Pankkien tietoturvapäivitykset ovat ansoja

Minulle sapui Nordean tietoturvapäivitys pyyntö joka ei oikeasti ole tullut Nordeasta, vaikka sähköpostiosoite siltä näyttää. Tuo turvapäivitys-linkki veisi kuuluisalle huijjareiden suosimalle "tietovarkaussivulle jotformeu.com" eli ei missään tapauksessa Nordeaan.
Mitään tietoja ei näihin "turvapäivityskyselyihin" tule antaa.
Tämä kirje on tunnistettavissa  huijjaukseksi jo kehnosta käännöksestä mutta usein huijjauskirje saattaa vaikuttaa myös aivan asialliselta.

Pankkeja ei nämä huijjausyritykset tunnu isommin kiinnostavan.
Pankkien etusivuilla tai piiloitetummissakin paikoissa saattaa olla
varoitus huijjauskirjeistä mutta muuten pankit ovat erittäin passisiivisia,
ilmiantamaan näitä huijjareita. Sain Jotformin kanssa kirjeenvaihdolla
poistettua tämän ID varkaan heidän sivustoiltaan. Ei se iso vaiva ollut.
https://vaarallinenweb.blogspot.com/2018/11/pankkien-paivitykset-ovat-ansoja.html

Alla kirjeen lähdekoodi. Kommenttini suluissa.

---------------------e-mailin lähdekoodi--------------------------

Received: via tmail-2007f.2015-sau for fp6592.200; Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
Received: from fe21.mail.saunalahti.fi (fe21.mail.saunalahti.fi [62.142.5.26])
 by be408.mail.saunalahti.fi (Postfix) with ESMTP id 8D2046038B;
 Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
X-Client-Addr: 162.219.251.219 (alussa spämmisuodattimen hakkerointia)
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
Received: from mets.unisonplatform.com (mail219.mets.unisonplatform.com [162.219.251.219])
(rekisteröity palvelimelle USA:ssa Kirklandin kaupungissa oleva palveln. Muut reksiteritiedot 
on salattu) 

(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
 (No client certificate requested)
 by fe21.mail.saunalahti.fi (Postfix) with ESMTPS id C236A20004;
 Tue, 16 Oct 2018 13:23:40 +0300 (EEST)
Received: from [::1] (port=54362 helo=mets.unisonplatform.com)
 by mets.unisonplatform.com with esmtpa (Exim 4.89_1)
 (envelope-from <asiakaspalvelu@nordea.fi>)  (tämä nordean osoite on 
saatu aikaiseksi seuraavalla metodilla: Kun viesti palautetaan, palautusvastaus 

lähetetään yleensä kirjekuoressa (evelope) lähettäjälle. 

Roskaposti-sivustot ovat oppineet tämän sähköpostin 
ominaisuuden ja voivat käyttää sitä saadakseen virhellisen lähettäjänimen 

kirjeeseensä)

 id 1gCItR-0006vs-OV; Mon, 15 Oct 2018 23:31:49 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="=_3782c37711968b63c65629452622c297"
Date: Tue, 16 Oct 2018 00:31:49 -0600
From: Nordian Verkkopankkia <asiakaspalvelu@nordea.fi> 

(tästä "lähettäjäväärennöksestä" on edellä selostus)

To: undisclosed-recipients:;
Subject: =?UTF-8?Q?--__Hyv=C3=A4_asiakaamme=2C?=
Message-ID: <f6e3e52dac878d00e032e8354c319f0b@nordea.fi>
X-Sender: asiakaspalvelu@nordea.fi (tästä "lähettäjäväärennöksestä"
 on edellä selostus)

User-Agent: Roundcube Webmail/1.3.3
X-AntiAbuse: This header was added to track abuse, please include it 

with any abuse report
X-AntiAbuse: Primary Hostname - mets.unisonplatform.com
X-AntiAbuse: Original Domain - elisanet.fi
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - nordea.fi (selitetty alussa mistä tämä periytyy)
X-Get-Message-Sender-Via: mets.unisonplatform.com: authenticated_id: 
nor@dawnprince.com (Rekisteröity Illinois, USA. Tarkemmat reksiteritiedot salattu)
X-Authenticated-Sender: mets.unisonplatform.com: nor@dawnprince.com

--=_3782c37711968b63c65629452622c297
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8

-- 

------------------KIRJEEN SISÄLTÖ------------------------- 

Hyvä asiakaamme,

Verkkopankissa tietoturvapäivitysten vuoksi verkkopalvelujen käyttäjien

on hyväksyttävä päivitys ja päivittää yhteystiedot ajantasalle. 

 Päivitä tietosi ja tee tietoturvapäivitys tästä  (linkki poistettu vaarallisena) 

Prosessi järjestelmän ja tietojen päivittämiseksi on tehty

mahdollisimman helpoksi ja sujuvaksi. 

Käsittelemme rekistereissämme kaikkien asiakkaidemme tietoja samojen käsittely- ja tietoturvaperiaatteiden mukaisesti. 

Kaikkien asiakkaidemme tiedot ovat esimerkiksi pankkisalaisuuden,

vakuutussalaisuuden tai vastaavan salassapitovelvoitteen alaisia tietoja riippumatta siitä, onko kyse henkilö- vai yritysasiakkaasta.

Tietojen luovuttaminen on mahdollista vain asiakkaan antaman suostumuksen tai lain perusteella. 

Ilman päivitystä pankkipalveluita voidaan joutua rajoittamaan.

Rajoitukset perustuvat 01.01.2018 voimaan tulleeseen uuteen rahanpesulakiin. 

Rajoitukset koskevat maksukortteja ja verkkopankkia tai muuta tilin käyttöä.

Terveisin 

Asiakaspalvelu 

Nordian Verkkopankkia

  

Links:
------
[1] https://form.jotformeu.com/82881057654364
--=_3782c37711968b63c65629452622c297

(tämä linkki vie tietokalastuslomakkeelle jossa kysellään pankkitietosi tai 
"ikäänkuin" pyydetään kirjautumaan tilillesi. Kirjautumisen yhteydessä tunnuksesi 
kopioidaan rikolliseen käyttöön) 

Jotformeu -ansoja tehtaillaan

Tähän linkkiin ei ole syytä klikata. Se vie ID varkaus lomakkeelle.
"jotformeu.com" lomakkeentuotantosivustoa käytetään yleisesti rikolliseen henkilötietojen ja muiden arkaluontoisten tietojen keräilyyn. Näillä lomakkeilla saatetaan kysellä myös verkkotunnuksiasi. Jos olet antanut FB tunnuksesi tällaiselle lomakkeelle, FB tili on syytä vaihtaa tai lakkauttaa vanha tili ja luoda uusi.
Tämä ansa on kömpölö mutta aina kannattaa katsoa minne linkki veisi, ennen klikkaamista. Siis hiiri linkin päälle ja alamarginaaliin ilmestyy linkin osoite. Jos linkin loppuosa on "....jotformeu.com" on luultavimmin kyseessä ID-varkausyritys. Näet myös, viekö linkki sinne minne sen osoittama teksti tai kirjeen sisältö lupaa. ÄLÄ klikkaa, tai ainakaan anna mitään tietojasi tällaiselle lomakkeelle.

-------------------------------e-mail----------------------------------------------------
--

Vahvistus / sähköposti-lipputunnus EB50-11-14-9-77

Hyvä voittaja,

Sähköisen sähköisen online-palkintopisteen tulosten virallinen julkaiseminen Free Lotto CORPORATIONin järjestämällä, <  klikkaa tästä> Voit tehdä hakemuksesi

-------------------------------------------------------------------------------------------

Osuuspankin nimellä tullut ansa

TÄMÄ ON VAARALLINEN ANSA.
Eri pankkien asiakkaita yritetään naruttaa näillä "Päivittää" tai vastaavilla sähköpostiansoilla.
ÄLÄ koskaan mene pankin sivuille ainoankaan e-mail-linkin tai vieraan verkkosivun linkin kautta. KÄYTÄ aina pankin todellista osoitetta pankissa asioidessasi. Tässä kirjeessä olevista linkeistä ei ainutkaan vie Osuuspankin sivuille. Tämän ansan tarkoituksena on rosvota tililtäsi rahat.

OP varoittaa näistä ansaposteista. Linkki tässäkin blogissa:
http://vaarallinenweb.blogspot.com/2016/06/opn-asiakkaisiin-kohdistuva.html

E-mailin linkeissä olevat domannimet on tarkistettu ja niiden tiedot ovat kuvan alapuolella.




Tuo tietopäivityslinkki vie tunnetulle, spämmereidenkin käyttämälle "jotformeu.com-lomakesivustolle" jossa henkilötietosi kaapataan. Mahdollisesti myös tärkeät pankkitietosi jos ne sorrut sinne antamaan. Sen jälkeen pankkitilisi alkaa tyhjetä.

e-mail on sapunut: info@phgvjqitdwijsr.usa.cc= usa.cc on "Free domain service provider for USA.CC domains" eli spämmereille ilmaisdomaineja jakeleva palvelu.
Täältä tulevan postin voi ohjata suoraan roskikseen.

Lähettäjän palvelin on:

The company "test . com" [Create Tests for Organizational Training and Certification Programs  ] See their contact page: Contact Us  "Test.com" Testipalvelua on käytetty mitä ilmeisimmin spämmäykseen.

MUITA PANKKIEN NIMELLÄ RAKENNETTUJA ANSOJA:
Nordean tapaus:
http://vaarallinenweb.blogspot.fi/2015/08/erittain-vaarallinen-e-mail-nordeasta.html?view=sidebar

AKTIA pankin nimissä tehty yritys oli melko tökerö mutta aivan vastaava:
http://vaarallinenweb.blogspot.fi/2015/09/aktia-pankkikortti-huijjaus.html?view=sidebar

S-Pankki Quineassako?

S-Pankin nimissä tuli jälleen tietoturvapäivityspyyntö joka todellisuudessa on henkilötieto- ja pankkitunnuskalasteluansa.
Vastaava on kuvailtu tässä Blogissa jokin aika takaperin. Nyt kalastelu tapahtuu e-maililla joka on saapunut Päiväntasaajan Quineasta, viimeksi spämmäys kirje saapui Afrikasta.
http://vaarallinenweb.blogspot.com/2018/06/

Kyseessä on jälleen linkki lomakkeeseen (FORM.JOTFORMEU.COM) jonka kautta sitten tuo varoittamani tietokalastus tapahtuu. Heitä e-mail roskikseen ja varoita muitakin, tuntemiasi S-Pankin asiakkaita tästä ansasta.

S-Pankki itse kertoo sivuillaan aiheesta: https://www.s-pankki.fi/fi/tiedotteet/2017/huijausviesteja-liikkeella-s-pankin-nimissa/

-------------------ANSAKIRJE------------------------------------

--

Hyvä asiakaamme, 

Verkkopankissa tietoturvapäivitysten vuoksi verkkopalvelujen käyttäjien

on hyväksyttävä tietoturvapäivitys ja päivittää yhteystiedot ajantasalle. 

 Päivitä tietosi ja tee tietoturvapäivitys  (TÄMÄ LINKKI VIE ID-KALASTUSLOMAKKEELLE)

Prosessi järjestelmän ja tietojen päivittämiseksi on tehty

mahdollisimman helpoksi ja sujuvaksi. 

Käsittelemme rekistereissämme kaikkien asiakkaidemme tietoja samojen käsittely- ja tietoturvaperiaatteiden mukaisesti. Kaikkien asiakkaidemme tiedot ovat esimerkiksi pankkisalaisuuden, vakuutussalaisuuden tai vastaavan salassapitovelvoitteen alaisia tietoja riippumatta siitä, onko kyse henkilö- vai yritysasiakkaasta. Tietojen luovuttaminen on mahdollista vain asiakkaan antaman suostumuksen tai lain perusteella. 

Ilman päivitystä pankkipalveluita voidaan joutua rajoittamaan. 

Rajoitukset koskevat maksukortteja ja verkkopankkia tai muuta tilin

käyttöä.

Terveisin 

Asiakaspalvelu 

S-Pankki

-------------------TIEDOT LÄHETTÄJÄSTÄ------------------

From: S-Pankki <infoo@qwersssa.gq> (maatunnus viittaa Päiväntasaajan Guineaan, ei S-Pankkiin)

Domain name:
QWERSSSA.GQ

Organisation:
Equatorial Guinea Domains B.V.
Dominio GQ administrator
P.O. Box 11774
1001 GT Amsterdam
Netherlands
Phone: +31 20 5315725
Fax: +31 20 5315721
E-mail: abuse: abuse@freenom.com, copyright infringement: copyright@freenom.com

--------------------TIETO LINKISTÄ------------------------

Domain Name: JOTFORMEU.COM
Registry Domain ID: 1702296633_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.tucows.com
Registrar URL: http://www.tucowsdomains.com
Updated Date: 2015-08-08T01:59:58Z
Creation Date: 2012-02-15T08:23:46Z
Registry Expiry Date: 2020-02-15T08:23:46Z
Registrar: Tucows Domains Inc.
Registrar IANA ID: 69
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Name Server: LEAH.NS.CLOUDFLARE.COM
Name Server: NOAH.NS.CLOUDFLARE.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2018-08-13T05:38:31Z <<<

-----------------------------------------------------------------------
Molemmille palveluntarjoajille (domannimen omistajille) on ilmoitettu vaarallisesta haittapostista.