellisestä yrityksestä tuskin on kysymys.
Oletettavasti etsitään joko "muulia" (huijjauksen väliporras) tai pyydetään henkilötietoja johonkin muuhun rikolliseen toimintaan. Advocaten (puolustus) viittaa asianajajaan mutta tuskimpa toiminta on siltä alueelta lainkaan.
Tämä kirjesisältö ja lähettäjä on luokiteltu verkossa scammiksi eli huijjaukseksi joka tapauksessa.

BIT.LY peittää myös rikollisen

Älkää koskaan menkö klikkaamaan mihinkään bit.ly domannimen alle piiloon "koodattuun" osoitteeseen. Osoite saattaa viedä aivan minne tahansa. Linkin päästä koneellesi (esimerkiksi) on mahdollista saapua virus, tai siellä kalastetaan henkilötietosi rikolliseen tarkoitukseen. 
Rehelliset yritykset käyttävät ja käyttäkää aukikirjoitettuja, rehellisiä osoitteita. Osoitteen "lyhentäminen" = "piilottaminen" bit.ly palvelun avulla sattaa yrityksenne epäilyttävään valoon ja aivan aiheesta.

Tämä alla oleva tilanne on yksi osoitus lyhennetyn osoitteen väärinkäytöstä.
FaceBookin kautta oli lähetetty päivitys (käyttämilleni sivuille) ja moderaattori (tai Administrator) oli  ehtinyt poistaa luvattoman ja vaarallisen mainoksen kyseisiltä sivuilta kiitettävän nopeasti TAI jossain tapauksessa koko e-mail on tekaistu ja tuota todellista FaceBook postausta ei ole koskaan ollutkaan. E-mailissa on jo tuo ansaksi tarkoitettu vaarallinen linkki.  En aijo testata mitä linkin päässä on, älkää tekään sitä tehkö jos vastaava e-maili teille saapuu. Prismalla ei ole tämän "mainoksen" kanssa mitään tekemistä.

FaceBook maileihin on syytä suhtautua erittäin kriittisesti. Se on erinomainen alusta huijjauksille. Posti saattaa näyttää tulleen FB kaveriltasi vaikka näin ei asia todellisuudessa ole. Tässä tapauksessa "Mella Villbergiltä" ei edes löydy profiilia FaceBookista, eikä postaus ole Mellan tekemä missään tapauksessa, vaikka hänellä olisi profiili joskus ollutkin.

Tämä ansa on ollut levityksessä jo vuodesta 2010 (ainakin) ja kulkee vaihtelevilla nimillä ja vaihtelevilla sivustonimillä:
http://www.is.fi/taloussanomat/art-2000001688688.html

"Nigerian keskuspankki" naurattaa meitä

Vanha kunnon Nigerialaisyritys. Huijjarit ovat ylentäneet itsensä nyt pankinjohtajiksi ja käyttävät ilmaista gmail-osoitetta toimistolleen. Muutin osoitetta hieman onnettomuuksien välttämiseksi.

Viestin on lähettänyt "Krokotiili Hendriks" alankomaista ja asiaasi hoita Nigeriassa "Hyvääonnea Egobia". Pojat eivät jätä nerouden kynttiläänsä vakan alle.

---------------------e-mail------------------------

CENTRAL BANK OF NIGERIA

OFFICE OF THE GOVERNOR

Zaria Street, Off Samuel Akintola

Street,Garki 11, Garki-Abuja.

       Our Ref: FGN/CBN/NIG/01/2017.   

Your Ref...............................

From The Desk Of Mr. Godwin Emefiele.

Governor, Central Bank of Nigeria (CBN)

SUBJECT: Dear Valued Customer. 

Dear Friend,

We wish to inform you that your unclaimed  payment of USD$10.5 Million in Africa has been released and ready to be paid to you via PREPAID VISA CARD which you will use to withdraw the US$10.5 Million from any ATM Machine in any part of the world.

We have mandated United Bank Africa Ghana, to send you the ATM CARD and PIN NUMBER which you will use to withdraw all your US$10.5Million Dollars in any ATM SERVICE MACHINE in any part of the world, but the maximum you can withdraw in a day is US$20,000.00 only.

You are therefore advice to contact the Head of ATM CARD Department of United Bank Africa Ghana (UBA);

Contact Person: Rev. Goodluck Egobia,

Office email address:    atm_department.offce012@gmail.com

Tell Rev. Goodluck Egobia, that you received a message from the CENTRAL BANK OF NIGERIA. Instructing him to send you the ATM CARD and PIN NUMBER which you will use to withdraw your USD$10.5 Million Dollars in any ATM SERVICE MACHINE in any part of the world, also send him your direct phone number and contact address where you want him to send the ATM CARD and PIN NUMBER to you.

We are very sorry for the plight you have gone through in the past years.

Thanks for adhering to this instruction and once again accept our congratulations.

Best Regards.

Mr. Godwin Emefiele.

Executive Governor,

Central Bank of Nigeria (CBN).

Uusi Netflix ansaversio

Netflix ansan yksi uusi versio. Älä koske linkkiin. Tämä e-mail ei tule Netflixistä, ja sen tarkoitus on kalastella sinun henkilötietosi rikollisiin tarkoituksiin.

NETFLIX ansa

Verkkosivu clark.com varoittaa Netfixiltä tulleesta laskusta joka on ID varkausyritys, eli tiedoilla joita ansaohjelma kysyy, voidaan rosvota rahasi. E-mail on saapunut ainakin joillekin Netfix asiakkaille. Olkaa tarkkoja antaessanne tietoja itsestänne verkkosivuille.

Warning: This Netflix email requesting your info is a scam that will steal your money

Alex Thomas Sadler

| January 16, 2017 3:31 pm

http://clark.com/scams-rip-offs/netflix-email-scam-targets-apple-users-bank/

Finnkinon ilmaislippuja tarjoava ID ansa

Älä usko kaikkeen mitä e-mailin mukana tulee. Finnkino varoittaa tällaisesta heidän nimissään lähetetystä henkilötietojen kalasteluansasta (ID varkaus). Ilmaisia lippuja ei siis ole tulossa mutta rahanmenoa tietää jos annat henkilötietosi tälle kalastelijalle.
Mielenkiintoiseksi tapauksen tekee, että varkaalla ilmaisosoitteesta: davidorgan6418@yahoo.com lähetetyn e-mailin linkin mukaan (email-osoitetta on muutettu hieman), on rikokseen tarkoitettua materiaalia Googlen palvelimella.

Onko Mickrosoft sulkenut G-mail tilisi?

Tässä e-mailissa on jo lähtökohtaisesti ristiriitaista tietoa ollakseen rehellisellä asialla. Puhutaan Microsoft tilin suojauksesta, annetaan osoite Outlook tilin suuntaan ja kerrotaan, että gmail tili on suljettu. Eihän siinä ole päätä eikä häntää. G-mail on Googlen tili. Sitäpaitsi, viesti on tullut sille "suljetulle" gmail tilille joten se EI voi olla suljettu.

Googlen neuvontapalsta varoittaa vastaavista ID varkausyrityksistä. ELI älä anna mitään tilitietojasi tai salasanaasi ja äläkä missään tapauksessa "uusi" tiliäsi tällaisen e-mailin linkkien kautta, tai vastaa tällaisen sähköpostin replynä tai klikkaa siihen linkattuun sivuun tai anna henkilötietojasi vastaavien e-mailissa olevien linkkien kautta. JOS tilisi ei todellakaan toimi, mene Mickrosoftin tai Googlen tai minkä muun palveluntarjoajan tahansa, omille virallisisille sivuille virallisen osoitteen kautta. Näiden rosvo-e-mailien linkit saattavat viedä minne tahansa hakkeroiduille palvelimille, vastoin e-mailiin näkyviin kirjoitettua linkkiosoitetta. Näkemäsi osoite ei siis välttämättä pidä paikkaansa.

Googlen varoituskeskustelu tästä aiheesta löytyy osoitteesta:
https://productforums.google.com/forum/#!topic/gmail/lozUytY2U30

 

(Kiitos Heidille näistä kuvista)

Puolastako saapuisi minulle YK:n palkkio?

Tämä e-mail spämmi on monin tavoin epäilyttävä. Ensinnäkään en ole missään tekemisissä YK:n kanssa, saati että olisin saamassa heiltä mitään. Kirje on lähetetty ilmeisen varastetulla osoitteella ...@fajarplastic.com (miksi YK lähettäisi mitään sellaisesta osoitteesta?). Vastaus pitäisi lähettää epämääräiseen ilmaispostiosoitteeseen Puolaan. Postiohjelmakin pitää viestiä spammina.

Tähän ansaan saattaisi langeta henkilö jolla todella on jotain tekemistä YK:n kanssa.
 Joka tapauksessa näitä henkilökohtaisia tietoja ei tule antaa tämän kirjeen lähettäjälle, koska tämä on törkeä ID varkaus- eli henkilötietovarkausyritys (phishing) eikä vastaanottaja ole missään tapauksessa YK.

3% LAINA phishing

Tällaiseen ansaan tuskin kukaan lankeaa mutta ihan mielenkiinnon vuoksi hieman analyysiä tästäkin.

Aiheena on:  "3% korko lainan"
E-mailin sisältö oli lyhyt, huonoa suomea ja ideana on saada mahdollinen asiakas ottamaan yhteyttä.

"Tarvitsetko lainaa? jos kyllä ota yhteyttä lisätietoj"



Lähettäjänä on "MR JOHANN ROGERS" ja ihan Firmakin olisi,  ikäänkuin "Timo Ström" (tulkitsen osoitetta) wmu.edu eli Western Michigan Universityn postiosoitteella. Merkillinen lainakonttori kerrassaan, tai edes sen markkinoija.
Reply menisi ilmaisosoitteeseen:   johannrogercoo@gmail.com
Eli ei siis todellinen firma vaan mahdollisesti rahan tai henkilötietojen kalastaja.

Subject: 3% korko lainan
To: ME <timostrom@wmu.edu>
From: "MR JOHANN ROGERS FIRM"<timostrom@wmu.edu>
Date: Thu, 13 Apr 2017 17:34:52 +0530
Reply-To: johannrogercoo@gmail.com

Western Michigan University kertoo varoituksia vastaavan laisista roskaposteista joita on tehty WMU:n nimissä ja sen henkilökunnan nimissä.
https://wmich.edu/phishing

Businesta mutta kenelle?

Business-tarjouksia ropisee MUTTA...
Kannattaa katsoa, ennen kuin katua. Tämäkään yhteistyöntarjoaja ei kestä lähempää tarkastelua.
Tämä sähköposti tulee Japanista. Allekirjoittajana on henkilö UK:stä. EI kuulosta lupaavalta.
Sen lisäksi Pankkimies käyttää ilmaissähköpostia "gmail". Ei todellakaan kannata ottaa yhteyttä, säästyt monelta harmilta jonka tuo yhteydenotto tulee tuomaan tullessaan. Sinä olet rikkaampi kuin hän. Oletettavasti hän haluaa urkkia henkilötietosi rikolliseen käyttöön.