Sähköpostitilisi on kaapattu - kiristyskirje

Nyt kiertää sähköpostina kiristyskirje, joka "näyttää tulevan" sinun oman sähköpostitilisi osoitteesta ja siinä väitetään jotakin salasanaa sinun tilisi salasanaksi. Kirjeessä väitetään myös, että koneesi lukitaan 48 tunnin kuluttua jos et maksa lunnaita. Samoin kirje on täynnä muitakin uhkauksia mutta nämä ovat ainoastaan keksittyjä joista osan voit todeta itsekin huijjaukseksi.
Samankaltaisia kiristyskirjeitä tulee nyt vaihtelevin tekstein. Pääviesti on sama. Olen asentanut koneellesi "Rat" (jonkun nimisen) applikaation (ohjelman) jolla olen kaapannut salasanasi ja koneesi jne., maksa lunnaat.

Tämä on HUIJAUSKIRJE. Hävitä kirje ja korkeintaan vaihda tiliesi salasanat. Myös FaceBook ja Twitter ym. sosiaalisen median salasanasi, koska jostakin tuo sinun salasanasi on voitu kaapata aiemman kirjautumisesi yhteydessä.
Useat suljetut sivut vaativat asiakasta kirjautumaan G-mail, Twitter tai FaceBook (jne) tilin tunnuksilla. ÄLÄ kuitenkaan tee koskaan niin, vaan perusta jokaiselle suljetulle sivustolle oma salasana ja tunnus (jokaiselle oma ja erilainen). Tämä on hyvä varotoimenpide tällaisia vastaavia tapauksia vastaan. Myös tärkeimmät salasanasi on näin turvattu. Salasanalista kannattaa piilottaa pois koneesi lähettyviltä todellisen kotimurron varalta.

Tästä kiristyskirjeestä kerrotaan myös sivulla:
https://www.pcrisk.com/removal-guides/13912-hacker-who-cracked-your-email-and-device-email-virus

Tämän kirjeen headerista löytyy rivi:

X-PHP-Originating-Script: 10000:c.php

Tämä PHP scripti on spämmerin käyttämä postitusohjelma jolla hän on näitä "häkkäys"
-viestejään lähetellyt.


 Alla kopio kirjeen sisällöstä. Sähköpostiosoite on muutettu:

----------------------------------------------------------------------

Subject: sinun.sahkopostiosoitteesin@kolumbus.fi has password sejase123. Password must be 
changed

> Hello!
>
> I'm a programmer who cracked your email account and device about half year 
> ago.
> You entered a password on one of the insecure site you visited, and I 
> catched it.
> Your password from sinun.sahkopostiosoite@kolumbus.fi on moment of crack: sejase123
>
> Of course you can will change your password, or already made it.
> But it doesn't matter, my rat software update it every time.
>
> Please don't try to contact me or find me, it is impossible, since I sent 
> you an email from your email account.
>
> Through your e-mail, I uploaded malicious code to your Operation System.
> I saved all of your contacts with friends, colleagues, relatives and a 
> complete history of visits to the Internet resources.
> Also I installed a rat software on your device and long tome spying for 
> you.
>
> You are not my only victim, I usually lock devices and ask for a ransom.
> But I was struck by the sites of intimate content that you very often 
> visit.
>
> I am in shock of your reach fantasies! Wow! I've never seen anything like 
> this!
> I did not even know that SUCH content could be so exciting!
>
> So, when you had fun on intime sites (you know what I mean!)
> I made screenshot with using my program from your camera of yours device.
> After that, I jointed them to the content of the currently viewed site.
>
> Will be funny when I send these photos to your contacts! And if your 
> relatives see it?
> BUT I'm sure you don't want it. I definitely would not want to ...
>
> I will not do this if you pay me a little amount.
> I think $856 is a nice price for it!
>
> I accept only Bitcoins.
> My BTC wallet: 1PL9ewB1y3iC7EyuePDoPxJjwC4CgAvWTo
>
> If you have difficulty with this - Ask Google "how to make a payment on a 
> bitcoin wallet". It's easy.
> After receiving the above amount, all your data will be immediately 
> removed automatically.
> My virus will also will be destroy itself from your operating system.
>
> My Trojan have auto alert, after this email is looked, I will be know it!
>
> You have 2 days (48 hours) for make a payment.
> If this does not happen - all your contacts will get crazy shots with your 
> dirty life!
> And so that you do not obstruct me, your device will be locked (also after 
> 48 hours)
>
> Do not take this frivolously! This is the last warning!
> Various security services or antiviruses won't help you for sure (I have 
> already collected all your data).
>
> Here are the recommendations of a professional:
> Antiviruses do not help against modern malicious code. Just do not enter 
> your passwords on unsafe sites!
>
> I hope you will be prudent.
> Bye.

EU ja linkkivero

TM 18/2018 Sami Rainisto, nosti kolumnissaan esille tärkeän asian. EU:n Tekijänoikeusdirektiivi meni läpi mutta sen seurauksista ei ole toistaiseksi tarkempaa tietoa, koska jokainen maa voi soveltaa direktiiviä omalla tyylillään.

Artikla 11:n ajatus on sikäli merkillinen, että esimerkiksi kaikki Googlen, muiden medioiden sivuille johtavat hakulinkit saattaisivat tulla "maksullisiksi" eli tekijänoikeusmaksuja kerättäisiin jokaisesta hakutuloksesta jonkin julkaisun sivuille. Tämä on perin outoa, koska eihän tälläkään hetkellä ole minkäänlaista estettä medialle, kuin medialle, laittaa maksullista kirjautumista (estettä) omaan aineistoonsa, kuten on paljolti jo tehty. Tässä mennään jotenkin amatöörimisellä tyylillä ja "isovelivalvoo" menttaliteetilla ja jälkijättöisesti suojelemaan kaupallisia sisältöjä jotka jo periaatteessa on suojeltu niin haluttaessa.
Tämän seuraavan linkin päässä on tämä mainittu artikkeli MUTTA, et pääse sitä lukemaan ilman "oikeuksia" joista joudut lehdelle, sen niin halutessa, maksamaan. Tekniikan maailma on, arvatenkin, vain iloinen jos saa näin uusia maksavia tilaajia. Mihin tässä EU:ta taas tarvittiinkaan?

https://tekniikanmaailma.fi/lehti/18b-2018/elakoon-linkkivero/

Höh!

Panamalaista Bittirahaa tarjolla

Bitcoin huijjaus kehnolla suomenkieleellä Panamasta. Minulla ei ole ollut mitään tekemistä bitcoinin kanssa mutta toivossa on ilmeisesti hyvä elää. Jospa osuisi pimeään sohimalla kohteeseen :)

ÄLÄ myöskään kuittaa postia saapuneeksi perille, koska se tarkoittaa, että sinua ei sen koommin jätetä rauhaan tämän huijjausyrityksen jatkotoimilta.

Ikävä sanoa mutta viisainta olisi sulkea koko Panama ulos sähköpostiliikenteestä. Sieltä tunkee nykyään eniten s-postihuijjauskirjeitä mitä mielikuvituksellisemmin tekstein ja vippaskonstein. Alkaa muistuttaa entistä Nigeriaa. Nigeria on jo aika hyvin suodatettu ulos spämmeistä, vaikka aina sieltäkin jotain läpi pääsee kiertoteitä käyttäen.

 

Tämän kirjeen alalaidassa oli vielä pari riviä tekstiä jossa oli "Bitcoin saldo" jollaista minulla siis ei ole lainkaan, sekä tilin vanhenemisaika, jollaista tiliä minulla ei ole lainkaan, sekä vahvistuspyyntö joka linkittyi piiloitettuun liitetiedostoon joka mitä ilmeisimmin on VIRUS tai sen osakomponentti.

Jokaisen domainnimen omistajatieto oli peitetty, eli ketään ei näistä osoitteista tulla tavoittamaan tilille huijjauksesta tai sen yrityksestä.

Linkit johtavat Panamalaisen toimijan koneelle ja posti on lähtöisin toiselta Panamalaiselta koneelta. Pitäisikö nykyaikana sanoa, että kaikki tiet johtavat Panamaan, ainakin näissä huijjauspiireissä. 

Vastaavasta BitCoin ansasta varoitetaan sivulla. Siinä rikoksen yritykseen oli käytetty mandrillapp.com palvelinta:

https://muut.com/i/localbitcoins/fraud:warning-scam-phishing-ema

Pankkien tietoturvapäivitykset ovat ansoja

Minulle sapui Nordean tietoturvapäivitys pyyntö joka ei oikeasti ole tullut Nordeasta, vaikka sähköpostiosoite siltä näyttää. Tuo turvapäivitys-linkki veisi kuuluisalle huijjareiden suosimalle "tietovarkaussivulle jotformeu.com" eli ei missään tapauksessa Nordeaan.
Mitään tietoja ei näihin "turvapäivityskyselyihin" tule antaa.
Tämä kirje on tunnistettavissa  huijjaukseksi jo kehnosta käännöksestä mutta usein huijjauskirje saattaa vaikuttaa myös aivan asialliselta.

Pankkeja ei nämä huijjausyritykset tunnu isommin kiinnostavan.
Pankkien etusivuilla tai piiloitetummissakin paikoissa saattaa olla
varoitus huijjauskirjeistä mutta muuten pankit ovat erittäin passisiivisia,
ilmiantamaan näitä huijjareita. Sain Jotformin kanssa kirjeenvaihdolla
poistettua tämän ID varkaan heidän sivustoiltaan. Ei se iso vaiva ollut.
https://vaarallinenweb.blogspot.com/2018/11/pankkien-paivitykset-ovat-ansoja.html

Alla kirjeen lähdekoodi. Kommenttini suluissa.

---------------------e-mailin lähdekoodi--------------------------

Received: via tmail-2007f.2015-sau for fp6592.200; Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
Received: from fe21.mail.saunalahti.fi (fe21.mail.saunalahti.fi [62.142.5.26])
 by be408.mail.saunalahti.fi (Postfix) with ESMTP id 8D2046038B;
 Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
X-Client-Addr: 162.219.251.219 (alussa spämmisuodattimen hakkerointia)
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
Received: from mets.unisonplatform.com (mail219.mets.unisonplatform.com [162.219.251.219])
(rekisteröity palvelimelle USA:ssa Kirklandin kaupungissa oleva palveln. Muut reksiteritiedot 
on salattu) 

(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
 (No client certificate requested)
 by fe21.mail.saunalahti.fi (Postfix) with ESMTPS id C236A20004;
 Tue, 16 Oct 2018 13:23:40 +0300 (EEST)
Received: from [::1] (port=54362 helo=mets.unisonplatform.com)
 by mets.unisonplatform.com with esmtpa (Exim 4.89_1)
 (envelope-from <asiakaspalvelu@nordea.fi>)  (tämä nordean osoite on 
saatu aikaiseksi seuraavalla metodilla: Kun viesti palautetaan, palautusvastaus 

lähetetään yleensä kirjekuoressa (evelope) lähettäjälle. 

Roskaposti-sivustot ovat oppineet tämän sähköpostin 
ominaisuuden ja voivat käyttää sitä saadakseen virhellisen lähettäjänimen 

kirjeeseensä)

 id 1gCItR-0006vs-OV; Mon, 15 Oct 2018 23:31:49 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="=_3782c37711968b63c65629452622c297"
Date: Tue, 16 Oct 2018 00:31:49 -0600
From: Nordian Verkkopankkia <asiakaspalvelu@nordea.fi> 

(tästä "lähettäjäväärennöksestä" on edellä selostus)

To: undisclosed-recipients:;
Subject: =?UTF-8?Q?--__Hyv=C3=A4_asiakaamme=2C?=
Message-ID: <f6e3e52dac878d00e032e8354c319f0b@nordea.fi>
X-Sender: asiakaspalvelu@nordea.fi (tästä "lähettäjäväärennöksestä"
 on edellä selostus)

User-Agent: Roundcube Webmail/1.3.3
X-AntiAbuse: This header was added to track abuse, please include it 

with any abuse report
X-AntiAbuse: Primary Hostname - mets.unisonplatform.com
X-AntiAbuse: Original Domain - elisanet.fi
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - nordea.fi (selitetty alussa mistä tämä periytyy)
X-Get-Message-Sender-Via: mets.unisonplatform.com: authenticated_id: 
nor@dawnprince.com (Rekisteröity Illinois, USA. Tarkemmat reksiteritiedot salattu)
X-Authenticated-Sender: mets.unisonplatform.com: nor@dawnprince.com

--=_3782c37711968b63c65629452622c297
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8

-- 

------------------KIRJEEN SISÄLTÖ------------------------- 

Hyvä asiakaamme,

Verkkopankissa tietoturvapäivitysten vuoksi verkkopalvelujen käyttäjien

on hyväksyttävä päivitys ja päivittää yhteystiedot ajantasalle. 

 Päivitä tietosi ja tee tietoturvapäivitys tästä  (linkki poistettu vaarallisena) 

Prosessi järjestelmän ja tietojen päivittämiseksi on tehty

mahdollisimman helpoksi ja sujuvaksi. 

Käsittelemme rekistereissämme kaikkien asiakkaidemme tietoja samojen käsittely- ja tietoturvaperiaatteiden mukaisesti. 

Kaikkien asiakkaidemme tiedot ovat esimerkiksi pankkisalaisuuden,

vakuutussalaisuuden tai vastaavan salassapitovelvoitteen alaisia tietoja riippumatta siitä, onko kyse henkilö- vai yritysasiakkaasta.

Tietojen luovuttaminen on mahdollista vain asiakkaan antaman suostumuksen tai lain perusteella. 

Ilman päivitystä pankkipalveluita voidaan joutua rajoittamaan.

Rajoitukset perustuvat 01.01.2018 voimaan tulleeseen uuteen rahanpesulakiin. 

Rajoitukset koskevat maksukortteja ja verkkopankkia tai muuta tilin käyttöä.

Terveisin 

Asiakaspalvelu 

Nordian Verkkopankkia

  

Links:
------
[1] https://form.jotformeu.com/82881057654364
--=_3782c37711968b63c65629452622c297

(tämä linkki vie tietokalastuslomakkeelle jossa kysellään pankkitietosi tai 
"ikäänkuin" pyydetään kirjautumaan tilillesi. Kirjautumisen yhteydessä tunnuksesi 
kopioidaan rikolliseen käyttöön) 

VIRUS kuvatiedostoissa?

Kun näet konellasi - e-mail-viestin liittenä laatamanasi tämän kuvan, on koneesi jo mahdollisesti saastunut. (tämä kuva tässä julkaisussa on 100% puhdistettu viruksista).VARO kaikkia liitetiedostoja. Lue tekstiä eteenpäin ymmärtääksesi miksi myös kuvia on syytä varoa.

Olen kerran aikaisemmin kirjoittanut aiheesta, epäileväni: "Voiko kuvatiedosto sisältää viruksen?". Vastaus on KYLLÄ.

Olen saanut lähiaikoinaa muutamia e-maileja jotka ovat sisältäneet liitteen joka on ollut kuva. Nyt viimeksi pääasiassa JPG - kuva. Joskus BMP -kuva. Nämä kirjaimet löytyvät kuvanimen jälkeen viimeisenä pisteen erottamana. Viruksia kantamaan pystyy suuri määrä muitakin kuva ja tiedostomuotoja. Näistä olen maininnut aikaisemmissa kirjoituksissani. 
Näitä liitekuvia ei tule avata turvallisuussyistä Viruskoodi voidaan piiloittaa useampaan kuvaan jotka sittemmin toimivat yhteistyössä, tuhoamalla koneesi tiedostoja, tai saatat varomattomuuksissa ladata verkosta ilmaisohjelman johonkin tarkoitukseesi MUTTA se saattakin olla juuri tuon kuvatiedostossa olevan viruksen laukaiseva komponentti..

Myös liitetiedosto, jonka nimenä on esim. kuva.jpg.exe onkin ohjelma jonka WIndows saattaa "autorun" komennollaan toteuttaa ja tietokoneesi on sen jälkeen saastunut.

Myös on mahdollista, että kuvatiedosto sisältää linkin verkossa olevaan virukseen.

Sen lisäksi, että ei avaa kuvia joiden alkuperää ei tunne, kannattaa estää myös kuvien näkyminen suoraan sähköpostiselaimessasi.

JA vielä tämänkin lisäksi, älä vieraile verkkosivuilla joiden turvallisuudesta ei ole takuuta. E-mailissa ja/tai verkkosivulla olevat linkit saattava ladata tai käynnistää virusohjelman koneellasi.

Näistä ansoista kertoo mm. PC World-lehti, sekä Symatec.
Alla linkit aiheeseen näille sivuilla:

Symatec: https://www.symantec.com/security-center/writeup/2002-030110-3845-99?tabid=2
PC World: https://www.pcworld.com/article/2105408/3/watch-out-for-photos-containing-malware.html

Symatec analysoi Mosquito-viruksen sivuillaan. (Suluissa omia kommenttejani)
Writeup By: Patrick Nolan

Discovered: February 25, 2002 (vanha tekniikka joka vasta hiljan on alkanut yleisrtyä)
Updated: February 13, 2007 11:38:24 AM
Also Known As: Bat/fz, BAT/Cream.A, BAT.Mosq.B (viruksen komponenttien nimiä)
Type: Virus

This virus is actually a two-part file. The first part of the file is a bitmap image, which is displayed if the file has a .bmp extension. The other portion of the file is a BAT script virus, which will execute if the file has a .bat extension, regardless of the .bmp header. (virus jaetaan kahtena eri komponettina = tiedostona)

This virus contains the string "MO§QUITO CREAM II" in a comment statement. (viruksen koodin kommenttirivillä, lukee tuo lainausmerkeissä oleva teksti)

What the virus does depends on its extension when it is run.
If Bat.Mosquito.B.gen is run as a .bmp file
If Bat.Mosquito.B.gen is run as a .bmp (bitmap) file, it displays this image: (jos virus aukeaa ainoastaan kuvamuodossa, näkyy vain kuva)

No other actions are performed if run as a .bmp file.
If Bat.Mosquito.B.gen is run as a .bat file
If Bat.Mosquito.B.gen is run as a .bat (batch) file, it does the following: (jos virus avataa BAT muodossa, se saa aikaan ilkeitä)

Tämän jälkeen tulee lista ilkeistä operaatioista koneellasi. Lue ne Symatcin linkistä, koska on tarpeetonta toistaa niitä tällä sivulla. Oleellista on välttää, tuntemattoman lähettäjän  liitetiedostojen aukaisemista olipa liitetiedosto minkä niminen tahansa.

HUOM! Myös saattaa olla, että spämmeri on varastanut kaverisi sähköpostiosoitteen, joten lue huoella ensin kirjeen teksti joka ilmeisimmin paljastaa onko viesti todellinen vaiko spämmerin keksimä. Myös tyhjiä kirjeita saattaa saapua virusliitteillä varuistettuina.

Olen kirjoittanut aikaisemmin PNG-viruksesta helmikuussa:
https://vaarallinenweb.blogspot.com/2018/02/voiko-png-tiedosto-sisaltaa-viruksen.html

Spämmiä Googlen nimissä

Näitä saapuu erilaisin tekstein jossa olen voittanut sitä sun tätä. Tämän liitteenä on JPG kuvatiedosto jonka tiedetään voivan sisältää osittaista viruskoodia ja kaikissa tapauksissa se on osa huijjausyritystä.
Tässä Blogissa aikaisemmin mm. https://vaarallinenweb.blogspot.com/2018/08/google-palkito-japanista-tai-venajalta.html

-----------------------------e-mail------------------------------------

Dear Google User,

We congratulate you for being selected as a winner on our ongoing promotion, you were selected  due to your active use of our online services, find and read the attached letter for more information about your winning.

Larry Page,

CEO / CO-Founder

GOOGLE INC

----------------------------------------------------------------------

Verkossa tiedetään kertoa, että nämä ovat pääasiassa nigerialaista alkuperää.
Kirjeen lähdekoodista tunnistaa helposti spämmin, koska siinä on kertautunutta tietoa spämmisuodinten hakkeroimiseksi. Tässä alla esimerkki headeri eli kirjeen aloitusrivit lähdekoodissa. kaksoissuluissa olevat kommentit ovat minun:

Received: via tmail-2007f.2015-sau for fp6592.200; 
Tue, 2 Oct 2018 21:18:10 +0300 (EEST)
Received: from fe22.mail.saunalahti.fi (fe22.mail.saunalahti.fi 
[62.142.5.27])
 by be408.mail.saunalahti.fi (Postfix) with ESMTP id 85740601A6
 for <fp6592@be408.mail.saunalahti.fi>; Tue,  
2 Oct 2018 21:18:10 +0300 (EEST)
X-Client-Addr: 62.75.161.166    
((saksalainen palvelin jolta viesti on saapunut))
X-Client-Addr: 62.75.161.166
X-Client-Addr: 62.75.161.166
Received: from vs161166.vserver.de (static-ip-62-75-161-166.
inaddr.ip-pool.com [62.75.161.166]) ((saksalainen palvelin))
 (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
 (No client certificate requested)
 by fe22.mail.saunalahti.fi (Postfix) with ESMTPS id 8C46520006;
 Tue,  2 Oct 2018 21:18:05 +0300 (EEST)
((tästä alkaa suodattimen hakkeriointi))
X-No-Relay: not in my network   
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network 
X-No-Relay: not in my network    ((spämmi-suodatin pettää))
Received: from User (unknown [142.0.38.234])   
((tuntematon USA:sta kotoisin oleva kone))
 (Authenticated sender: info@sander-online.com)   
((kaikki omistajatiedot on piiloitettu))
 by vs161166.vserver.de (Postfix) with ESMTPA id 475A5183CDA; 
((sakasalinen palvelin))
 Tue,  2 Oct 2018 18:26:50 +0200 (CEST)
Reply-To: <jefferydean1960@gmail.com>       
((tämä osoite on ilmaisosoite, joten sen todellisen omistajan 
selvittäminen on hankalaa))
From: "GOOGLE INC"<info@sander-online.com>  
((tämä kirje ei tule Googlelta))
Subject: Official Google Notification       
((ei siis ole Googlen postia))
Date: Tue, 2 Oct 2018 09:26:55 -0700

On mahdollista, että saksalainen verkkokauppa sander-online.de on rekisteröinnyt rinnakkaisdomanin sander-online.com jota se ei käytä ja tämä domain ja postiosoite: info@sander-online.com on hakkeroitu spämmikäyttöön? Näitä GOOGLE spämmejä tulee aivan samanlaisia muistakin lähetysosoitteista.

Viimeisin Google-palkinto sapui Japanista ja reply osoite olisi vienyt Bahamalle. Bahaman osoite oli väärennetty @googleprom-team.com. Kuten arvata saattaa, domainnimen rekisteröijän tiedot oli piiloitettu.Siinä oli PDF-liite joka myös pystyy kantamaan viruksen.