Tänään saapui kaksi hyvin samantapaisella headerilla varustettua ansakirjettä hyvin samantapaisista osoitteista lähetettyinä. Molempien jäljet päättyvät U.S.A:n Cloudflare nimisen yrityksen palvelimelle. Domannimitiedustelulla niiden lähettäjästä tai niiden linkeistä ei saa tietoa. Tämä on erittäin epäilyttävä seikka ja paljastaa lähettäjän rikollisen aikeen. Minkäänlaista yritystä tai muuta organisaatiota ei näiden nimien takaa löydy.
Kirjeiden sisältö on "humpuukia" hiustenkasvatuksesta seksiin eli sikäli ei mitään uutta aihealueilla.
Cloudflare vaikuttaisi olevan suosittu nimipalveluntarjoaja verkkorikollisten keskuudessa.
Domannimen ylläpito on mahdollista kenelle tahansa. Cloudflaren koneilta löytyy ilmaista palvelintilaa konnille. Edesvastuutonta toimintaa, koska sivujen perustajia ja käyttäjiä ei näytetä tietävän, tai niiden toiminnan laillisuutta ei valvo kukaan.
Myös domannimien kauppa on kokenut valtavan inflaation. Domannimen voi valita lähes rajattomasta määrästä eri toimialueista rakennettuja "koodeja" jotka maksavat alimmillaan 7.99 USD / vuosi. Kuka tahansa pystyy hankkimaan domannimen, tai jopa kymmeniä, rikolliseen käyttöön. Niiden rekisteröinti ja plokkaaminen ulos verkosta on rikolliselle lähes riskitöntä ja joka tapauksessa, hyvin pienin tappioin. Tomintaa pyöritetään myös varasteuilla henkilötiedoilla. JUURI SIKSI mitään verkkolomakkeita ei tule täyttää, ellei ole 100% varma ttiedon kerääjän palvelinosoitteen turvallisuudesta ja laillisuudesta. Henkilöätietolain suojasta ei ole minkäänlaista hyötyä, esim. panamalaisella palvelimella toimivan yrityksen tiedonkeruun suhteen.
Näitä lähettäjäosoitteita kannattaa kerätä spämmisuotimiin.
.icu tunnusosa viitta yleisesti "intensive care unit" (tehohoitoyksikkö). Lyhenteen käyttöä rikoksen aikomuksessa, voisi pitää äärettömän moraalittomana.
-------------------------DOMANNIMITIEDUSTELU----------------------
Domain name: glowunit.icu
% whois.dnslytics.com
% Whois information not available. Possible reasons:
% 1)Whois server temporarily unavailable.
% 2)Access denied by whois server.
% The following information is based on the Domain Name System (DNS)
Domain name: glowunit.icu
Status: registered
Domain nameservers:
ali.ns.cloudflare.com
nick.ns.cloudflare.com
--------------------------------------------------------------------------------------
SAMA TULOS TOISESSAKIN NIMESSÄ
Domain name: growskin.icu
% whois.dnslytics.com
% Whois information not available. Possible reasons:
% 1)Whois server temporarily unavailable.
% 2)Access denied by whois server.
% The following information is based on the Domain Name System (DNS)
Domain name: growskin.icu
Status: registered
Domain nameservers:
ali.ns.cloudflare.com
nick.ns.cloudflare.com
lauantai 2. helmikuuta 2019
torstai 31. tammikuuta 2019
Microsoftin palkinto on POMMI
Yleensä jos jokin taho kertoo, että olet voittanut, tai sinulle on tulossa perintörahoja, tai sinulle aijotaan lahjoittaa suuri summa rahaa, nämä 99,99% ovat huijjauskirjeitä ja varsinkin jos niissä on liitetiedosto, se tarkoittaa yleensä virusta. Näitä "palkinto"-kirjeitä satelee.
Esim. tämä on huijjauskirje jonka liitteenä on virus, tai muu haittaohjelma. ÄLÄ koske liitteeseen.
---------------------------------KIRJE---------------------------------
Lähettäjä ei ole Microsoft vaan mahdollisesti taiwanilainen yliopisto: wdchen@phy.ntnu.edu.tw
Vain maatunnus osoittaa varmaa sijaintia, "edu" saattaa merkitä yliopiston palvelinta.
Vastausosoite veisi jällen ihan muualle kuin lähettäjän luokse:
Reply-To: mccourt.derrick@yandex.com
Yandex on venäläinen toimija joka vaikuttaa laajalti entisten neuvostoliittolaisten valtioiden alueella ja muualla itä-suunnassa. "Russia · Ukraine · Belarus · Kazakhstan · Uzbekistan · Turkey". En tiedä, mutta uskon, että Yandex toimii vastaavalla tavoin sähköpostitilien kanssa kuten Google, eli ne ovat ilmaisia, joten luottamusta tällainen ei herätä.
Liittenä on:
"Microsoft 1st Category Winner!!!.pdf"
PDF tiedostoon on mahdollista liittää virus, joten ei ole mitään syytä myöskään koskea tähän liitteeseen.
----------------------------JA SEURAAVA HUIJJAUSKIRJE---------------------------
Tässä kalastellaan henkilötietoja. Lähettäjä EI ole Microsoft vann kirje tulee Koreasta ja vastaus e-mail menisi samalle herra Derrikille kuin edellisen kirjeen. Eli venälaiselle palvelimelle: "mccourt.derrick@yandex.com" MS pomon Derrecin oikea osoite päättyisi: @microsoft.com
--------------------------------------------------------------------------------------------------
---------------------------------------------------------------------
Esim. tämä on huijjauskirje jonka liitteenä on virus, tai muu haittaohjelma. ÄLÄ koske liitteeseen.
---------------------------------KIRJE---------------------------------
Dear Microsoft Winner. Attached to this email is your winning notification for being an active user of Microsoft. Microsoft General Manager, Public/Online Sector U.K
---------------------------------------------------Kirjeen analyysi kiinnostuneille:
Lähettäjä ei ole Microsoft vaan mahdollisesti taiwanilainen yliopisto: wdchen@phy.ntnu.edu.tw
Vain maatunnus osoittaa varmaa sijaintia, "edu" saattaa merkitä yliopiston palvelinta.
Vastausosoite veisi jällen ihan muualle kuin lähettäjän luokse:
Reply-To: mccourt.derrick@yandex.com
Yandex on venäläinen toimija joka vaikuttaa laajalti entisten neuvostoliittolaisten valtioiden alueella ja muualla itä-suunnassa. "Russia · Ukraine · Belarus · Kazakhstan · Uzbekistan · Turkey". En tiedä, mutta uskon, että Yandex toimii vastaavalla tavoin sähköpostitilien kanssa kuten Google, eli ne ovat ilmaisia, joten luottamusta tällainen ei herätä.
Liittenä on:
"Microsoft 1st Category Winner!!!.pdf"
PDF tiedostoon on mahdollista liittää virus, joten ei ole mitään syytä myöskään koskea tähän liitteeseen.
----------------------------JA SEURAAVA HUIJJAUSKIRJE---------------------------
Tässä kalastellaan henkilötietoja. Lähettäjä EI ole Microsoft vann kirje tulee Koreasta ja vastaus e-mail menisi samalle herra Derrikille kuin edellisen kirjeen. Eli venälaiselle palvelimelle: "mccourt.derrick@yandex.com" MS pomon Derrecin oikea osoite päättyisi: @microsoft.com
--------------------------------------------------------------------------------------------------
MICROSOFT® CORPORATION
Cardinal Place
80-100 Victoria Street
London,SW1E 5JL
United Kingdom
MICROSOFT OFFICIAL NOTIFICATION LETTER
It is obvious that this notification will come to you as a surprise
but please find time to read it carefully as we congratulate you over
your email success in the following official promotion awards of the
Microsoft Email Electronic Cash Sweepstakes 2019 organized by Microsoft
Corporation, in conjunction with the foundation for the promotion of
software products, (F.S.P) Award Numbers: GB/MS/963/2019 & Email
Bonus Numbers: MSLP-54399,in the Microsoft Corporation UK, Head Quarters
London United Kingdom, where your email address emerged as one of the
online winning emails in the 1st category and therefore attracted a cash
award of ?845,000.00 GBP (Eight Hundred and Forty Five Thousand Great
British Pounds Sterling),Our Microsoft 2019 winners are arranged into
Three categories with different winning prizes accordingly in each
category. They are arranged in this format below:
CATEGORY OF MICROSOFT 2019 WINNERS
1st ?845,000.00 GBP
2nd ?589,007.00 GBP
3rd ?429,130.00 GBP
Microsoft Verification Requirements
(1). Full Name:
(2). Address:
(3). Nationality/Gender:
(4). Age:
(5). Occupation:
(6). Phone:
(7). Country:
(8). Winning Email Address:
Derrick McCourt
General Manager, Public/Online Sector U.K
Private E-mail: mccourtderrickmsc@dr.com
Signed,
Michel Van Der Bel
Managing Director,
Microsoft® UK and Vice President, Microsoft International
---------------------------------------------------------------------
maanantai 28. tammikuuta 2019
Apple FaceTime bugi mahdollistaa salakuuntelun ja katselun laitteilla
Verkossa kiertää varoituksia Apple iPhone kännyn omistajille. FaceTime ohjelmistossa on virhe joka mahdollistaa puhelimen kuuntelun, vaikka vastaanottaja ei edes vastaa puheluun.
Samoin laitteen kamera pystytään käynnistämään ilman käyttäjän toimenpiteitä. Tämä mahdollistaa salakuvauksen.
Apple työskentelee korjatakseen virheen. Kannattaa seurata Applen sivuilta, milloin korjattu ohjelma on päivitettävissä. Sitä ennen suosittelen poistamaan ohjelman laitteesta.
Apple ilmoitti tänään 30.1.2019, että se sulkee FaceTime palvelun siksi aikaa kun ohjelmavirhettä korjataan. Älkää ihmetelkö jos palvelu ei pelaa vähään aikaan.
Luotettavin uutislähde lienee BBC - linkki alla.
https://www.bbc.com/news/technology-47037846
Applen tuki:
https://support.apple.com/
Samoin laitteen kamera pystytään käynnistämään ilman käyttäjän toimenpiteitä. Tämä mahdollistaa salakuvauksen.
Apple työskentelee korjatakseen virheen. Kannattaa seurata Applen sivuilta, milloin korjattu ohjelma on päivitettävissä. Sitä ennen suosittelen poistamaan ohjelman laitteesta.
Apple ilmoitti tänään 30.1.2019, että se sulkee FaceTime palvelun siksi aikaa kun ohjelmavirhettä korjataan. Älkää ihmetelkö jos palvelu ei pelaa vähään aikaan.
Luotettavin uutislähde lienee BBC - linkki alla.
https://www.bbc.com/news/technology-47037846
Applen tuki:
https://support.apple.com/
Seuraava pommikirje tuli heti perässä samalta hakkerilta
Myös tämän kirjeen liite on todemman näköisesti "pommi" eli virus tai muu haittaohjelma.
En vaivautunut edes selvittämään asiaa sen kummemmin. Tilanne on sen verran ilmeinen.
Puhutaan "odottelevasta maksusta" jolla houkutellaan avaamaan liite. 100% pommikirje joka on saapunut samalta "poistetulta" palvelimelta "murphioncvs.com", kuin edellinen mutta peilattu "Diversified Computer Supplies" firman postiosoitteen kautta.
----------------------------------KIRJE------------------------------------------------------
En vaivautunut edes selvittämään asiaa sen kummemmin. Tilanne on sen verran ilmeinen.
Puhutaan "odottelevasta maksusta" jolla houkutellaan avaamaan liite. 100% pommikirje joka on saapunut samalta "poistetulta" palvelimelta "murphioncvs.com", kuin edellinen mutta peilattu "Diversified Computer Supplies" firman postiosoitteen kautta.
----------------------------------KIRJE------------------------------------------------------
Subject: OUTSTANDING PAYMENT To: Recipients <sales@trendsupplies.com> From: "Trend Supplies Co., Ltd" <sales@trendsupplies.com>
Good morning,
I sincerely apologize for the late response.
We are ready to remit payment of due invoices.
Kindly confirm account details in attached invoice as requested by our financial department.
Best Regards.
Ming Yao
Sales Manager.
(mukana oli liite "PI.doc" jonka tuhosin.)
-------------------------------------------------------------------------------------------------
I sincerely apologize for the late response.
We are ready to remit payment of due invoices.
Kindly confirm account details in attached invoice as requested by our financial department.
Best Regards.
Ming Yao
Sales Manager.
(mukana oli liite "PI.doc" jonka tuhosin.)
-------------------------------------------------------------------------------------------------
Natalia Openland tactical-firmasta "lähetti" liite-viruksen?
Tämän allaolevan kirjeen mukana saapui liitteenä DOC - tiedosto jossa oli haittaohjelma. Virustorjuntani poisti liitteen mutta julkaisen tämän tiedotteen varoitukseksi niille, joilla ei ole yhtä tehokasta virustorjuntaa.
Asiallisenkaan näköisen firman linkkeihin (tai minkään kirjeen liitetiedostoihin) ei tule koskea, mikäli ei ole 100% varma liitetiedoston alkuperästä.
Tämäkin firma löytyy ja domannimitiedustelu osoittaa sen olevan asiallisen yrityksen, kuten firman verkkosivutkin osoittavat MUTTA, tämä kirje ei olekaan lähetetty tästä firmasta, vaan sen on lähettänyt verkkorikollinen joka on liittänyt sen liitteeksi DOC tiedostoviruksen. Kirje on saapunut "server.murphioncvs.com" palvelimen kautta ja sen lähettäjäksi on "peilattu" italialaisen "openland tactical.com" domannimi. "murphioncvs.com" domannimeä ei enää ole onneksi rekisterissä lähettelemässä pommikirjeitä.
Jos jonkin mainoskirjeen tuote kiinnostaa, mene verkon kautta firman omille sivuille (ei kirjeen linkeistä) ja tutustu siellä tuotteisiin. Google haun kauttakin on turvallisempaa, kuin suoraan e-mail linkeistä.Selainten turvaohjelmat saattavat varoittaa joistakin sivuita ja varoitus kannattaa ottaa vakavasti.
Asiallisenkaan näköisen firman linkkeihin (tai minkään kirjeen liitetiedostoihin) ei tule koskea, mikäli ei ole 100% varma liitetiedoston alkuperästä.
Tämäkin firma löytyy ja domannimitiedustelu osoittaa sen olevan asiallisen yrityksen, kuten firman verkkosivutkin osoittavat MUTTA, tämä kirje ei olekaan lähetetty tästä firmasta, vaan sen on lähettänyt verkkorikollinen joka on liittänyt sen liitteeksi DOC tiedostoviruksen. Kirje on saapunut "server.murphioncvs.com" palvelimen kautta ja sen lähettäjäksi on "peilattu" italialaisen "openland tactical.com" domannimi. "murphioncvs.com" domannimeä ei enää ole onneksi rekisterissä lähettelemässä pommikirjeitä.
Jos jonkin mainoskirjeen tuote kiinnostaa, mene verkon kautta firman omille sivuille (ei kirjeen linkeistä) ja tutustu siellä tuotteisiin. Google haun kauttakin on turvallisempaa, kuin suoraan e-mail linkeistä.Selainten turvaohjelmat saattavat varoittaa joistakin sivuita ja varoitus kannattaa ottaa vakavasti.
-----------------------------KIRJE-------------------------------------
Otsake:
NEW ORDER TRACKSUITS model PREMIUM / 2T SPORT Lähettäjä: Natalia
Hello,
hereby to place a new URGENT order for 25 pcs of the suit as samples,
5pcs for each size. Attached you can find the picture of the exact model.
We need to send this samples to our client in order to take their measurements and let us have the exact division for each size.
We inform you that the hole order is for 1170pcs, as soon as the size identification will be done.
Looking forward to your reply.
Many thanks
Best regards
Natalia Vitoroi
Openland Tactical S.r.l.
Via Barcis 1/E
33170 Pordenone ( PN ) – Italy
P.IVA / VAT Number 01804490934
Tel. +39 0434 551292
Le informazioni contenute in questo messaggio sono riservate e confidenziali ed è vietata la diffusione in qualunque modo eseguita. Qualora Lei non fosse la persona a cui il presente messaggio è destinato, La invitiamo ad eliminarlo e a non leggerlo, dandocene gentilmente comunicazione. Rif. D.L. 196/2003
This e-mail (including attachments) is intended only for the recipient(s) named above. It may contain confidential or privileged information and should not be read, copied or otherwise used by any other person. If you are not the named recipient, please contact us and delete the e-mail from your system. Rif. D.L. 196/2003.
---------------------------------------------------------------------------------
sunnuntai 27. tammikuuta 2019
Prisma-lahjakorttihuijjaus iskee jälleen
Siitä on aikaa kun näitä kierteli. Silloin FaceBookin kautta. Nyt kun tämä toimija on estetty FB:ssä, hän lähettelee samoja lahjakorttikirjeitä e-maileina "postinhinnat.com" domainista Arizonasta. Kirje on kuitenkin lähtenyt Saksasta sillä lähetys on kiertänyt sakasalisen palvelimen kautta: eximiussystem.com. Osoite on voitu ottaa lähettäjäkäyttöön vaikkapa itse kirjoittamalla se lähettäjäosoitteeksi. Myös ns. osoitteen peilaamista käytetään luotettavan lähettäjäosoitteen saamiseksi kirjeeseen.
Linkki vie "postihinnat.com" palvelimelle, joten se on, joka tapauksessa, hakkeroitu konnan käyttöön.
"postihinnat.com" domannimi on perustettu jo vuonna 2012. Sen taustatoimija on hämärän peitossa, lukuunottamatta osoitetta ja puhelinnumeroa. "Privat" viittaa yksityishenkilöön, eli ei olisi sen mukaan rekisteröity yritys.
Tämän kirjeen hämäys perustuu illuusioon, että posti ei ole "pystynyt" tavoittamaan SINUA ja tarvitsee mahdollisesti henkilötietojasi. Luultavimmin urkitaan myös tilinumerosi, eli kyseessä on ID (henkilötieto) varkausyritys eli suomeksi sanottuna ANSA ja rikoksen yritys. Rahaa ei ole tulossa, vaan menossa.
Tämä kirje on mennyt postituslistalla, eli vastaanottajia on Suomessa runsaasti.
----------------------------KIRJE----------------------------------------------
----------------------------DOMANNIMIKYSELY------------------------------
Domain Name: POSTIHINNAT.COM
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC
Registrant Street: DomainsByProxy.com
Registrant Street: 14455 N. Hayden Road
Registrant City: Scottsdale
Registrant State/Province: Arizona
Registrant Postal Code: 85260
Registrant Country: US
Domain Name: eximiussystem.com (osoite johtaa Saksaan internetpalveluntarjoajan koneelle)
Registrar URL: https://joker.com
Updated Date: 2018-11-25T21:03:55Z
Creation Date: 2017-10-29T21:12:42Z
Registrar: CSL Computer Service Langenbach GmbH d/b/a joker.com
Registrar IANA ID: 113
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Registrant Name: Host Master
Registrant Organization: THT Innovators International Ltd.
Registrant Street: c/o IDPS International Domain Privacy Services GmbH
Registrant Street: Hansaallee 191
Registrant City: Duesseldorf
Registrant Postal Code: 40549
Registrant Country: DE
Linkki vie "postihinnat.com" palvelimelle, joten se on, joka tapauksessa, hakkeroitu konnan käyttöön.
"postihinnat.com" domannimi on perustettu jo vuonna 2012. Sen taustatoimija on hämärän peitossa, lukuunottamatta osoitetta ja puhelinnumeroa. "Privat" viittaa yksityishenkilöön, eli ei olisi sen mukaan rekisteröity yritys.
Tämän kirjeen hämäys perustuu illuusioon, että posti ei ole "pystynyt" tavoittamaan SINUA ja tarvitsee mahdollisesti henkilötietojasi. Luultavimmin urkitaan myös tilinumerosi, eli kyseessä on ID (henkilötieto) varkausyritys eli suomeksi sanottuna ANSA ja rikoksen yritys. Rahaa ei ole tulossa, vaan menossa.
Tämä kirje on mennyt postituslistalla, eli vastaanottajia on Suomessa runsaasti.
----------------------------KIRJE----------------------------------------------
Hei ,
Huomasimme, että 6500 euron arvoinen
Prisma-lahjakorttisi vanhenee pian!
Prisma-lahjakorttisi vanhenee pian!
Lahjakortin voi käyttää mihin tahansa haluamaasi tuotteeseen.
Sinulla on 48 tuntia aikaa vahvistaa, oletko kiinnostunut käyttämään lahjakorttisi.
KLIKKAA TÄSTÄ!
----------------------------DOMANNIMIKYSELY------------------------------
Domain Name: POSTIHINNAT.COM
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC
Registrant Street: DomainsByProxy.com
Registrant Street: 14455 N. Hayden Road
Registrant City: Scottsdale
Registrant State/Province: Arizona
Registrant Postal Code: 85260
Registrant Country: US
Domain Name: eximiussystem.com (osoite johtaa Saksaan internetpalveluntarjoajan koneelle)
Registrar URL: https://joker.com
Updated Date: 2018-11-25T21:03:55Z
Creation Date: 2017-10-29T21:12:42Z
Registrar: CSL Computer Service Langenbach GmbH d/b/a joker.com
Registrar IANA ID: 113
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Registrant Name: Host Master
Registrant Organization: THT Innovators International Ltd.
Registrant Street: c/o IDPS International Domain Privacy Services GmbH
Registrant Street: Hansaallee 191
Registrant City: Duesseldorf
Registrant Postal Code: 40549
Registrant Country: DE
torstai 24. tammikuuta 2019
MUISTUTUS Pankkitietopäivitykset ovat ansoja
Olen kirjoittanut useampaankin kertaan varoituksia pankkien nimissä tulevista "tietopäivitys" -ansoista. Yksikään pankki EI pyydä minkäänlaisia sopimuksen päivittämiseksi tarvittavia tietoja e-mail-kirjeellä. Kirjaudu oman pankkisi virallisille sivuille jos epäilet, että pankkisuhteesi tarvitsee tietopäivitystä.
Analysoin kuitenkin myös tämän kirjeen, koska se vaikutti olevan hieman mutkikkaampi ansa, kuin edelliset. Runsaasti rehellisten toimijoiden osoitteita oli käytetty mitä missäkin hämäystarkoituksessa MUTTA lopullinen konnakin sieltä löytyi kaivelemalla.
Sama kirje tuli jälkeenpäin kehtena eri versiona ja eri linkkiosotteella (procema.org ja naviteklogistics.com), eli konnan ansapalvelin on liikkuva maali. Tämä tarkoittaa hakkeroituja, tai "tekaistuja" spämmi-palvelimia.
Tämä kirje ei ole saapunut Säästöpankista. Peilattuna hämäysosoitteena on käyetty osoitetta: "xn--sstpankki-v2aa2t.fi" joka kuuluu Saastopankkiliitolle. Linkit tästä e-mailista vievät osoitteeseen: logis-concept.eu Tällainen IT-alan firma on olemassa Saksassa myös ilman väliviivaa osoitteessa. Tämän (väliviivalla) domannimen tie vie palvelimen juurikansioon jossa on vain muutama tiedosto. Juurikansio on suojaamaton, joka on verkkovastaavan anteeksiantamatonta huolimattomuutta tai sitten konna istuu itse tässä firmassa (epätodennäköistä).
Seuraava - "autentikoitu lähettäjä" - alkaakin jo kertoa kirjeen todellisen luonteen: MYOBSERVICES.COM on halpisrekisterissä ja viittaa australialaiselle palvelimelle. Muuta omistajatietoa ei domannimirekisteritä löydy, eli BINGO. Tässä osoitteessa asuu, tai vierailee ainakin, tämän tarinan konna.
Myös headerissa oleva palvelimen osoitteen hakkerointia osoittava toistuva konetunnus, kertoo, että kirje on spämmiä.
------------------------------------------KIRJE-------------------------------------------
Aihe: yhteystietojen päivity
Lähettäjä: Säästöpankki (en ole edes Säästöpankin asiakas)
HUIJJARIN OSOITE
Domain Name: MYOBSERVICES.COM
Registry Domain ID: 1836860602_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com (tämä on halpis-domannimiä kauppaava yritys)
Registrar URL: http://www.namecheap.com
Updated Date: 2018-11-29T12:14:25Z
Creation Date: 2013-11-26T00:49:11Z
Registry Expiry Date: 2019-11-26T00:49:11Z
Registrar: NameCheap, Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.HEROFASTHOST.COM
Name Server: NS2.HEROFASTHOST.COM
DNSSEC: unsigned
PALVELIN JOLTA KIRJE LÄHETETTIIN
kuuluu tukkukauppa-alan yrittäjälle joka on ilmeisen huonosti suojannut palvelimensa ja hakkeri on päässyt sen kautta postittamaan spämmikirjeensä.
herofasthost.com
Registrant Name: Dail Wagner
Registrant Organization: Local Business Services Pty Ltd
Registrant Street: PO Box 1347
Registrant City: OXLEY
Registrant State/Province: Qld
Registrant Postal Code: 4075
Registrant Country: AU (Austraalia)
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: removed email address
(LINKKIOSOITE jonka palvelin on ilmeisesti hakkeroitu ja jossa hakkerin ansasofta piilottelee)
Domain: logis-concept.eu
Registrant:
NOT DISCLOSED!
Visit www.eurid.eu for webbased whois.
Technical:
Organisation: Cronon AG Professional IT-Services
Language: de
Email:
Registrar:
Name: STRATO AG
Website: www.strato.eu
Name servers:
docks20.rzone.de
shades05.rzone.de
(Crononin virallinen verkkosivu on Saksassa:)
https://donar.messe.de/exhibitor/cebit/2018/P479412/cronon-ag-company-brochure-eng-441328.pdf
(TOISEN LINKKIPALVELIMEN osoite vaikuttaa myös luvattomasti hakkeroidulta)
Domain Name: PROCEMA.ORG
Registry Domain ID: D402200000006678754-LROR
Registrar: OVH
Registrar IANA ID: 433
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
(viittaa Ranskaan)
Registrant Organization: ECO3
Registrant State/Province:
Registrant Country: BE (BELGIA)
Name Server: DNS101.OVH.NET
Name Server: NS101.OVH.NET
DNSSEC: unsigned
SÄÄSTÖPANKKILIITON osoite jota käyettiin peilaamalla - EI siis ole todellinen lähettäjä.
xn--sstpankki-v2aa2t.fi
Holder
name...............: Saastopankkiliitto osk
register number....: 0117011-6
address............: Teollisuuskatu 33
address............: 00510
address............: Helsinki
country............: Finland
phone..............: 09548050
holder email.......:
Analysoin kuitenkin myös tämän kirjeen, koska se vaikutti olevan hieman mutkikkaampi ansa, kuin edelliset. Runsaasti rehellisten toimijoiden osoitteita oli käytetty mitä missäkin hämäystarkoituksessa MUTTA lopullinen konnakin sieltä löytyi kaivelemalla.
Sama kirje tuli jälkeenpäin kehtena eri versiona ja eri linkkiosotteella (procema.org ja naviteklogistics.com), eli konnan ansapalvelin on liikkuva maali. Tämä tarkoittaa hakkeroituja, tai "tekaistuja" spämmi-palvelimia.
Tämä kirje ei ole saapunut Säästöpankista. Peilattuna hämäysosoitteena on käyetty osoitetta: "xn--sstpankki-v2aa2t.fi" joka kuuluu Saastopankkiliitolle. Linkit tästä e-mailista vievät osoitteeseen: logis-concept.eu Tällainen IT-alan firma on olemassa Saksassa myös ilman väliviivaa osoitteessa. Tämän (väliviivalla) domannimen tie vie palvelimen juurikansioon jossa on vain muutama tiedosto. Juurikansio on suojaamaton, joka on verkkovastaavan anteeksiantamatonta huolimattomuutta tai sitten konna istuu itse tässä firmassa (epätodennäköistä).
Seuraava - "autentikoitu lähettäjä" - alkaakin jo kertoa kirjeen todellisen luonteen: MYOBSERVICES.COM on halpisrekisterissä ja viittaa australialaiselle palvelimelle. Muuta omistajatietoa ei domannimirekisteritä löydy, eli BINGO. Tässä osoitteessa asuu, tai vierailee ainakin, tämän tarinan konna.
Myös headerissa oleva palvelimen osoitteen hakkerointia osoittava toistuva konetunnus, kertoo, että kirje on spämmiä.
------------------------------------------KIRJE-------------------------------------------
Aihe: yhteystietojen päivity
Lähettäjä: Säästöpankki (en ole edes Säästöpankin asiakas)
Hei!
Hyvä asiakaamme,
Verkkopankin käyttäjiä koskeva PSD2-direktiivin astui voimaan 13.01.2019 tästä johtuen verkkopalveluiden käyttäjien
on tehtävä järjestelmäpäivitys ja päivittää yhteystiedot ajantasalle.
Päivitä tietosi ja tehkää järjestelmäpäivitys tästä
Prosessi järjestelmän ja tietojen päivittämiseksi on tehty
mahdollisimman helpoksi ja sujuvaksi.
Käsittelemme rekistereissämme kaikkien asiakkaidemme tietoja samojen käsittely- ja tietoturvaperiaatteiden mukaisesti.
Kaikkien asiakkaidemme tiedot ovat esimerkiksi pankkisalaisuuden,
vakuutussalaisuuden tai vastaavan salassapitovelvoitteen alaisia
tietoja riippumatta siitä, onko kyse henkilö- vai yritysasiakkaasta.
Tietojen luovuttaminen on mahdollista vain asiakkaan antaman suostumuksen tai lain perusteella.
Ilman päivitystä pankkipalveluita voidaan joutua rajoittamaan.
Päivitykset perustuvat 13.01.2019 voimaan tulleeseen PSD2-direktiiviin
Rajoitukset koskevat maksukortteja ja verkkopankkia tai muuta tilin käyttöä.
Terveisin
Asiakaspalvelu
Säästöpankki
---------------------------------------------------------------------------------
HUIJJARIN OSOITE
Domain Name: MYOBSERVICES.COM
Registry Domain ID: 1836860602_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com (tämä on halpis-domannimiä kauppaava yritys)
Registrar URL: http://www.namecheap.com
Updated Date: 2018-11-29T12:14:25Z
Creation Date: 2013-11-26T00:49:11Z
Registry Expiry Date: 2019-11-26T00:49:11Z
Registrar: NameCheap, Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.HEROFASTHOST.COM
Name Server: NS2.HEROFASTHOST.COM
DNSSEC: unsigned
PALVELIN JOLTA KIRJE LÄHETETTIIN
kuuluu tukkukauppa-alan yrittäjälle joka on ilmeisen huonosti suojannut palvelimensa ja hakkeri on päässyt sen kautta postittamaan spämmikirjeensä.
herofasthost.com
Registrant Name: Dail Wagner
Registrant Organization: Local Business Services Pty Ltd
Registrant Street: PO Box 1347
Registrant City: OXLEY
Registrant State/Province: Qld
Registrant Postal Code: 4075
Registrant Country: AU (Austraalia)
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: removed email address
(LINKKIOSOITE jonka palvelin on ilmeisesti hakkeroitu ja jossa hakkerin ansasofta piilottelee)
Domain: logis-concept.eu
Registrant:
NOT DISCLOSED!
Visit www.eurid.eu for webbased whois.
Technical:
Organisation: Cronon AG Professional IT-Services
Language: de
Email:
Registrar:
Name: STRATO AG
Website: www.strato.eu
Name servers:
docks20.rzone.de
shades05.rzone.de
(Crononin virallinen verkkosivu on Saksassa:)
https://donar.messe.de/exhibitor/cebit/2018/P479412/cronon-ag-company-brochure-eng-441328.pdf
(TOISEN LINKKIPALVELIMEN osoite vaikuttaa myös luvattomasti hakkeroidulta)
Domain Name: PROCEMA.ORG
Registry Domain ID: D402200000006678754-LROR
Registrar: OVH
Registrar IANA ID: 433
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Registrant Organization: ECO3
Registrant State/Province:
Registrant Country: BE (BELGIA)
Name Server: DNS101.OVH.NET
Name Server: NS101.OVH.NET
DNSSEC: unsigned
SÄÄSTÖPANKKILIITON osoite jota käyettiin peilaamalla - EI siis ole todellinen lähettäjä.
xn--sstpankki-v2aa2t.fi
Holder
name...............: Saastopankkiliitto osk
register number....: 0117011-6
address............: Teollisuuskatu 33
address............: 00510
address............: Helsinki
country............: Finland
phone..............: 09548050
holder email.......:
Tilaa:
Blogitekstit (Atom)