perjantai 30. maaliskuuta 2018

BIT.LY linkit ovat yleensä vaarallisia

Älkää missään nimessä koskeko e-maileihin joissa linkki vie "bit.ly" osoitteeseen. Se tarkoittaa, että määränpää on tuntematon. Ketään ei sieltä vastuuseen saada ja linkin päästä voi koneellesi tulla aivan mitä tahansa. Yleensä virus tai muu haittaohjelma. Kukaan rehellinen toimija ei tarvitse linkin kohteen salausta. Lähetysosoite ja reply-osoite saattaa olla tekaistu tai varastettu, vaikka se "näyttäisi" luotettavalta.

tiistai 20. maaliskuuta 2018

K-Marketko huijjaisi sinua?

Tuskimpa K-Marketilla on mitään tekemistä tämän postin kanssa, paitsi, että se varoittaa näistä huijjausposteista sivuillaan.
https://www.k-ruoka.fi/k-kaupassa/varoitus-huijauskilpailusta


Roskaposti on lähetetty jälleen onmicrosoft.com osoitteesta ja linkki vie vanhalle tutulle "cloudfront.net" "huijjauspalvelimelle". Ihmettelen, ettei sitä saada suljettua? Tosin nämä spämmit eivät ehkä tule sieltä, vaan vievät sinne.

Venäjänkielinen palaute

Venäjältä löytyy näköjään robotteja jotka osaavat täyttää palautelomakkeita. Ja miks' ei osaisi.
Vastaavaa puppua ne tuottavat myös keskustelupalstoille.
Tässä eräältä sivustoltani saapunut venäjänkielinen palaute jonka kyrilliset kirjaimet ovat muuntuneet koodiksi. Sinänsä SE ei ole ihmeellistä, koska sähköpostiselaimeni ei tue kyrillisiä kiejaimia. Linkatut osoitteet sen sijaan ovat ihmeellisiä.

E-mailosoite on venäjältä, kuten kirje MUTTA linkatut osoitteet vievät ihan muualle: XN - kansallistunnus vie "Atlantic Ocean Area" eli Atlantin pikkusaarille. Näitä eksoottisia palvelimia käyttävät useat huijjarit. Eikä luultavasti maksa paljon, eikä koira perään hauku jos asiakas ei olekaan tyytyväinen saamaansa "palveluun". Domainrekisteritietoja ei nimittäin löydy Verkkodomain ilmoitetaan "ei aktiiviseksi", joka ilmeisesti tarkoittaa, että se on suljettu, tai domain ei ole enää ylimalkaankaan käytössä. Kaikkien onneksi..

Löysin selväkielisen version eräältä keskustelupalstalat joten käännätin sen uteliaisuuttani selaimessa:

"Jokaisessa huoneistossa on neljä tasoa. [url = https: //xn--80aieocueqr8g.xn--p1ai] Mytishchin kaksikerroksiset asunnot uusissa rakennuksissa [/ url] Tässä vaiheessa tutkitaan värilaskuja, yksityiskohtaista materiaalien valintaa (tapetit, huonekalut, kivi, laatta, katot ja niin edelleen. [url = https: //xn--80aieocueqr8g.xn--p1ai] Zhk tervetuloa ostaa asunto [/ url]
Lähettäjä Mytishipet / 13.2.2018 "



maanantai 19. maaliskuuta 2018

BitCoin huijjaus

Herra Pala Denizin yritys yrittää saada minulta 250 euroa. Hän väittää sijoittaneensa BitCoin tililleni 7.800 euroa. Enpä tuota usko, koska minulla ei ole tuollaista tiliä, enkä aijo sellaista edes hankkia. Tämä on tyypillinen "sijoitusansa". 
Herra Pala Deniz käyttää  tämän huijjausyrityksensä levitykseen Camal.Adneanen  Yahoon ilmais-e-maililla rekisteröityä e-mail-osoitetta. Pala Denizin allekirjoittamasta reksiteristä löytyy maakoodi joka osoittaa Marokkoon ja puhelinnumero USA:n. Miksi rehellinen yrittäjä tekisi niin?

Linkit vievät mynumerology.us - domainin palvelimelle joka on myös Camal.Adneanen sähköpostilla mutta Pala Denizin nimellä reksityeröity, kuten se domannimi joka on hänen e-osoitteessaan. mynumerology sijaitsisi reksiteritietojen mukaan Saksassa mutta puhelinnumero osoittaa USA:n? Investointeja domannimiin on kuitenkin suoritettu joten hän ilmeisesti aikoo rikastua nopeasti ja sen jälkeen sulkea firman, koska näillä eväillä palvelimet plokataan hyvin nopeasti (hit and run business) ja poliisi alkaa kolkutella ovilla (jos nyt mitään ovia koskaan edes löytyy).
BitCoin sijoituksia EI saa tehdä, kuin erittäin luotettavien toimijoiden kanssa.

En kehoita ketään sijoittamaan senttiäkään tällä pohjalla toimivaan yritykseen.
Kuvan alla on domannimikyselyn tulokset, jotka tukevat huijjaritaustaa sekavilla osoitetiedoillaan.


DOMAINKYSELYN TULOKSET:

mynumerology.us

Registry Admin ID: CC3CD5F507A554B40A6F80D5EDE0BF8BD-NSR
Registrant Name: pala deniz

Registrant Organization:
Registrant Street: rue 3 n 12 malabata  (kadunnimi on Marokossa)
Registrant Street:
Registrant Street:
Registrant City: rabat (Marokossa)
Registrant State/Province: Alabama (USA:ssa tietääkseni. Voisko Marokossa olla myös?)
Registrant Postal Code: 70000
Registrant Country: MA (Marokko)
Registrant Phone: removed phone number (tämä on tiedossa ja viittaa USA:n)
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: removed email address (tämä on tiedossa = Camal.Adneanen Yahoon ilmaisosoite)
Registrant Application Purpose: P1
Registrant Nexus Category: C11

1thebest4you.us

Registry Registrant ID: CB25A3CBB371E46D3A03BE58F1B5F63F0-NSR
Registrant Name: pala deniz
Registrant Organization:
Registrant Street: rue 3 n 12 malabata (kadunnimi on Marokossa vaikka maakoodi vaihtuu?)
Registrant Street:
Registrant Street:
Registrant City: casa (en löydä Saksasta?)
Registrant State/Province: NA (?)
Registrant Postal Code: 70000
Registrant Country: DE (Saksa)
Registrant Phone: removed phone number (tämä on tiedossa - sama kuin yllä)
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: removed email address (tämä on tiedossa - sama kuin yllä)
Registrant Application Purpose: P1
Registrant Nexus Category: C11

namecheap.com joka on näiden nimien rekisteröintitaho, on heikko maantieteessä, tai sitten se ei ihan ole hereillä mitä rekisteröidään ja minne. Sielä näytetään rekisteröivän muitakin epämääräisiä domannimiä.
Domainista varoitetaan: : https://muut.com/i/localbitcoins/fraud:warning-scam-phishing-ema


Onko PayPalin epl.paypal-communication.com luotettava?

PayPalilta tulee silloin tällöin viestejä (joista olen aiemminkin huomautellut). Ihan asiallisella lähettäjäosoitteella MUTTA senhän voi aina väärentää. JA kaikki linkit vievät domannimen: epl.paypal-communication.com - osoitteeseen joka näyttää aivan spämmerien laatimalta.
Tämä on aiheuttanut verkossa runsaasti keskustelua ja epäilyjä.

Vaikka epäily on aina terveellistä Domannimi ja sen linkit ovat kuitenkin luotettavia.
Domannimitiedustelu kertoo kuka omistaa tuon nimen ja se on PayPal.
Kannatta kuitenkin aina mennä rahalaitoksen tai maksuvälinetoimijan sivuille, heidän oman virallisen verkkolinkkinsä kautta. Se on pieni vaiva mutta suuri turva.

E-mailosoitteet ja puhelinnumerot jäävät pois nykyään aina näistä rekisteritiedoista (niitä ei voi kopioida mutta ne ovat näkyvissä AO reksiterisivulla kyllä).

Registry Registrant ID:
Registrant Name: Domain Administrator
Registrant Organization: PayPal Inc.
Registrant Street: 2211 North First Street,
Registrant City: San Jose
Registrant State/Province: CA
Registrant Postal Code: 95131
Registrant Country: US
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax: removed phone number
Registrant Fax Ext:
Registrant Email: removed email address
Registry Admin ID:

Venäläistä FaceBook rulettia

Sain tällaisen sähköpostin jo aikaa sitten mutta hyvänä esimerkkinä, yhdestä huijjausmuodosta FaceBookissa, tämä käy. En ole koskaan ollut missään tekemisissä tämän "profiilin" sivun tai sen omistajan kanssa ja JOS profiili olisi ollut "suomalainen henkilö" (ikäänkuin) olisi ansa saattanut olla toimivampikin. Spämmeri ei siis ollut kovinkaan nokkela tässä tapauksessa. JA missään tapauksessa ei yhteenkään linkkiin tule koskea.  Ei edes noihin tykkäys yms. buttoneihin.


torstai 15. maaliskuuta 2018

DHL spämmejä jällen liikkeellä

Jos saat DHL:n tai minkä tahansa postipalvelun e-mailin jossa on liite, tarkista miten se on lähetetty.
Tässä tapauksessa, tämä kirje on spämmi ja liite on luultavimmin virus tai muu haittaohjelma. ZIP tiedosto voi sisältää mitä tahansa, myös ohjelman.

Kirje paljastuu spämmiksi tuosta useammalle vastaanottajalle menneestä lähetyksestä "undisclosed recipients", eli siis spämmi. Lähetys näyttää olevan lähetetty DHL:n palvelimelta mutta tuo lähetysosoite ei takaa mitään.



Aikaisempi 10.8.2016 saapunut DHL ansa oli tähän verrattuna kömpelö ja paljastui heti lähettäjän g-mail osoitteesta. http://vaarallinenweb.blogspot.fi/2016/08/dhl-liite-sisaltaa-viruksen.html?view=sidebar

lauantai 3. maaliskuuta 2018

Miten estän roskapostin pysyvästä osoitteesta

Kaikki onmicrosoft.com lähettämät sähköpostit joissa on pysyvä osoitteen muu osa, on helppo suodatta pois sähköpostiohjelmassa.
Tämä coudfront.net:n spämmäyskampanja on vertaansa vailla laajuudessaan. Aihe vaihtelee mutta sylttytehdas on aina sama ja vastaanottajalle mahdollisesti tuotetut vahingot myös.
Koska lähettäjän osoite säilyy samana, roskaposti on helppo ohjata roskikseen (tai deletoida) sähköpostiselaimessa.

Esimerkiksi ThunderBird selaimessa (kaikissa selaimissa on vastaavat asetukset - suomennetut tekstit saattavat olla erilaiset mutta merkitys säilyy):
1) Valitse valikosta "Tools" (työkalut) seuraava kohta
2) "Message Filters" (Sähköpostisuotimet)
3) Nimeä suodatin vaikkapa "CloudFront"
4) valitse painike "Match all of the following" (kohdistuu kaikkeen seuraavaan)
5) valitse "Getting New Mail" (saapuva sähköposti)
6) valitse "From"
7) valitse "Is" (on)
8) kopioi kenttään tuo haitallinen lähettäjän sähköpostiosoite. Tässä tapauksessa:
quiz@specialsurveys.onmicrosoft.com
9) Valitse "Move Message to" (siirrä viesti)
10) "Junk" (roskakori) tai edellisestä kohdasta "Delete" (poista)

Voit testata heti suodattimesi toiminnan. SUlje viimeisin ikkuna ja klikkaa "Message Filters" (Viestisuotimet) ikkunassa "Run" (Aja tai käynnistä).


Tämä kirje tulee spämmirobotilta ja sen linkkeihin EI SAA KOSKEA.