Netin ansoja: liite

Näytetään tekstit, joissa on tunniste liite. Näytä kaikki tekstit

perjantai 15. maaliskuuta 2024

PANKKIHUIJAUS JÄLLEEN LIIKENTEESSÄ

Jälleen verkkorikollinen yrittää kaapata pankkitunnuksesi! ÄLÄ AVAA LIITETTÄ!
Tämän kirjeen tarkoitus on saada pankin asiakas panikoimaan ja avaamaan vaarallisen liitteen.

Jälleen kerran - KIRJAUTUKAA VAIN PANKIN OMILLA TUNNUKSILLA PANKIN OMILLE VERKKOSIVUILLE! Tässä tapauksessa op.fi on ainut oikea osoite jos haluatte tarkistaa Osuuspankissa olevaan tiliinne liittyviä asioita.
Tämä kirje ei sellaista toimintaa edellytä. Rahanne ovat niin kauan turvassa, kun ette näihin kirjeisiin vastaa, tai liitteitä auo ja linkkejä klikkaile. Kirje saapuu Japanista roskapostittajaksi merkityltä koneelta.

----------------------------------KIRJE-----------------------------------

perjantai 24. marraskuuta 2023

ELISANETIN NIMISSÄ LIITEANSA Googleadservices linkin takana

ÄLÄ VASTAA, äläkä koske LIITE-linkkiin. Seitsemän virustorjunta.alan yritysta on varoittanut LINKIN OLEVAN VAARALLINEN. Jos sinulla on asioitavaa Elisanetin kanssa, käytä suoraa verkko-osoitetta, elisa.fi.

HUOMAA myös lähettäjän osoite, "elisanet.fi@fourwindssoudiarabialtdquotations.primaesia(.)biz" joka ei ole Elisan. Sähköpostien merkittävin osuus on @ -merkin jälkeen. Siinä pitäisi lukea tuo "elisanet.fi".

------------------------------------------KIRJE----------------------------------------

Kirjeessä käytetään linkkiä: "https://www.googleadservices(.)com/pagead/aclk?nis=4&sa=L&ai=Cri7Y_0H_ZKTrFdbjkPIPqeGU8Aai0fbecsrawuD0EZiltpWLAxABIIHZ_iFgyQagAb-XqsAByAEJqAMByAPLBKoEzgFP0Fr_7899AWgQME-dRKD82PVq_GriobSE33a1-867XTDIH21qdgIVJPGhCUpsV9CKhQF1QQQ
arMujZox9An4juSjswBZJqiZ7ZibTr5OWnGyF7U4b6bHVHS4En1L4hbIl60ujM4WJP
v7C82fAs5gVxJZLBAsh3LYkwcmQ4NWjefpXa61OvLqCyf2dVDmPBSFmxZkF7
x4voIMhgvJemrLitU_ZI_HZTlJalDu4oVwi6g29FC-wfnRarBzTXWc7W-c8qZHiUwsvCkt2_umAD8AE8678-c4EiAX7gK-yTKAGLoAHmezW0AOoB9m2sQKoB47OG6gHk9gbqAfulrECqAf-nrECqAeko7
ECqAfVyRuoB6a-G6gHmgaoB_PRG6gHltgbqAeqm7ECqAeDrbECqAf_nrECqAffn
7ECqAfKqbEC qAfrpbEC2AcA0ggUCIBhEAEYHzICigI6AoBASL39wTqxCQ_Pcej76rkcg
AoBmAsByAsBgAwB2gwQCgoQ4LrV9P_-o-tWEgIBA6oNAlVTyA0BuBPkA9gTDNAVAfgWAYAXAQ&ae=1&ase=2&gclid=EAIaIQobChMI5Oaq5v6igQMV1jFECB2pMAVuEAEYASAAEgKTTPD_
BwE&num=1&cid=CAQSKQBpAlJWS5k0hVCXBzSf3k32GtpDFihe4WJmce3XyUB7JU8-iSt-aH0jGAE&sig=AOD64_1eX-9ThmtgmfsZcJnXLyY-fkS56Q&client=ca-pub-
9816945270938969&rf=1&nb=9&adurl=" (Todellinen, vaaralliseksi osoittautunut linkkiosoite tulee vasta tämän googleadservices osoitteen jälkeen:) "https://ipfs(.)io/ipfs/bafybeigzlofrr75r2un57hg5wtsclp4ol7eimf3g3bqdxsom42lfmdzuza/aloUniv4.html%3Futm_content%3Dparams%253Ao%253D1673650%2526an%253D
gdn%2526ag%253Dfw59%2526ad%253DS2C%2520-%2520External%2526akid%
253D1000000330tsgr_671813766138%26utm_source%3Dgrs2-expanded-v5%26gclid%3DEAIaIQobChMI5Oaq5v6igQMV1jFECB2pMAVuEAEYASAAEg
KTTPD_BwE#aGFubnUua3V1a2thbmVuQGVsaXNhbmV0LmZp"

Linkki on rikottu mutta sen virustarkistus osoitti linkin olevan VAARALLINEN.

Google add servicen linkin taakse piiloutuminen on uusimpia rikollisten tapoja saada linkki ikäänkuin luotettavaksi ja se vaarallinen linkkiosuus piiloon datamössön taaksen. Jos tarkistat koko osoitteen saat tulokseksi "puhtaan, vaarattoman" linkin MUTTA tuo todellinen linkki paljastuukin sitten ansaksi.

tiistai 14. maaliskuuta 2023

ÄLÄ MAKSA Paypal HUIJAUSLASKUA

Tämä liitteenä oleva lasku on ANSA. Liite ei ole JPG kuva, kuten se ikäänkuin esittää. Onko liite edes PDF - kuten se myös esittää päätteellään? ÄLÄ avaa liitettä! Näet liitteen sisällön alimmaisena kuvana tällä sivulla.
Kaikissa tapauksissa kyseessä on huijaus. ÄLÄ MAKSA LASKUA, en minäkään maksa, koska en ole mitään tilannut. ÄLÄ MYÖSKÄÄN SOITA HUIJARILLE.

Lähetysosoite on myös tekaistu ilmaisosoite, eli kirje ei ole saapunut miltään yritykseltä.

------------------------------------------KIRJE--------------------------------------------

-------------------------------------------------------------------------------------------------------------------

Content-Type: image/jpeg; name=Paypal_Invoice.pdf

Liitteestä lähdekoodi kertoo ristiriitaista tarinaa, eli ilmeisimmin huijarin tarkoituksena on haettaa verkosta ohjelma, joka pystyisi avaamaan tiedoston ja sen jälkeen koneellesi saattaa ilmestyä VIRUS. Kun avasin liitteen parsaamalla se kuvaksi, sain näkyville Nortonin näköisen valelaskun. Kuva alinna. En ole tilannut tuotetta milloinkaan mistään. Lasku on tekaistu ja cancelointi-aika (tilauksen peruutusaika) on viritetty niin vähäiseksi, että hätääntynyt uhri maksaa tai yrittää ottaa yhteyttä lähettäjään. NORTON VAROITTAA NÄISTÄ HUIJAUKSISTA verkkosivuillaan: https://www.nortonlifelock.com/blogs/feature-stories/fraudulent-use-nortonlifelock-brand

Puhelinnumerosta löytyy nettihaulla tietoa että: "Puhelinnumerot, jotka alkavat 1-866, ovat maksuttomia (toll free) kun soitat amerikkalaisesta lankaliittymästä." 1-866 alkuisia puhelinnumeroita käytetään esim: Social Security Field Office, käytössä. Ei edes kuulosta minkään firman toiminnalta.Tilaajan nimeä ei myöskään näy.

keskiviikko 8. maaliskuuta 2023

SHTML HUIJAUS - LASKULIITE

Älkää koskeko tämänkaltaisen emailin liitteeseen, tai linkkeihin.
Verkossa on artikkeleita (alinna) tästä huijaustyypistä. Tämä on kohdistettu yrityksiin mutta saattaa näköjään saapua kenelle vain. Näyttää "kuittaukselta" saadusta laskusta.
Kyseessä on henkilötietovarkausyritys, tai yritystietokalastelu.

------------------------------KIRJE------------------------------

Payment receipt
From     sbl@fvtransports(.)com
To     hannu.kuukkanen@xxxxxxxx
Date     Tue 18:46

    BANK TRANSFER .shtml (~90 KB) (ANSALIITE)
    Show options

Good Afternoon,

Please find the attached bank transfer confirmation copy for your
reference

Regards
--------------------------------------------------------------

VERKOSTA LÖYTYY AIHEESTA KUVAUKSIA

New Phishing Attack Emerges using SHTML file attachments
Phishing attacks are still one of the most common and dangerous methods used by cybercriminals to steal sensitive data and infiltrate networks.

How to Protect Your Business from SHTML Phishing
— Potential Signs of SHTML Phishing · Poor spelling and grammar · Strange characters and punctuation · Email addresses comprised of a seemingly ...

KONEKÄÄNNÖS ALAPUOLELLA
--------------------------------------------------------------------------

Uusi tietojenkalasteluhyökkäys syntyy SHTML-tiedostoliitteiden avulla
Tietojenkalasteluhyökkäykset ovat edelleen yksi yleisimmistä ja vaarallisimmista 
menetelmistä, joita kyberrikolliset käyttävät arkaluonteisten tietojen 
varastamiseen ja verkkoihin tunkeutumiseen.

Kuinka suojata yritystäsi SHTML-tietojenkalastelulta
— Mahdolliset SHTML-tietojenkalastelun merkit · 
Huono oikeinkirjoitus ja kielioppi · Outoja merkkejä ja välimerkkejä · 
Sähköpostiosoitteet, jotka koostuvat näennäisestä nimistä tai merkeistä.

maanantai 8. elokuuta 2022

LIITE - TIEDOSTO - ANSAT

"Verkon vaarat” – sivulla muistutettiin liiteansoista, joten otan myös tässä blogissa aiheen uudelleen esille.

Jokainen verkossa liikkuva liitetiedosto on potentiaalinen virus. On syytä suhtautua varauksella MYÖS liitetiedostoissa esiintyviin linkkeihin. Vaikka liite saapuisi kaverisi osoitteesta, liite voi olla vaarallinen, koska kaverisi osoite, tai verkkoprofiili, saattaa olla ”lainattu” = varastettu, rikolliseen käyttöön.

Viruksia (haittaohjelmia) saattaa olla kaikissa liitetiedostoissa, jotka pystyvät pitämään sisällään toimivia tai aktivoitavissa olevia ohjelmia.
Sellaisia ovat mm.: PDF, WORD,EXCELL,ZIP, EXE (EXE on kaikista vaarallisin liite, koska se on yhdellä klikkauksella aukeava ohjelma = ilmeinen virus).
Erilaisia tiedostonpakkausversioita ovat myös RAR-, 7z- ja CAB – tiedostonimipidenteillä varustetut liitteet.

JOS haluat varmistaa, että et itse jaa viruksia liitetiedostoissasi, käytä esimerkiksi asiakirjoissa TXT tai RTF tekstimuotoja, jotka eivät sisällä ohjelmia. PDF tiedoston voi korvata JPG kuvatiedostolla, tai suojata PDF:n omilla suojaustavoilla (lue suojausohjeet Adoben sivulta https://helpx.adobe.com/fi/acrobat/using/choosing-security-method-pdfs.html). EXCELL taulukoita voit myös muuttaa kuviksi, jos niitä ei tarvitse käsitellä edelleen.

KAIKISSA TAPAUKSISSA on syytä skannata virustorjuntaohjelmalla jokainen koneellesi saapuva liitetiedosto (tulivatpa ne kavereiltasi tai eivät). Yleisimmillä virustorjuntaohjelmilla skannaus toimii osoittamalla kohdistimella liitetiedostokuvaketta, jolloin oikealla hiirinäppäimellä (PC) aukeaa valikko josta klikkaat ”tallenna kohde levylle”. Tallenna tiedosto kansioon, josta löydät sen ja kansiossa osoita liitekuvaketta kohdistimella, klikkaa oikeaa näppäintä (PC) ja valitse ilmestyvästä valikosta ”tarkista virusten varalta”. Virustorjuntaohjelmilla saattaa olla aukeavassa valikossa myös oma linkki virustarkastukseen. Mm. MalwareBytes ilmoittaa omalla nimellään virusskannauksen.

VAROITUS! Kannattaa myös päivittää kaikki ohjelmansa ja laiteajurit VAIN luotettavista verkko-osoitteista.
Ponnahdusikkunoiden linkit voivat viedä hakkerin virusvarastolle.
Erilaisia ”ajureita” saatetaan vaatia asennettaviksi tai päivitettäviksi esim. videotiedostojen ja kuvatiedostojen latauksen yhteydessä. Näitä kehotuksia ei tule noudattaa. Kyseessä saattaa olla viruksella saastutettu ohjelma tai itse virus. Virus saatta olla nimetty "lähes" oikean ajurin nimellä.

Kuvatiedosto ei normaalisti voi sisältää virusta mutta sekin olisi mahdollista.

Iltalehti kertoi vuonna 2016 sosiaalisen median ystävän nimellä saapuvasta viruksesta kuvatiedostossa: "Viesti sisältää svg-kuvatiedoston, mikä ei kuitenkaan ole ihan perinteinen kuva. Svg-muoto nimittäin mahdollistaa koodinpätkän lisäämisen kuvaan. Näin ollen kuvan avaaja ajaa samalla myös haitallisen koodinpätkän."
https://www.iltalehti.fi/digi/a/201611212200030142

keskiviikko 13. lokakuuta 2021

Microsoftin Mega Lottery huijaus

Näitä ja vastaavia "lottovoittoja" saapuu tuhkatiheään.
Ei kannata innostua, vaan heittää ne roskikseen.
Näillä urkitaan sinun henkilötietojasi ja pankkitunnuksiasi. Tässä kirjkeessä on PDF tiedostossa saapuva virus. ÄLÄ AVAA LIITETTÄ.
Kirje saapuu Hon Kongista.

tiistai 24. marraskuuta 2020

LIITEPOMMITTAJA KÄYTTÄÄ KAVERISI E-MAILOSOITETTA

VAROITUS. Sain juuri hetki sitten tiedon, että henkilö sai asiakkaaltaan (asiakkaansa nimellä) sähköpostin luontevana jatkeena käydylle e-mailkirjeenvaihdolle.
Liite, joka vaikutti asialliselta, sisälsikin viruksen joka otti henkilön koneen haltuunsa ja lähetti satoja laskuja koneessa oleille sähköpostiosoitteille.

TÄSSÄ on oltava kahteen suuntaan varovainen. Aina ystävältä saatu posti ei tulekaan oikeasti ystävältästi. Tutustu aina kirjeen sisältöön huolella ja vältä (jos mahdollista) avaamassa liitteitä hiemankaan epäilyttävässä tapauksessa. Virustorjunta ei aina ole ajantasalla vahtimassa liitteitten sisältöä. Alinna ohje, miten voit tarkistaa liitteen turvallisuuden.

TOINEN liittyvä huijaustapa on juuri nuo "valelaskut". Vaikka lasku tulisi henkilöltä, jonka kanssa sinulla on liikesuhde, tarkista aina lasku huolella ja lähetä, epäselvissä tapauksissa, laskun lähettäjälle kysyely laskun aitoudesta.

MITEN TARKISTAT LIITTEEN TURVALLISUUDEN?
Liitteet voi tarkistuttaa virustorjunnalla vaikka erikseen, jokaisen.
Kun olet tallentanut liitteen koneellesi, vaikkapa "TARKISTETTAVAT" kansioon josta se on helppo löytää ja on epäilyttävänä liitteenä poissa tärkeistä kansioistasi. JOS ja KUN sinulla on virustorjuntaohjelma, vie kursori liitetiedoston päälle ÄLÄ KLIKKAA. Kun kursori on tiedostonimen yläpuolella paina oikeanpuoleista hiirinäppäintä (oikeakätiset) - avautuu valikko jossa näkyy lista toimintoja ja virustorjuntaohjelmasi nimi. Valitse se. Ohjelma käy nyt tiedoston läpi ja ilmoittaa sinulle, onko sen avaaminen turvallista.

tiistai 31. maaliskuuta 2020

Korona huijaus - liitepommi

Nyt yritetään huijata Korona-virus infokirjeellä.
Kirje ei ole tullut WHO:sta! Vaikka tällainen vaikutelma annetaan.

Otsake: Re: COVID-19 Relief: How to Access Complimentary Products

Ei ole minkäänlaista syytä saada vieraankielistä informaatiota paikallisesta Korona-tilanteesta.
Myöskään en ole lähettänyt tuohon osoitteeseen minkäänlaista kirjettä johon tuo olisi Re: eli vastaus. Osoitettani on käytetty luvatta.

Kyseessä on liitteeseen sijoitettu virus - "tietokonevirus"

attachment; filename="Covid-19.001"

LIITETTÄ EI SAA AVATA!

Kirje saapuu ilmasiosoitteesta jonka omistaja ei ole tiedossa. Samoin vastausosoite vie venäläiseen ilmaisosoitteeseen.

Reply-To: l0ginbox@yandex.com  (viittaa Venäjälle. Tämä on ilmaisoite.)
From: WHO<info@infocompany.tk>  (viittaa Uuteen Seelantiin. Tämä on ilmaisoite.)
(WHO:lla ei ole mitään tekemistä tämnän kirjeen kanssa)

USA:n National Cyber Awareness System varoittaa näistä kirjeistä
https://www.us-cert.gov/ncas/current-activity/2020/03/06/defending-against-covid-19-cyber-scams

------------------------------KIRJE----------------------------------------

Attention hannu.kuukkanen
Go Through the attached document on safety measures regarding the
spread of corona virus.,This little measure can save you.
Below is the attached document.
Common Symptoms include fever,cough,shortness of breath and
breathing difficulties.
Regards
Dr Claudia Lodesani

------------------------------------------------------------------------------

torstai 20. helmikuuta 2020

Tyhjä kirje liitepommilla

Tälläkerralla spämmi-kirje oli tyhjä mutta liitteenä oli NDA Pre-Contract.DOCX, eli Word-liite. Tässä tiedostomuodossa voi olla mukana virusohjelma joten tiedostoa EI tule avata.

Tyhjän kirjeen tarkoitus on saada aikaan uteliaisuutta ja uteliasta avaamaan tuon pommiliitteen.
En suosittele.

----------------------------KIRJEEN TIEDOT----------------------------------
Otsake: FW: Pre-contract agreement and non-disclosure (ikäänkuin edelleenlähetetty sopimus. "ei julkinen" tarkoittaa uteliaisuuskertomen nostamista)

"Sent from my Huawei mobile" (tyhjä kirje joinka alalaidassa oli tämä teksti)

Kirjeen Header kertoo:

Received: (qmail 7913 invoked by uid 89); 20 Feb 2020 11:52:44 -0000 
(tuntematon lähettäjä jonka voisi saada selville palvelimelta kirjautumisen kautta)
Received: from relay2.grserver.gr (185.4.132.177) (Kreikkalainen palvelin 
josta kirje on saapunut. Domainnimitietoja ei ole saatavilla, koska kreikkalainen 
typografia ei aukea domannimipalveluille))
by cng.neutech.fi (envelope-from acin@lawyer.com) 
(peilattu lawyer.com osoitteen kautta. Tämä osoite ei ole todellinen lähettäjä)

----------------------------------------------------------

perjantai 8. marraskuuta 2019

Laskutusansa liitepommilla

Näitä valelaskuja saapuu silloin tällöin. Liitettä ei missään tapauksessa saa avata jos sinulla tai firmallasi ei ole ollut mitään tekemistä kyseisen yrityksen kanssa. Asia kannattaa tarkistaa huolellisesti, koska tämä kirje on ainakin 100% liiteansa ja JOS lasku on vaaraton tiedosto, lasku on tekaistu. Virustarkistukseni tuhosi tämän liitteenä olevan DOC tiedoston (INVOICE 2066006888.doc) vaarallisena. Huolehdi, että virustorjuntasi on kunnossa.

Vastaavia yrityksiä tehdään jatkuvasti ja varsinkin yhdistykset ovat kohteena, koska niissä saattavat vastuuasiat olla retuperällä ja kukaan ei oikeasti tiedä mitä on tilattu ja kuka tilaaja on ollut. Asiaa selvitelläkseen onneton vastaanottaja avaa POMMI-liitteen ja saa pahimmassa tapauksessa koneelleen haitallisen viruksen, tai maksaa erehdyksessä tyhjästä verkkorikolliselle.

Rahastonhoitaja tai pankkiasioiden hoitajan on syytä selvittää mahdolliset tilaukset laskuttavalta yritykseltä. Mieluummin tarkistus tehdään vaikkapa suoraan puhelimitse jos sellaiseen tarvetta nähdään. Tässä tapauksessa peitteenä käytetty "Hotch" niminen firma oli ilmeisen syytön ja ulkopuolinen. Sen domannimeä ja yritysnimeä oli ainoastaan käytetty rikoksen peitteenä.

Viestin lähdekoodi kertoo, että lähettäjä on eri, kuin mitä lähettäjän avoimena oleva osoite. Kirje ei ole tullut itävaltalaiselta vaan kreikkalaiselta firmalta. Tämä :"webmail.eyeland.gr" esiintyy useassa spämmikirjeessä todellisena postittajana.

(Tämä rivi kertoo, että osoite on peilattu - ei aito) 
(envelope-from office@hotech.at)

(Tämä rivi kertoo, että todellinen lähettäjä on "eyeland.gr") 
Received: from webmail.eyeland.gr (localhost.localdomain [127.0.0.1])

----------------------e-mail KIRJE-------------------------------

FYI
 
 
 Tel.:0732 6989-8414
 Mail:
 office@hotech.at
 
 Web:
 www.hotech.at

(ja liitteenä oli viruksen sisältänyt DOC tiedosto nimellä 
"INVOICE 2066006888.doc")

------------------------------------------------------------------

perjantai 9. elokuuta 2019

Kiinalainen juttu

Kiinassakin ollaan aktiivisia verkkorikollisuuden poluilla.
Tämän sisältöisessä kirjeessä (firmasta jonka kanssa minulla ei ole milloinkaan ollut mitään tekemistä) oli liite jonka pääte oli ".ace". Ace on pakkausohjelma jonka sisältö voi olla vaikkapa virus tai muu haittaohjelma. Kirje on saapunut osoitteesta jonka domannimi oli myynnissä ja siihen oli peilattu väärä lähettäjäosoite. Kirje on spämmiä ja liite on pommi.

----------------------------------KIRJE------------------------------------

Dear Customer
We dont have the quantity required at the moment in our company,Will we get back to you as soon as possible.
***********************************************************************
Always keep in touch, Any time at remarkprodut@china.cn (osoite on muutettu)
------------------------------------------------------------------------------

DHL:n nimissä tullut kavala ansa

Minulle saapui DHL:n nimissä ja osoitteesta lähetyksen epäonnistumisesta kertova ilmoitus (näitä spämmejän tullut aiemminkin). Ilmoituksessa kehoitettiin avaamaan liite josta selviäisi asia tarkemmin. EN aijo avata. Liite on päätteellä .IMG josta verkossa kerrotaan Mäkkituki sivuilla seuraavaa (koneeni on PC):

"...sinulla on tiedosto, joka on tiedostopääte päättyy .img. Tiedostot, joiden tiedostopääte .img voidaan laukaista ainoastaan tietyissä sovelluksissa. On mahdollista, että .img tiedostot ovat tiedostojen sijaan asiakirjoja tai media, mikä tarkoittaa että ne ei ole tarkoitettu katsottavaksi ollenkaan."

Sana "media" voi tarkoittaa mitä tahansa. Myös haittaohjelmaa tai virusta.

Koska tämän kirjeen lähetysosoite on saatu näyttämään aidolta (ei näytä tulevan "envelope" muodossa peilauksena), tämä on erittäin vaarallinen ansa. Ainoana viitteenä spämmistä, kirjeen headerista löytyy merkillinen postipalvelin "restaurantelasconchas.com" joka viittaa espanjalaiseen ravintolaan, ei suinkaan DHL:ään millään ajatusmallilla. Myös headerin kohta: "To: undisclosed-recipients:", kertoo, että kirje on mennyt useammalle vastaanottajalle, eli tyypillistä roskapostia.

Lähetin kirjeen johdosta tiedustelun myös DHL:lle.
Jos odottaa DHL lähetystä, jokaisen kannattaa tarkistaa kirjeen aitous heidän kauttaan, ennen kuin koskee liitteisiin tai ryhtyy mihinkään muihin toimiin paketin perillesaamisen suhteen. TÄMÄ ON ANSA.

----------------------------------KIRJE----------------------------------

Dear Customer,

We attempted to deliver your item at 1:15 PM on 8th August, 2019. (Read enclosed file details)
The delivery attempt failed because nobody was present at the shipping address, so this notification has been automatically sent.

If the parcel is not scheduled for re-delivery or picked up within 72 hours, it will be returned to the sender.

Label Number:  (Read enclosed file details)
Class:  Package Services
Service(s):  (Read enclosed file details)
Status:  e-Notification sent

Read the enclosed file for details.

DHL Customer Service.
2019 © DHL International GmbH. All rights reserved.
-----------------------------------------------------------------------------------

DHL vastasi tiedusteluuni. Alariveillä on DHL:n yhteystiedot:

Kiitos viestistäsi.

Saamasi viesti on roskapostia. Olemme tietoisia siitä, että rikolliset ainekset käyttävät nimeämme huijausyrityksiin ja saamasi viesti on ikävä kyllä juuri tällainen yritys.

DHL Express lähestyy suomalaisia asiakkaitaan aina suomeksi, mikäli vain on syytä olettaa että kyseessä on suomenkielinen asiakas. Emme koskaan DHL-lähetyksen kyseessä ollessa ohjaa asiakkaitamme kolmansien osapuolien verkkosivuille.

Suosittelemme virustorjunnan säännöllistä päivittämistä sekä normaalin varovaisuuden noudattamista sähköpostien käsittelyssä, erityisesti epäilyttävien linkkien ja liitetiedostojen suhteen. On myös hyvä tarkistaa, että saamasi viesti on lähetetty aidosta osoitteesta – DHL Expressin lähettämät viestit tulevat aina osoitteesta, joka päättyy @dhl.com. Toisinaan rikolliset kuitenkin käyttävät osoitteen piilottamistekniikoita, jolloin viesti näyttää tulleen @dhl.com –osoitteesta vaikka sitä ei ole lähetettyä DHL:n toimesta.

Jos olet avannut viestissä olleen linkin tai tiedoston, suosittelemme välitöntä virustarkistusta. Mikäli olet antanut salasanasi sivustolle, suosittelemme vaihtamaan salasanan kaikkiin palveluihin, joissa se on käytössä.

Jos saat DHL:ään liittyvän viestin ja epäilet sen aitoutta, voit aina ilmoittaa asiasta asiakaspalveluumme.

Mikäli sinulla tulee lisäkysyttävää, vastaathan tähän viestiketjuun tai ota yhteyttä asiakaspalveluumme 030 45 345. Sähköpostit käsittelemme viimeistään seuraavana arkipäivänä. Kiireellisissä tapauksissa suosittelemme olemaan yhteydessä puhelimitse.

Ystävällisin terveisin

Roope Kajander
Customer Service Advisor, Frontline

DHL Express (Finland) Oy

Tullimiehentie 10
01530 Vantaa

Finland

+358 (0)30 45 345

fiasiakaspalvelu@dhl.com

www.dhl.fi/express

torstai 2. toukokuuta 2019

DHLn nimissä tullut liiteansa

Kiinasta muka saapui DHL:n kautta jotain tärkeää???
No ei saapunut, sillä tämä on liiteansa. Jos avaat liitteen saat ilmeisesti koneellesi viruksen, sillä liite on ohjlematiedosto (.PDF.jar) jossa loppupääte ".jar" kertoo ohjelman olemassaolon liitetiedostossa.
Vaikka liitteen nimi päättyisi PDF - osuuteenkin, sen turvallisuudesta ei ole takeita. PDF saattaa sisältää ohjelman myös.

torstai 21. maaliskuuta 2019

DHL:n yritysgrafiikalla "kuvitettu" pommikirje

Tällä kertaa on menty askel pidemmälle. Enää et voi päätellä suoraan lähettäjän osoitteesta, mistä kirje on peräisin. Tämä kirje on ikäänkuin lähetetty DHL:n e-mailista. MUTTA näin ei asian laita ole. Liitteenä on kaiken lisäksi VIRUS tai HAITTAOHJELMA. Älä koske liitteeseen.

Jos odotat DHL lähetystä:
1) DHL lähettää suomaliselle asiakkaalleen suomenkielisen viestin.
2) voit tarkistaa lähetyksen aitouden DHL:n sivulta tuolla lähetyskoodilla. Jos koodi ei anna hakutulosta, kirje on pommi. ÄLÄ missään tapauksessa avaa PDF liitetiedostoa.

Lue edelleen analyysi kirjeen alapuoleta (mm. kirje on kuva, eikä todellinen kirje)

Kirjeen headerin analyysiä alla:

Received: from [127.0.0.1] (port=57502 helo=ganesha.w2imailservers.net)
by ganesha.w2imailservers.net with esmtpa (Exim 4.91)
(envelope-from <notify@dhl.com>)

TÄMÄ KOHTA KERTOO, ETTÄ KIRJEEN DHL OSOITE ON SAATU "PEILAAMALLA" SE DHL:N PALVELIMELTA (envelope)

X-Get-Message-Sender-Via: ganesha.w2imailservers.net: authenticated_id: surbhit@mrscorporation.com
X-Authenticated-Sender: ganesha.w2imailservers.net: surbhit@mrscorporation.com
AUTENTIKOITU LÄHETTÄJÄ ON mrscorporation.com
MRS:N VERKKOSIVU KERTOO: We are presently delivering services to a portfolio of public and private sector organizations. With office in Delhi and branch associates in Ahmedabad, Bhopal, Chandigarh, etc., we are fast developing a pan-India reach. ELI KIRJEEN TODELLINEN LÄHETTÄJÄ ON JOSSAKIN PÄIN TÄTÄ ORGANISAATIOTA TAI TODENNÄKÖISEMMIN TÄMÄN ORGANISAATION JOKU KONE ON KAAPATTU

LIITETIEDOSTO "PDF" PÄÄTTEELLÄ VOI SISÄLTÄÄ HAITTAOHJELMAN
Content-Type: application/pdf;
name=DHL_AWB#280991007.pdf

.PNG KERTOO, ETTÄ KYSEESSÄ ON KUVA. TUO YLLÄ OLEVA DHL:N KIRJE ON KUVANA. KIRJE EI SIIS OLE MYÖSKÄÄN AITO.
Content-Disposition: inline;
filename=Dhl.png;

KOSKA LINKIT EIVÄT AKTIVOIDU KOMMENTEISSA siirrän kommentissani mainitsemat linkit tänne artikkeliin:

Aiheesta kirjoitti MikroBitti:
https://www.mikrobitti.fi/uutiset/haittaohjelma-hyokkaa-nain-tietosi-varastetaan/ff34ef99-4f66-359c-b3ba-5332ab3e9b30
IS kommentoi 8.8.2001 DigiTodayn artikkelia, joka varoittaa löytyneestä PDF viruksesta:
https://www.is.fi/digitoday/art-2000001346106.html

lauantai 9. helmikuuta 2019

Ja jälleen Googlen "palkintoansa" nyt kuvana

En oikein jaksa käsittää miten tällaiset kirjeet voivat saaada ketään enää ansaan MUTTA joka tapuksessa varoitus on paikallaan. Kaikki eivät kenties ole vielä näitä saaneet.
Tämä vastaa 1:1 Microsoftin "nimellä" tullutta ansapostia, nyt lähettäjänä on ikäänkuin "Google".
Palkintoa on taas tulossa.
Tämän kirjeen asiasisältö on spämmisuodattimia välttääkseen, kirjoitettu GIF kuvana.

Kirje on tullut Koreasta (xxxxx@hanex.co.kr) ja vastaus olisi menossa jälleen venäläiselle Yandex palvelimelle (xxxxxxxxx@yandex.com). Joka tarkoittaa, että tällä kirjeellä ei ole mitään tekemistä Googlen kanssa. Tällä kirjeellä kerätään jälleen henkilötietoja, eli on tyypillinen phishing ansa.

--------------------KIRJE-----------------------

Dear Email User,

You are one of the lucky winners of Google for a total sum on 950,000.00 GBP, view affixed for further details to claim.

Google Team
----------------------------------------------------

Liitteenä on tämä varsinainen kirje kuvana:

torstai 31. tammikuuta 2019

Microsoftin palkinto on POMMI

Yleensä jos jokin taho kertoo, että olet voittanut, tai sinulle on tulossa perintörahoja, tai sinulle aijotaan lahjoittaa suuri summa rahaa, nämä 99,99% ovat huijjauskirjeitä ja varsinkin jos niissä on liitetiedosto, se tarkoittaa yleensä virusta. Näitä "palkinto"-kirjeitä satelee.

Esim. tämä on huijjauskirje jonka liitteenä on virus, tai muu haittaohjelma. ÄLÄ koske liitteeseen.

---------------------------------KIRJE---------------------------------

Dear Microsoft Winner.
 
Attached to this email is your winning notification for being an active user
of Microsoft.
 
Microsoft General Manager,
Public/Online Sector U.K

---------------------------------------------------

Kirjeen analyysi kiinnostuneille:
Lähettäjä ei ole Microsoft vaan mahdollisesti taiwanilainen yliopisto: wdchen@phy.ntnu.edu.tw
Vain maatunnus osoittaa varmaa sijaintia, "edu" saattaa merkitä yliopiston palvelinta.

Vastausosoite veisi jällen ihan muualle kuin lähettäjän luokse:
Reply-To: mccourt.derrick@yandex.com
Yandex on venäläinen toimija joka vaikuttaa laajalti entisten neuvostoliittolaisten valtioiden alueella ja muualla itä-suunnassa. "Russia · Ukraine · Belarus · Kazakhstan · Uzbekistan · Turkey". En tiedä, mutta uskon, että Yandex toimii vastaavalla tavoin sähköpostitilien kanssa kuten Google, eli ne ovat ilmaisia, joten luottamusta tällainen ei herätä.

Liittenä on:
"Microsoft 1st Category Winner!!!.pdf"
PDF tiedostoon on mahdollista liittää virus, joten ei ole mitään syytä myöskään koskea tähän liitteeseen.

----------------------------JA SEURAAVA HUIJJAUSKIRJE---------------------------
Tässä kalastellaan henkilötietoja. Lähettäjä EI ole Microsoft vann kirje tulee Koreasta ja vastaus e-mail menisi samalle herra Derrikille kuin edellisen kirjeen. Eli venälaiselle palvelimelle: "mccourt.derrick@yandex.com" MS pomon Derrecin oikea osoite päättyisi: @microsoft.com
--------------------------------------------------------------------------------------------------

MICROSOFT® CORPORATION

Cardinal Place

80-100 Victoria Street

London,SW1E 5JL

United Kingdom

MICROSOFT OFFICIAL NOTIFICATION LETTER

It is obvious that this notification will come to you as a surprise but please find time to read it carefully as we congratulate you over your email success in the following official promotion awards of the Microsoft Email Electronic Cash Sweepstakes 2019 organized by Microsoft Corporation, in conjunction with the foundation for the promotion of software products, (F.S.P) Award Numbers: GB/MS/963/2019 & Email Bonus Numbers: MSLP-54399,in the Microsoft Corporation UK, Head Quarters London United Kingdom, where your email address emerged as one of the online winning emails in the 1st category and therefore attracted a cash award of ?845,000.00 GBP (Eight Hundred and Forty Five Thousand Great British Pounds Sterling),Our Microsoft 2019 winners are arranged into Three categories with different winning prizes accordingly in each category. They are arranged in this format below:

CATEGORY OF MICROSOFT 2019 WINNERS

1st ?845,000.00 GBP

2nd ?589,007.00 GBP

3rd ?429,130.00 GBP

Microsoft Verification Requirements

(1). Full Name:

(2). Address:

(3). Nationality/Gender:

(4). Age:

(5). Occupation:

(6). Phone:

(7). Country:

(8). Winning Email Address:

Derrick McCourt

General Manager, Public/Online Sector U.K

Private E-mail: mccourtderrickmsc@dr.com

Signed,

Michel Van Der Bel

Managing Director,

Microsoft® UK and Vice President, Microsoft International

---------------------------------------------------------------------

torstai 20. syyskuuta 2018

TM16/2018 tuo esille verkkoturvallisuutta

TM kirjoitti otsakkeella:"Mieti ennen kuin avaat linkin tai tiedoston", Ilpo Salonen

Kiitos edes tästä. Tosin puolen sivun teksti ja puolen sivun kuva henkilöstä (Moti Yung) on aika vaatimaton panos ongelmaan, joka aiheuttaa maailmanlaajuisesti miljardiluokan tappioita yksityishenkilöiden ja yritysten menetyksinä rikollisille (yksinomaan ransomware tappioina*). Koska aivan oikeasti julkinen media herää todellisuuteen? Nyt hehkutetaan "kyberturvallisuudella" jossa keskustelun alla on valtiollinen turvallisuus. Hyvä niin, mutta todellinen ja isompi ongelma jää kaikenaikaa jalkoihin. Vain senkö vuoksi, että tämän laajemman rikollisuuden kustantaa pääasiassa yksityiset ihmiset, joiden rahoissa se on aina merkittävä lovi?
Artikkelissa ei mainittu tarkemmin mitä "ennenkuin avaat tiedoston" ajatuksella tarkoitetaan. Useissa liitetiedostoissa saattaa olla mukana virus, joko suoranaisena ohjelmana tai toisen ohjelman tai tiedoston sisälle piiloitettuna. Näistä "liitepommeista" olen varoittanut tässä blogissa useammankin kerran.
https://vaarallinenweb.blogspot.com/2017/12/tilaus-joka-sisaltaa-kirjepommin.html
https://vaarallinenweb.blogspot.com/2017/11/liiteansa-ala-avaa-liitetta.html
Tavallisimpia ja vaarallisia liitetyyppejä (liitteen tunnusosa pisteen jälkeen) ovat ainakin: ZIP, PDF, DOC,DOCX, EXE, XLS ja muut Excell tiedostot. Kaikki tiedostot jotka voivat sisältää ns. macro-ohjelmia, on ennen avaamista syytä varmistaa, että tiedosto on tullut turvallisesta lähteestä. ZIP pakkaukseen voi pakata aivan mitä tahansa ja EXE loppuiset ovat 100% varmasti ohjelmia. JOS jollakulla sivustolla, selainsivulle pompahtaa ikkuna jossa pyydetään päivittämään tai hankkimaan jokin lisäohjelma, poistu sivulta vähin äänin. Näistä ansoista kerron alla lisää. Ohjelmat tulee hankkia tai päivittää ainoastaan niiden virallisten, turvallisten osoitteiden kautta.

*) Ransomware on kiristysohjelma joka lukitsee (kryptaa) koneesi tiedostot ja vaatii lunnaita. Lunnaatkaan eivät aina auta tietojesi palauttamiseksi. Ransomwaresta olen kirjoittanut tässä blogissa, kattavasti, helmikuussa 2016 LUCY haittaohjelman nimellä: https://vaarallinenweb.blogspot.com/2016/02/
Miten toimia jos kiristysohjelma tulee koneellesi: https://vaarallinenweb.blogspot.com/2017/04/laakkeita-kiristysohjelmia-vastaan.html

Toinen erittäin vaarallinen ansatyyppi on popupikkunoiden (selainsivulle pomppaava ikkuna) kautta lähtevät linkit joita on vaikea tarkistaa. Kyseessä saattaa olla ns. "kaapparimainos" joka ottaa linkin kautta tulevan ohjelman avulla koneen hallintaan: https://vaarallinenweb.blogspot.com/2015/03/varokaa-kaapparimainosta.html
Aihetta käsittelee myös artikkeli: https://vaarallinenweb.blogspot.com/2016/01/op-up-mainos-saattaa-asentaa-koneellesi.html

Pankkien nimillä tulee runsaasti ansapostia joista on varoitukjsia tässä blogissa runsaasti.
Viestintävirastokin on varoittanut pakkiansoista: https://vaarallinenweb.blogspot.com/2017/01/viestintaviraston-varoitukset.html
Katalimpia pankkiansoja ovat ns. "tietotutvapäivitykset" joiden linkkejä ei tule klikata.
https://vaarallinenweb.blogspot.com/2018/08/nordean-tietoturvapaivitys-on-ansa.html

Muita ansatyyppejä on runsaasti. Kannattaa uhrata hieman aikaa ja luke näitä ja vastaavia artikkeleita, vimeistään siinä vaheessa, kun jotain arveluttavaa saapuu sähköpostiisi tai selaimesi sivulle.

perjantai 24. elokuuta 2018

Mega International pommi Brasiliasta

Brasilialaisen yliopiston koneelta saapunut "virustarkistettu" viruspommi.
Jos e-mailissa lukee, että sen sisältö on virustarkistettu se ei merkitse yhtään mitään. ÄLÄ KOSKE LIITTEESEEN. Mm. PDF tiedosto saattaa sisältää haittaohjelman. Katso myös sivun alaosasta jatkoa tälle spämmille.

DOMANNIMITIEDUSTELU KERTOO:
domain: uff.br
owner: UNIVERSIDADE FEDERAL FLUMINENSE
ownerid: 28.523.215/0001-06
responsible: Michael Anthony Stanton

Kun lähetin herra Michael Anthony Stantononille huomautuksen tästä spämmipostista, kirje palasi varoituksella, että se sisälsi viruksen. Kuitenkin minun kirjeessäni oli ainoastaan e-mailin header osuus ja siinä tuskin voi olla virusta. Jos joku löytää lähetetystä headerista tai sen palautuskoodista viruksen, olisin kiitollinen tiedosta. Ensin on kaappaus palautuneesta postista.

Liitän alinnaiseksi Stantonilta takaisin yliopistolta tulleen bumerangi-kirjeen. Alkuperäisestä sourcesta, deletoin lopusta PDF koodin MUTTA en deletoinut itse PDF linkkiä eli on mahdollista, että sähköpostiohjelma poimi tuon PDF:n uudelleen joko minun koneeltani tai sitten jostain matkalta? Lähetetyssä e-mailissa ei pitänyt enää olla mitään sisältöä, jota olisi voinut edes kuvitella virukseksi:

--------------------------TÄMÄN LÄHETIN ilman PDF koodia joka oli jatkona--------------------------
This scam came from your server. Source with header included.
I deleted the PDF because it is possibly very harmfull.
You may see from your server log who has got this e-mail scam. Please warn them.

Yours: Hannu Kuukkanen

Wed, 14 Feb 2018 08:22:05 +0200 (EET)
Received: from mta.uff.br (mail.uff.br [200.20.0.16])
    by smtphost2.uff.br (Postfix) with ESMTP id 0E63967027;
    Wed, 14 Feb 2018 04:16:21 -0200 (BRST)
Received: from User (unknown [197.242.108.75])
    (Authenticated sender: sgg@vm.uff.br)
    by mta.uff.br (Postfix) with ESMTPA id 3B57B205DA;
    Wed, 14 Feb 2018 04:11:07 -0200 (BRST)
From: "Mega International"<sgg@vm.uff.br>
Subject: Ref: 1972874
Date: Wed, 14 Feb 2018 06:21:35 -0000
MIME-Version: 1.0
Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_0027_01C2A9A6.4201FFAC"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-NTi-UFF-MailScanner-ID: 3B57B205DA.AAAA7
X-NTi-UFF-MailScanner: Found to be clean
X-NTi-UFF-MailScanner-From: sgg@vm.uff.br
X-Spam-Status: No
Message-Id: <20180214061621.0E63967027@smtphost2.uff.br>
To: undisclosed-recipients:;

This is a multi-part message in MIME format.

------=_NextPart_000_0027_01C2A9A6.4201FFAC
Content-Type: text/plain;
    charset="Windows-1251"
Content-Transfer-Encoding: 7bit

--
Esta mensagem foi verificada pelo sistema de antivírus e
acredita-se estar livre de perigo.

------=_NextPart_000_0027_01C2A9A6.4201FFAC
Content-Type: application/octet-stream;
    name="Mega Internationals.pdf"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
    filename="Mega Internationals.pdf"

--
Hannu Kuukkanen
040 720 6432
hannu.kuukkanen@webcag.fi

------------------------JA TÄMÄ SAAPUI BUMERANGINA-----------------------
-koodi on lisääntynyt huomattavasti, siinä ei kuitenkaan ole edelleenkään PDF:ää mukana-
-------------"Known virus detected", saattaa viitata ehkä PDF tiedoston nimeen?-------------

Reporting-MTA: dns; googlemail.com
Received-From-MTA: dns; hannu.kuukkanen@elisanet.fi
Arrival-Date: Fri, 24 Aug 2018 00:54:03 -0700 (PDT)
X-Original-Message-ID: <482d78bf-4e11-a159-18a6-5fe46645d68d@elisanet.fi>

Final-Recipient: rfc822; michael@rnp.br
Action: failed
Status: 5.7.1
Remote-MTA: dns; mx0.rnp.br. (200.130.35.135, the server for the domain rnp.br.)
Diagnostic-Code: smtp; 554 5.7.1 Known virus detected in message: winnow.spam.ts.xmailer.2.UNOFFICIAL
Last-Attempt-Date: Fri, 24 Aug 2018 01:20:17 -0700 (PDT)

X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20161025;
        h=x-original-authentication-results:x-gm-message-state:to:from
         :subject:message-id:date:user-agent:mime-version
         :content-transfer-encoding:content-language:delivered-to;
        bh=VA7sX419ok1ShgPGAbg2oPhbDxzm7VV5GOwWusjDNCQ=;
        b=OSBMF0lX1tVN889ENRPSy+bmpWUmrdZc6saOS0gdiKQVZ0BsKOC78D/kBB1FnxPgEf
         e801e8XAwxcnz4C01cg1NIFKwNMwGjs714IqOShqwfhqfWoSyYIBkzdQl9NS20iPn9Fq
         Fi4bqhwn1gVDwh1iEkpOGOXzknLxBD17bV0o8isOMFTEtx14bfgvpJOlT2S9QjrMgqqL
         Hwjbv1sdnAXupbzmabKnGeUKuCDMU0ztnYJaS5smOypMxziOI9bzbv7OSYqTjsg2c5Nh
         4YgXaNSSPu1T5MLiBshEtLATT+QvE0wSXAXnGJNeblWqJrRnVdnNzWDv9+Gq33PRzt9J
         kBYQ==
X-Original-Authentication-Results: mx.google.com;       spf=pass (google.com: domain of hannu.kuukkanen@elisanet.fi designates 62.142.117.202 as permitted sender) smtp.mailfrom=hannu.kuukkanen@elisanet.fi
X-Gm-Message-State: APzg51CGOXJuJ9suDW/dCc5e5Lahf4lWnngLkMy3lSR3uaAfSzfGrxoP
 TxGaIwb1l4smS+j4tZtAoz4xs5ske69+srNJp+RbrsvP6+itCarOu6Z4ApqwGnfdE9BemyrQhKZ
 HEjqbPn+5ld9jxx1OnQPaRfzUzlVef4dq
X-Received: by 2002:a19:d484:: with SMTP id l126-v6mr527716lfg.28.1535097244541;
        Fri, 24 Aug 2018 00:54:04 -0700 (PDT)
X-Google-Smtp-Source: ANB0VdZVA5FLXBreBz3WpRAl8gh9nSIYOO6EFjBGczLNwounglEFMs3MfwW2FU0bRAla61z7a5Kh
X-Received: by 2002:a19:d484:: with SMTP id l126-v6mr527653lfg.28.1535097243206;
        Fri, 24 Aug 2018 00:54:03 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1535097243; cv=none;
        d=google.com; s=arc-20160816;
        b=PPyk9+1IOKfbmRu/9jJPcm7wTQJ0UIoPrenogP+m8aQmmP54xqVeycUkXHnoxOVhvX
         GR7Q1JKl+OVh30yd8hm7+TkJWqd4gQqSOXMgyCHgYc5WltV9HQqQG05fd1/ZWMAtiJ96
         034dbpmMWs6pJN8PR56cmX6wsWNDfASkXrwOty7W1c4StgFj6ScnZvzqN80KG3+EFAmf
         DWpa51CrcVeDS6AV+XOVLi8L+Q/nnn6VryKMWN//ZljTmWUNUcS1X1H2zTXcA0X693xb
         YmaHVAtLmB+VGn8PJnJlz92DlFtAZp39JWkVgYgSI/NBbtkN2SImRUwGXrWDePCMGick
         ZrQw==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-language:content-transfer-encoding:mime-version:user-agent
         :date:message-id:subject:from:to:arc-authentication-results;
        bh=VA7sX419ok1ShgPGAbg2oPhbDxzm7VV5GOwWusjDNCQ=;
        b=ByFLSxalLUfvE2jpwawKPRBIbDMk3vb9oUyJhC68dNMXlSYZNl96htHzcPp/L5xbxo
         QMKkS9NCTWkMQ2u0bqQyGq3mtQkKFKQszcHzWGP3cP4PMwNLtyTRSby6PRP6TGY/wQWQ
         Gxhs9S7M7xweUKHpgWq11Rh4BpyVUpgOuQc7DvlwhrZXt5er/YozRoMRRXqVwvEtRlzm
         quchgBLxFbnkmMQt3TSnSpZtbsA56r3cXtlwnLkgJPHdVEesW+qOdTaz4bVRBHABzxzO
         aKnzl05wUTHI5Ovy4l4nNFsLPu77mEkvl12/VshX0FKXCfQOnn7waImC1cJim4fAJTzz
         HS3Q==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of hannu.kuukkanen@elisanet.fi designates 62.142.117.202 as permitted sender) smtp.mailfrom=hannu.kuukkanen@elisanet.fi
Return-Path: <hannu.kuukkanen@elisanet.fi>
Received: from vs25.mail.saunalahti.fi (vs25.mail.saunalahti.fi. [62.142.117.202])
        by mx.google.com with ESMTPS id d1-v6si2180307lfi.338.2018.08.24.00.54.02
        for <michael@ic.uff.br>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Fri, 24 Aug 2018 00:54:03 -0700 (PDT)
Received-SPF: pass (google.com: domain of hannu.kuukkanen@elisanet.fi designates 62.142.117.202 as permitted sender) client-ip=62.142.117.202;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of hannu.kuukkanen@elisanet.fi designates 62.142.117.202 as permitted sender) smtp.mailfrom=hannu.kuukkanen@elisanet.fi
Received: from vs25.mail.saunalahti.fi (localhost [127.0.0.1])
 by vs25.mail.saunalahti.fi (Postfix) with ESMTP id 15C34200BB
 for <michael@ic.uff.br>; Fri, 24 Aug 2018 10:54:02 +0300 (EEST)
Received: from gw02.mail.saunalahti.fi (gw02.mail.saunalahti.fi [195.197.172.116])
 by vs25.mail.saunalahti.fi (Postfix) with ESMTP id 0AC6C200BE
 for <michael@ic.uff.br>; Fri, 24 Aug 2018 10:54:02 +0300 (EEST)
Received: from [192.168.1.2] (88-112-184-82.elisa-laajakaista.fi [88.112.184.82])
 (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
 (No client certificate requested)
 (Authenticated sender: hannu.kuukkanen@elisanet.fi)
 by gw02.mail.saunalahti.fi (Postfix) with ESMTPSA id F2A5D400C2
 for <michael@ic.uff.br>; Fri, 24 Aug 2018 10:54:00 +0300 (EEST)
To: michael@ic.uff.br
From: Hannu Kuukkanen <hannu.kuukkanen@elisanet.fi>
Subject: SCAM is coming from your server
Message-ID: <482d78bf-4e11-a159-18a6-5fe46645d68d@elisanet.fi>
Date: Fri, 24 Aug 2018 10:54:23 +0300
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101
 Thunderbird/52.9.1
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Content-Language: en-US
Delivered-To: michael@ic.uff.br

sunnuntai 15. heinäkuuta 2018

Liitepommi sekoiluviestissä

Toisinaan nämä ansaviestit ovat sangen huvittavia ristiriitaisuuksineen.
Liennee tarkoituksena saada syvää hämmennystä aikaan?

Tässä kirjeessä on taatun varma LIITEPOMMI, ei kannata avata liitettä missään tapauksessa.

Ristiriitaisuudet alkavat sähköpostini sulkemisella (otsake). Kirjeessä on venäläinen ID (.ru). Kirje kertoo, että olisin saamassa saatavia tilauksesta (jollaista en ole koskaan toimittanut, eikä minulla ole ollut koskaan mitään tekemistä kyseisen firman kanssa), lisäksi toimiala on laskutusosoitteen e-mailin mukaan "sushibaar" eli ravitsemuspuolella jonka kanssa minulla ei ole mitään tekemistä.
Oletan, että "standingsushibar.com"-e-mail osoite on kapattu spämmäystarkoitukseen.
Kirjeen asioiden sekoilu saattaa johtua spämmirobotin sekoilusta tai spämmerin omasta sekoilusta. Sikäli hyvä, että syvien epäilysten tulisi herätä jokaisella vastaanottajalla.

torstai 15. maaliskuuta 2018

DHL spämmejä jällen liikkeellä

Jos saat DHL:n tai minkä tahansa postipalvelun e-mailin jossa on liite, tarkista miten se on lähetetty.
Tässä tapauksessa, tämä kirje on spämmi ja liite on luultavimmin virus tai muu haittaohjelma. ZIP tiedosto voi sisältää mitä tahansa, myös ohjelman.

Kirje paljastuu spämmiksi tuosta useammalle vastaanottajalle menneestä lähetyksestä "undisclosed recipients", eli siis spämmi. Lähetys näyttää olevan lähetetty DHL:n palvelimelta mutta tuo lähetysosoite ei takaa mitään.

Aikaisempi 10.8.2016 saapunut DHL ansa oli tähän verrattuna kömpelö ja paljastui heti lähettäjän g-mail osoitteesta. http://vaarallinenweb.blogspot.fi/2016/08/dhl-liite-sisaltaa-viruksen.html?view=sidebar