perjantai 11. toukokuuta 2018

STM virus

Alla olevassa "hoono soomi" e-mailissa on verkko-osoite joka päättyy ".stm" tiedostotunnukseen. Tästä tiedototyypistä on verkossa varoituksia. Esimerkiksi sivulla:
https://www.file.net/process/stm.exe.html varoitetaan tiedoston vaarallisuusasteeksi 60% eli EI kannata mennä avaamaan tiedostoa, jollei se ole 100% varmasti luotettavalta taholta saapunut.

Tämä STM tiedosto näyttäisi sijaitsevan BBC:n palvelimella ja on ilmeisesti ihan OK ja on mukana vain hujjarin rekvisiittauutisena jostakin lentokoneonnettomuudesta. Tämä e-mail on kuitenkin "spämmiohjelmalla" lähetetty hyvin usealle vastaanottajalle, eikä sikälikään ole luottamuksesi arvoinen. Kyseessä on tässä tapauksessa ilmeisimmin ID varkaus (henkilötietovarkaus) yritys tai sitten sinulta yritetään saada rahaa tuon olemattoman "miljoonatilin" rahansiirtökuluihin.


.

tiistai 1. toukokuuta 2018

FaceBook Groupeista saapuvan TILAUS-ansan kuvaus

Kiinnostuneille tiedoksi. IS on kertonut artikkelissaan hyvin havainnollisesti mitä tapahtuu jos klikkaat PRISMA-ansan linkkiä. Näitä saapuu mm. jonkin liittymäsi FB-groupin nimissä.

https://www.is.fi/digitoday/art-2000005560765.html

Lopputuloksena on jatkuva maksullinen tilaus palveluun, jota ei ole ja et ole suinkaan ollut tilaamassa ja samalla kirjautumistietojasi saatetaan edelleen väärinkäyttää muissa verkkorikoksissa. Tulos on sama useassa muussakin "tilausansassa", eli ÄLÄ TILAA MITÄÄN sähköpostissa saapuneen mainoksen tuotetta. JOS haluat nimeomaan tuon tuotteen, kirjaudu asianomaisen tuotteen virallisille sivuille, virallisen verkko-osoitteen kautta ja tarkista sieltä oikeat tiedot ja linkit joista todellinen tuotetilaus voidaan sitten tehdä turvallisesti, asiaankuluvasti suojatun verkkokaupan kautta.

Tällaisia vaarallisia tilausansoja on tullut sähköpostissa runsaasti. Tässä blogissa on niitä muutamia esitelty ja lisää on tulossa, koska aina löytyy joku varomaton "höynäytettävä" ja rikos kannattaa.
Houkuttimena saattaa olla muukin kuin "tilaus".

- erilaisia lahjakortteja
- tuotetilauksia
- lehtitilauksia
- arpajaisvoittoja
- pelisivustojen palkintoja
- erilaisten tilien perustamispyyntöjä
- ym. ym.


keskiviikko 18. huhtikuuta 2018

Tyypillinen "LASKU"-huijjausyritys

Saapui mielenkiintoinen LASKU-huijjauskirje (itse lasku on poistettu). Mielenkiintoiseksi sen tekee, että huijjari on selvittänyt a) kuka on yhdistyksemme  puheenjohtaja ja b) kuka rahastonhoitaja? PRH:n kautta sen tietysti saa selville ja muualtakin verkosta jos on runsasta kiinnostusta. Tässä tapauksessa rahastonhoitaja ei maksa laskuja, ja ei olisi tätäkään laskua hyväksynyt ilman perusteellista selvitystä, jota oli tekemässä ja lasku pysähtyi siihen. Kiire on yksi indikaattori, toinen on epämääräisyys ja kolmas; kannattaa katsoa s-postiosoitteita tarkkaan. Mistä kirje oikeasti on kotoisin. Emailin lähdekoodissa näkyy todelliset osoitteet jos päälepäin kaikki näyttää liian oikealta.

MUTTA näitä on ollut kirjeposteissa ja nyt siis myös e-maileina. Tämä e-mail tuli rahastonhoitajalle puheenjohtajan nimellä Puolasta. Näkyy e-mail osoitteen päätteessä.



Ja lahjarahaa pukkaa jälleen Googlestakin

Etelä-Koreasta, ilmaisositteesta saapuu Googlen lahjaviesti ansaliitteineen. Reply olisi menissa "zoho.com" ilmaisositteeseen. Liitteenä on jpg-tiedosto. Jos kirje on mennyt roskaposteihin, sinne tämä kirje kuuluu:
----------------VIESTI---------------

In this month of APRIL, Google Foundation wishes to commend you for being selected as a 
major customer. For more information on how to obtain your grant, kindly view the attached 
file for more details.

NB: This email was sent from a notification email address from the sponsors of Google 
Foundation. If this Notification Email Letter hits your JUNK/SPAM folder, simply 
move the email from your SPAM/JUNK folder to your INBOX for BETTER VIEWING and 
EASY ACCESSIBILITY.

Sincerely,
Jacquelline Fuller
Director Google Foundation
Website: http://google.org
18-04-2018
Powered by Google
-------------------------------
 
ÄLKÄÄ MISSÄÄN TAPAUKSESSA KOSKEKO LIITTEESEEN. Se on ansa kaikissa tapauksissa, vaikka JPG tiedostomuodon ei ole todettu voivan kantaa virusta, se ei todista vielä mitään ja joka tapauksessa se sisältää viestin, joka johtaa edelleen ansaan. Kirjeessä kysellään henkilötietojasi, eli se on tyypillinen ID-kalastus eli henkilötietovarkaus yritys.

FBI paljastaa todellisen karvansa

Sain "muka-sähköpostia" FBI:iltä jossa luvataan jälleen isoja rahoja ($2,500,000.00 US Dollar). Ikäväkseni tuo s-posti saapui ihan muualta. osoitteesta joka kuuluu käännöksen mukaan: "SICREA Meksikolle joka on NISSAN-autojen rahoittaja USA: ssa asuville Meksikolaisille, jotka haluavat ostaa AUTOn perheelleen Meksikossa" ELI siis meksikolaiselle autokaupan rahoittajalle, jonka palvelin on ilmeisesti hakkeroiotu.
ATM kortia taas tarvittaisiin ja varsinkin sen tietoja joita EI MISSÄÄN TAPAUKSESSA tule tällaisen kirjeen perusteella toimittaa yhtään minnekään.

Palutepostikin pitäisi lähettää Yandex palvelun osoitteeseen jonka taustoista kertoo Wikipedia mm. "Yandex N.V. is a multinational corporation specializing in Internet-related services and products. Although most of its assets are in Russia, the company is incorporated in the Netherlands due to irregularities in Russian law. It is the largest technology company in Russia and the largest search engine on the Internet in ..." Venäläiset ja FBI ei kuulosta kovinkaan vakuuttavalta yhdistelmältä - vai mitä tuumaatte - ja luultavasti FBI:llä on varaa käyttää omaa sähköpostipalveluaan? Edellinen "FBI:n" saman lainen e-maili tuli G-mail-osoitteella, että heikoissa kantimissa sielläkin ollaan.

keskiviikko 11. huhtikuuta 2018

Gloria Honkongista? Tuskimpa saat koskaan lehteä

Jälleen lehtitilausansa. Kaksi palvelinta sijaitsee Panamassa ja yksi Honkongissa.
En todellakaan koskisi tällaiseen tarjoukseen. Tässä on kyse jälleen ID varkausyrityksestä tai lehtitilauksesta jonka maksat mutta et saa koskaan. Kuvan alla domannimielvityksiä.


Tuossa "Tilaa ja tutustu" -linkissä on Honkongiin vievä osoite. Lähettäjän domannimi löytyy Panamasta, kuten myös "reply" eli postin vastausosoite. Kaikkien domannimien omistajat on piiloitettu domainrekistereissä ja kaikki nimet ovat peräisin domain-"halpakaupasta".
Honkongilainen osoite on tällä hetkellä 3kk ikäinen, eli sitä ei ole ehditty ilmiantaa spämmirekistereihin tai blokata pois verkosta.

Domain Name: HLOSEND.COM  (Isäntäkone on Honkongissa - nimen omistajasta ei ole tietoa)
   Registry Domain ID: 2217603502_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.namecheap.com
   Registrar URL: http://www.namecheap.com
   Updated Date: 2018-01-23T23:23:20Z
   Creation Date: 2018-01-23T23:23:19Z
   Registry Expiry Date: 2019-01-23T23:23:19Z
   Registrar: NameCheap Inc.
   Registrar IANA ID: 1068
   Registrar Abuse Contact Email: abuse@namecheap.com
   Registrar Abuse Contact Phone: +1.6613102107
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: DNS1.REGISTRAR-SERVERS.COM
   Name Server: DNS2.REGISTRAR-SERVERS.COM
   DNSSEC: unsigned


Reply osoite: CUBSEND.INFO on rekisteröity myös halpiksesta (namecheap) omistajanimet piiloitettu. Hankittu syyskuussa 2017 yhdeksi vuodeksi.

Domain Name: CUBSEND.INFO
Registry Domain ID: D503300000045301887-LRMS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: www.namecheap.com
Updated Date: 2017-11-07T20:30:42Z
Creation Date: 2017-09-07T22:31:17Z
Registry Expiry Date: 2018-09-07T22:31:17Z
Registrar Registration Expiration Date:
Registrar: NameCheap, Inc
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107Registry Admin ID: C208683418-LRMS

Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: 586587f2c2a94645bf1590e72600cbcd.protect@whoisguard.com

Lähettäjän postiosoite ABROSEND.INFO on myös Panamasta ja omistaja tuntematon.
Hankittu samoin syyskuussa 2017 yhdeksi vuodeksi.

omain Name: ABROSEND.INFO
Registry Domain ID: D503300000045275893-LRMS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: www.namecheap.com
Updated Date: 2017-11-05T20:30:50Z
Creation Date: 2017-09-05T21:44:14Z
Registry Expiry Date: 2018-09-05T21:44:14Z
Registrar Registration Expiration Date:
Registrar: NameCheap, Inc
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107

Registry Admin ID: C208599737-LRMS
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: a2d4dfbb786a46b1939ba8c9abdb652c.protect@whoisguard.com
Registry Tech ID: C208599736-LRMS

maanantai 9. huhtikuuta 2018

JOS jonkun FaceBook tili on hakkeroitu, kannattaa käydä lukemassa ohje hakkerin ulosheittämiseksi sivulta: https://www.facebook.com/notes/verkonvaarat-sivuston-tukiryhm%C3%A4/prismaviestien-poisto-ohje/1269274153205088/

Tilin hakkerointi ilmenee spämmiposteina sinun nimissäsi (sinun profiilillasi) eri FaceBook palstoille. Yleensä FaceBook Groupit ovat olleet näiden spämminlevittäjien riesana ja viattomia profiilin omistajia on jouduttu erottamaan groupeista profiilin saastumisen vuoksi.
 

FaceBook Grouppien ylläpiäjien tulee olla tarkkoina uusien jäsenpyyntöjen suhteen. Kannattaa tehdä muutamia turvakysymyksiä, joilla paljastuu, onko kyseessä todellinen profiilin omistaja.

Myös FaceBook kaveriutta tyrkyttäviä "henkilöitä" kannattaa testailla kysymyksin, mikäli profiili näyttää yhtään epäilyttävältä. Paras turva on, että vältät hyväksymästä yhtään tuntematonta kaveria.