keskiviikko 28. helmikuuta 2018

Cloudfront.net palvelimesta lisätietoa

cloudfront.net palvelimelle viittaavista linkeistä olen varoittanut useammankin kerran.
Amazon on sulkenut palvelimen mutta näitä roskaposteja he eivät voi lopettaa joten ne on vain heitettävä roskikseen, tai pyrittävä suodattamaan roskaposteiksi. Spämmeri vaihtaa varmasti jossain vaiheessa linkkipalvelinta ja SIKSI muistakaa, että tämän tyyppisen mainonnan kanssa ei koskaa ole liian varovainen. "onmicrosoft.com" lähettäjäosoite on aina kyseenalainen.
Peliriippuvaiset ovat yksi erittäin suosittu kohde tällaisille hyökkäyksille. Karamba.com on verkkokasino MUTTA jos tuo "cloudfront.net" olisi ollut tominnassa, "Karamba.com" linkki ei suinkaan olisi vienyt sinua Karambaan, vaan ihan muualle kynittäväksi.



Tämän kirjeen lähettänyt robotti ei ole onnistunut asettamaan nimeäni kohtaan "[FirstName]" kuten sen olisi ilmeisimmin pitänyt. Eli huonosti menee hakkerillakin. Virukset eivät ole tästä maailmasta, eli totta puhuu tämä spämmi-anonssi.

Käyttääkö FBI G-mailia?


Tuskimpa käyttää ainakaan tässä tapauksessa. Muutenhan kaikki on sille mahdollista ;)

Tämä on jälleen puhdas ID-varkausyritys.
Varastetun lähettäjän domainnimen omistaa: Maxrotec is the only supplier of wireless gantry robot in Korea. MAXROTEC. Company Name : Maxrotec Co., Ltd.
Sivusto on myös luokiteltu verkossa vaaralliseksi. Luultavasti juuri siksi, että se on hakkeroitu.


Jos postin aihe on "Re", sen olisi pitänyt lähteä ensin sinulta ja asiallinen toimija kirjoittaa myös todellisen aiheen kirjeeseensä, eikä jätä kenttää tyhjäksi.



maanantai 26. helmikuuta 2018

Voiko PNG tiedosto sisältää viruksen?

Onko PNG-virus mahdollinen? Sitä on pohdittu eri verkkosivuilla ja ainakin yhdessä tapauksessa sen on todettu voivan sisältää viruksen. Lue koko sivu loppuun ajatuksella.

Sain tänään tyhjän sähköpostin jonka liitteenä oli PNG - tiedosto. PNG on kuvatiedosto jonka ei pitäisi olla vaarallinen. Kuva oli kilotavuiltaan pieni, eli ei pitäisi voida sisältää koodia. MUTTA.
ÄLÄ sinäkään missään tapauksessa luota onneesi virusten kanssa, vaan heitä tällaiset epämääräiset kirjeet roskiin ja tyhjennä roskis.



Minun kirjeeni saapui venäjältä ja se pyydettiin kierrättäämään epämääräiseen g-mail osoitteeseen. En tietenkään tehnyt niin.

"Brasilialaisen" PNG-viruksen toimintatavasta kertoo venäläinen verkkosivu: https://securelist.com/png-embedded-malicious-payload-hidden-in-a-png-file/74297/

Vapaa käännös SecureListin (Kaspersky Lab) tekstistä joka on sinänsä täyttä asiaa:

Brasilian virushyökkäykset kehittyvät päivittäin, yhä monimutkaisemmiksi ja tehokkaammiksi. On syytä olla varovainen tuntemattomista lähteistä peräisin olevien sähköpostien suhteen, erityisesti on varottava niiden linkkejä ja liitteitä sisältäviä tiedostoja.

Koska PNG-tiedostoon upotettuja haittaohjelmia ei voida suorittaa ilman sitä suorittavaa ohjelmaa, sitä ei voida käyttää tärkeänä saastuttajakomponenttina joka toimitetaan postilaatikkoosi, joten viruksen toimeenpaneva ohjelma on asennettava erikseen (siitä syystä kenties tuo kiertokirje jonka paluupostissa saattaisi saapua tuo toinen viruskomponentti, tai sitten ihan muuta kautta).

Tämä tekniikka mahdollistaa rikollisten piilottaman binaarikoodin tiedoston sisälle, joka näyttää olevan PNG-kuva. Se myös tekee virusanalyysimenetelmistä vaikeampia ja ohittaa automaattisen prosessin, haittaohjelmien havaitsemiseksi isäntäpalvelimilla.

-----------------loppusanat--------------------

Mielenkiintoista tässä myös on, että tämä Kaspersky Labin sivu tulee Googlauksessa ensimmäisenä ja Kaspersky Lab toimittaa virustorjuntaohjelmia jotka kuulemma estävät tämän PNG hyökkäyksen.
En uskaltaisi ladata tuota Kasperskyn ohjelmaa koneelleni ihan vaan syvistä ennakkoluulosyistä. Sehän saattaa olla juuri SE viruksen laukaiseva ohjelmakomponentti?
Verkossa kaikki on mahdollista :)

Verkkolehti WIRED kertoo tarinaa Kasperskysta
. Näissä asioissa kannattaa luottaa omaan terveeseen järkeen, ei propagandaan: https://www.wired.com/story/kaspersky-russia-antivirus/


lauantai 24. helmikuuta 2018

Finnairin lahjakortti on henkilötietokalastus

Tämä on vanhan spämmerilähteen tuottama ID kalastusansa. Henkilötietosi urkitaan ja käytetään rikolliseen toimintaan. Lähettäjänä on jälleen "onmicrosoft.com" domain josta on verkkosivuilla varoituksia. "specialsurveys" on hämäystarkoituksissa luotu alidomain ja linkit vievät vanhalle tutulle huijaaripalvelimelle "cloudfront.net". Tällainen e-mail on syytä siirtää tai jättää roskikseen siihen koskematta. EI edes tuota postituskieltolinkkiä tule koskea. Se on se vihoviimeisin ansa näissä roskaposteissa.


keskiviikko 21. helmikuuta 2018

E-mailtilin sulku on muodissa

Spämmiansoissa on jäleen menossa e-maili-tilin sulkubuumihyökkäys. Tänään saapui roskapostiin kolme uhkausta e-mailtilin sulkemiseksi sellaisilta toimijoilta joilla ei ole mitään tekemistä minun e-mail-tilieni kanssa. Tämä kuvassa olevan kirjeen liitteeseen EI TULE koskea. Se on varmasti haittaohjelma. ZIP päätteiset tiedostot ovat pakattua dataa joka voi sisältää nimenomaan - esimerkiksi haittaohjelman tai viruksen. Jatka lukemista kuvan alapuolelta -->



Noissa parissa, listassa alemmassa olevassa postissa oli linkki "Secure and update your account" joka tarkoittaa (vapaasti käännettynä) suomeksi, että "sinulle on tulossa harmeja" kun klikkaat tästä.
Näistä e-mailin sulku-spämmeistä varoitetaan verkossa useammallakin sivulla: http://www.hoax-slayer.net/de-activation-request-phishing-scam-email/ 
Tuolla linkitetyllä sivulla kerrotaan, että linkin takaa aukeaa sivu jossa kysytään e-mailtunnuksesi ja jos erehdyt ne antamaan ne otetaan käyttöön rikolliseen toimintaan sinun nimissäsi. Mm. lähetetää näitä spämmiposteja.


tiistai 20. helmikuuta 2018

Melkein kaikki "cloudfront.net" linkatut postit ovat huijjauksia

Kun viet kohdistimen linkin päälle (ÄLÄ KLIKKAA), näet alapalkissa sen osoitteen, jonne linkki on menossa. Tässä ja näissä vastaavissä spämmeissä, linkissä on loppuosana cloudfront.net. Kaikki posti jossa on linkkejä tälle palvelimelle ovat vaarallisia riippumatta itse kirjeen sisällöstä. Sisältö vaihtelee kaikille elämän alueille, koska spämmeri haluaa huijjata mahdollisimman monia ihmisä ja ilmeisesti on onnistunut, koska spämmejä satelee hyvin tiuhaan. MYÖS huomionarvoista on, että lähetyksen käytetään "onmicrosoft.com" osoitetta jota spämmerit suosivat sen lähettäjätietojen  piilottavien ominaisuuksien vuoksi.



maanantai 19. helmikuuta 2018

Amazon lahjakortti on vaarallinen ansa

Tämä e-mail kuuluu samaan sarjaan kuin edelliset huijjausviestit. Taustalla on sama postittaja. Lähdekoodiin on tässäkin tapauksessa jäänyt vanhan Asus-huijjauspostin rippeet piiloon. ÄLÄ KLIKKAA mihinkään linkkiin. "onmicrosoft.com" on huijjareiden yleisesti käyttämä spämmialusta, josta olen varoittanut jo aikasemmisaakin teksteissä. Linkit vievät "cloudfront.net" domainiin joka on verkossa laajasti todettu VIRUSTA levittäväksi.


perjantai 16. helmikuuta 2018

Verkkosivuansa GOOGLE-haussa

Kun etsit Googlesta jollakin hakutermillä, saat tulosten joukossa merkillisellä otsakkeella (vaihteleva mutta järjetön) muutamia hakutuloksia joissa on osoitteena aina sama domannimi, (reptilhsalgs.tk) joka domannimirekisterin mukaan olisi luotettava MUTTA domainissa tapahtuu uudelleenohjaus palvelimelle jota "ei verkossa ole". SAAVUT ANSAAN.


Kun saavut sivulle näet alla olevan ilmoituksen - ÄLÄ KLIKKAA linkkejä, et ole voittamassa mitään, tai edes osallistumassa kyselyyn, vaan tämä on ANSA.


kuuluu vingahtava äänimerkki ja sinulle pomppaa alla oleva ikkuna. ÄLÄ KOSKE SIIHENKÄÄN, vaan sulje koko selainsivu jo tässä vaiheessa. TÄMÄ ON ANSA..



JOS onnistut peruuttamaan sivulta, saat mahdollisesti seuraavan ilmoituksen.

ÄLÄ kuitenkaan luota onneesi, sillä tämä on hyvin nokkela ANSA joka on kaivanut Googlesta mielenkiintosi kohteen hakutuloksena, kopioinut sen ansatekstiksi ja pommittaa nyt sinua turkimustyyppisillä ansasivuilla tai kuten tuo alla oleva, jollakin palkinnolla. ÄLÄ klikkaa buttonia vaan sulje selainsivu tai koko selain.



Kehoitan sulkemaan sivun tai selaimen ja tekemään uudesta avatusta selaiikkunasta  uuden haun JA VAROMAAN klikkaamasta tätä verkko-osoitetta  (reptilhsalgs.tk)  hakutuloksissa uudellen.

Edelleenlinkityksen domannimen tarkistus antaa tuloksen joka kertoo, että tällaista domannimeä ei ole löydettävissä verkossa mutta siihen voidaan linkittää asiakas verkosta. Se on siis pelkkä ANSA.
Olen ilmoittanut ansastaa Googlelle joten saattaa olla, settä se saadaan plokattua pois jossain vaiheessa. Harvinaisempi hakutermi tuo näitä hakuja ja yleisimmissä termeissä tulokset jäävät hakujen häntäpäähän.


torstai 15. helmikuuta 2018

Dream dates - on ansakirje

Tämä noudattaa edellisten ansapostien kaavaa väripalkkeineen. Aiheet vaihtelevat ympäri eri elämänalueet mutta tarkoitus on aina sama. HUIJJAUS.
Vastaava deittiansa oli edellinen: http://vaarallinenweb.blogspot.fi/2018/02/ala-mene-deitti-lankaan.html


JOS kirje oli roskapostissasi, se on sen oikea paikka.

Älä koske linnkeihin. Tässä on selvitys kahden, sähköpostissa olleen linkin domainnimitiedoista:

Tämä dommainnimi viittaa Romanialaiseen omistukseen
troglodyte00.com 
Tämä lähettäjän domannimi on poistettu käytöstä.
realonlinedates.com

keskiviikko 14. helmikuuta 2018

Melatoniina lompakollesi

Tämä ansaposti kuuluu edellisten joukkoon. Lähdekoodissa oli jälleen Asus-spämmi jäänteenä eli on saman konnan viritelmä. Nyt myydään melatoniinia jota tuskin tulet saamaan muussa kuin koneesi tainnuttavan viruksen muodossa tai sitten henkilötietosi kalastetaan seuraavaan huijjaukseen pankkitilisi tyhjentämiseksi.
Suomalainen lähettäjänimi ei takaa, että posti on Suomesta. Lähettäjänimeksi voi laittaa mitä tahansa. Kirjeen koodissa esiintyvä domannimi: "cmailsmtp1.com":illa on panamalainen omistaja ja domaanimi on peräisin Liettuasta. Samoin koodissa esiintyvä "mailersend.net" on Panamasta.  Domannimet on luokiteltu 57%  ja 47% turvattomaksi eli viittaa sen spämmäyskäyttöön.
Nämä tekstisisällöt on yleensä kaapattu jonkun liikkeen mainoksista joten suomenkieli ei ole tuottanut vaikeuksia.

Lähettäjäosoite "onmicrosoft.com" on Microsoftin palvelu jota käytetään hyvin paljon roskapostitarkoituksiin ja jonka takana voi säilyä "tuntemattomana".  Lue varoitus:  https://www.onlinethreatalerts.com/article/2015/9/22/beware-of-malicious-and-spam-emails-from-onmicrosoft-com-microsoft-office-365/

Tuo mainoksen alalaidassa oleva väripalkki on tunnusomainen näille huijjauksille ja tämän tyyppisiä mainoksia kannattaa varoa tämän toistuvan ulkoasunkin perusteella.


tiistai 13. helmikuuta 2018

Virustarkistettu liite joka on VIRUS

Saapui tällainen portugalin kielinen viesti, sekä PDF liite. En kehoita koskemaan liitteeseen.

 
Esta mensagem foi verificada pelo sistema de antivнrus e
 acredita-se estar livre de perigo.
 

Google kääntäjän tulos: 

Virustentorjuntajärjestelmä on tarkistanut tämän viestin ja
 sen uskotaan olevan vapaa vaarasta.
Liitteen nimi on: "Mega Internationals.pdf"

Heitä kaikki vastaavat kirjeet roskiin vaarallisina. Tuo viesti on spämmerin kirjoittama hämäys.

Epätervellinen terveysposti

Älkää kokeilko tämän e-mailin linkkejä, eikä rasvanpoistoakaan ainakaan tämän toimijan kanssa. Saattaa palaa jotakin muuta siinä sivussa. Linkit ovat kaikki epämääräisiä. "terveysposti.fi" ei vie minnekään. "cloudfront.net" on mediatutkimustoimisto mutta domainnimi on mustalla listalla, palvelin saattaa olla hakkeroitu. Tuo osoite ei toimi tällä hetkellä myöskään. Sen lisäksi viestin lähdekoodissa on (viestissä näkymätön) jäänne vanhemman Asus- spämmipostin sisällöstä. Katso kuvan alla oleva koodi.



TÄMÄ ALLA OLEVA SISÄLTÖ EI KUULU TÄHÄN ILMOITUKSEEN MITENKÄÄN JA ON JÄÄNNE EDELLISESTÄ SPÄMMISTÄ - ELI EI KANNATA KOKEILLA TÄTÄ RASVANPOLTTOA. SAATTAA TIETOKONEELTASI MENNÄ TERVEYS.

En ole koskaan rekisteröitynyt Asus tilin asikkaaksi. Sitäpaitsi teksti on paikoin muutenkin hieman outoa, ollakseen millään muotoa laillinen viesti. Olin tulkinnut sen apämmiksi jo aikanaan kun tuo Asus e-mail saapui.

Dear Friend,
Thank you for registering ASUS Account. In order to verify your e-mail acco=
unt (xxxxx.xxxxx@elisanet.fi) is active, please follow the instructions=
 below:
Click here to complete registration.
If the above link isn't working, please copy and paste below web address to=
 your browser's address bar.
https://account.asus.com/signup_final.aspx?lang=3Den-us&otp=3D3568ac7a-=
63984624
=C2=A9ASUSTeK Computer Inc. All rights reserved.
Congratulations! Your basic information has already been authenticated.
In order to verify that your email address is valid, we have already sent a=
n email to your inbox. Please open the email and click on the link to enabl=
e your ASUS Member Account.
Did you not receive an account verification email?
If you have not received an email to verify your ASUS Member Account, then =
check your inbox according to the following steps.
Once you have completed email verification, we can provide you with the new=
est product information and services. Welcome to ASUS!
Congratulations! You have already completed registration.
Thank you for registering your ASUS Member Account. You can now use the new=
 functions and services on ASUS website. Welcome to ASUS!
Registration complete. I am willing to fill in personal information to help= 
ASUS provide even better service.
Registration complete - Start Now
Access your data anytime, anywhere.
Upgrade your phone=E2=80=99s storage space.
Sharing from a link.
Dear hannu.kuukkanen@elisanet.fi,
Welcome to ASUS! Congrats on getting lifetime 5GB cloud storage space - ASU=
S WebStorage.
To thank you for becoming our new member this month, we have a supersized s=
torage offer just for you! This plan allows a single file upload limit of 5=
 GB, ten times the normal limit, so that you can thoroughly back up your co=
mputer, and share files with your friends more easily.
72-Hour Limited-Time Offer
Coupon code ESALE250B030
1TB $99.99=09/year
1TB $9.49/year
Don't hesitate! Upgrade now! >>
=E2=80=BB New member exclusive offer:
Backup on one PC=E3=80=81Single file upload limit: 5GB=E3=80=81Member limit=
 for group sharing: 5 users=E3=80=81Version history for 30 days=EF=BC=9BEma=
il customer service (Chinese/English/Japanese/German/French/Russian/Korean/=
Spanish)
=E2=80=BB To log in ASUS WebStorage with your ASUS ID, please click here.
Copyright =C2=A9 2018 ASUS Cloud Corporation All rights reserved.
This letter is mailed through auto-mailing system, please do not reply.
ear Friend,
To reset your Asus Account password, click the link below and input this ve=
rification code (A8X3TQ) on the new web page opened.
Please note that this link will be expired 24 hours after this email is sen=
t.
Click here to reset password.
If the above link isn't working, please copy and paste below web address to=
 your browser's address bar.
https://account.asus.com/resetpwd.aspx?otp=3D5e03c57e-63986435
Please don't worry, If you didn't request to reset your password. It's stil=
l secure and no one has been given access to it. Most likely, someone else =
must have mistyped their email address while trying to reset their own pass=
word.
=C2=A9ASUSTeK Computer Inc. All rights reserved.

maanantai 12. helmikuuta 2018

Älä mene tähänkään deitti-lankaan

Deittipalveluiden varjolla tehdään myös ansapostitusta. Jos haluat deittaila, älä ainakaan vastaa tällaisiin kirjeisiin missään tapauksessa. Perusteluita alla.

Minä en ole rekisteröitynyt tällaiseen palveluun koskaan, enkä aijo myöskään koskea noihin linkkeihin. Kehoitan myös muita olemaan varovaisia tällaisten postien kanssa.
Alapuolella on osittainen tulos kirjeestä linkitetyn domannimen domannimikyselystä joka kertoo, että sivustolla ei ole ihan kaikki kohdallaan. Palvelun otsake kyllä näyttää täsmäävän.
Googlenkaan ei tarvitse kaikkea tietää mutta en itse toimisi yrityksen tai yhteisön kanssa, jonka sivuille Googlella ei löydy yhteyttä.
Deittipalveluiden varjolla tapahtuu hyvin paljon hämäräbusinesta, joten näihin kannattaa aina suhtautua varauksella ja käyttää ainoastaan luotettavia toimijoita ja niiden todellisia verkko-osoitteita näihin tarkoituksiin jos/kun tarvetta on.





Valetilaus jossa on liitepommi

Jos PK-yritys (tai mikä tahansa yritys) saa tällasen kirjeen, se on ilmeinen ansa.
Ansasta kertoo jo "undisclosed recipiets" teksti vastaanottajan sähköpostin tilalla. Se on lähetetty spämmilistalla useille onnettomille roskapostin saajille. Sitäpaitsi, minulla ei ole ainuttakaan tuotetta myytävänä verkkosivuillani.

Liittenä oleva Excell tiedosto sisältää mitä varmimmin haittaohjelman. Sitä ei tule avata. Excell sisältää makro-ohjelmia joita voi rakentaa myös toimimaan haittaohjelmina.


torstai 8. helmikuuta 2018

Raha ei saavu koskaan gmaililla

JOS sinulle saapuvassa "pankilta" tulevassa, tai mistä tahansa "kunnioitettavan" yrityksen nimellä saapuvassa sähköpostissa mikä tahansa viestin lähettäjänä tai reply-vastaanottajana on gmail - tili, kyseessä on huijjaus.
Lähettäjän osoite saattaa olla joko anastettu tai posti saattaa tulla hakkeroidulta koneelta mutta vastaanottaja (reply) menee huijjarille. ÄLÄKÄ koske mihinkään linkkeihin tai liitteisiin tällaisessa postissa.

Kirjeen tulopolun voit tarkistaa avaamalla e-mailin lähdekoodi kuvan osoittamalla tavalla (FireFox selain). Lähdekoodista näkee runsaasti tietoa, mistä päin maailmaa kirje on saapunut ja minne mahdolliset linkit olisivat menossa. Tuossa alinna olevassa kuvakaappauksessa koodista, on näkyvissä kaksi välityspalvelinosoitetta USA:sta (ei siis UK:sta lainkaan). Toisen (pacific-for-less.com) omistaa Bizwala niminen yritys joka välittää bittirahaa ja company.com:in (Social Network & Resource Hub for Small Business) omistaa USA:lainen firma. Myös  lähetysosoite: Received: from mail.blockbusters.co.uk on putkifirman osoite UK:ssa. "offering Trading Standards-approved plumbing and drainage services" ja lähettäjän osoite <toto2@toto.company.com> on rekisteröity saman nimisen yrityksen nimiin USA:ssa. Vaikuttaisi siltä, että putkifirman postipalvelin olisi hakkeroitu ja lähettäjän osoite anastettu verkosta.
. Ikäänkuin luotettavien firmojen nimissä toimitaan MUTTA vastausosoite: Reply-To: <anibalm472@gmail.com>, kertoo, että asialla eivät ole kunnialliset firmat, eikä suinkaan pankki, vaan huijjari. Yritysnimien eri toimialat jo sinällään herättävät aiheelisia epäilyksiä.