sunnuntai 31. joulukuuta 2023

VERO - OMAVERO - HUIJAUKSIA LIIKKEELLÄ

Kyberturvallisuuskeskus varoittaa. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-102023

Näin vuoden vaihteen tiimoilla liikkuu erilaisia verotukseen liittyviä huijauksia.

Kännyyn, tai sähköpostiisi saattaa tulla viesti, ikäänkuin "verottajalta". ÄLÄ KOSKAAN mene omavero- tai veroviraston sivuille tällaisen kirjeen tai viestin LINKEISTÄ.

Samoin hakukoneen haussa saattaa ensimmäiseksi nousta rikollisten valmistama "näköissivu", jolta linkit johtavat tunnistautumisansaan.

Turvallisinta on kirjoittaa itse selaimen osoitekenttään vero.fi tai omavero.fi.
Kun tunnistaumissivua osoittava linkki tulee näkyviin, TARKISTA, että linkin osoite päättyy pisteen jälkeen sanalla: ".suomi.fi" EI millään muullla. 

VAROTUS
Rikollisten käytössä on erilaisia osoteversioita muiden muassa "suomi-fi.org","SOUMI.fi" (OjaU vaihtaneet paikkaa), suomifi ja "suomi.com". Myös, jos suomi.fi tai suomi.- tai suomi.fi. sanan jälkeen on muita tunnuksia pisteen erottamana, linkki vie rikollisen valmistamaan ansaan.
Jos erehdyt tunnistaumaan pankkitunnuksillasi rikollisen sivulla, kuoleta pankkitilisi välittömästi.
Pankista saat lisäohjeet, miten menetellä jatkossa. 

Näitä huijauskirjeitä saapuu myös useasta eri osotteesta. Lähettäjänimen paikalla saattaa olla "verovirasto", "veroviranomainen", oma nimesi tai aivan mitä tahansa . Todellinen lähettäjäosoite paljastuu viemällä hiiri lähettäjänimen päälle. Kaikki sähköpostiselaimet eivät näytä todellista lähettäjää, vaan näyttää sen sijaan oman postipalvelun osoitteen. Lähettäjä selviää vasta lähdekoodista:"X-Original-Sender: sejase.sejase@lahettaja.fi". Usein rikollisen kirje on lähetetty ilmaispostiosoitteesta tekaistulla nimellä.

Hyvä kertomus linkkien vaaroista löytyy osoitteesta: https://vaarallinenweb.blogspot.com/2024/01/huijauslinkkien-vaaran-paikat.html?sc=1704197425958#c2743530822824619225

LISÄÄ AIHEESTA LÖYTYY ARTIKKELEISTA:

https://vaarallinenweb.blogspot.com/2023/04/suomifi-huijaus-ala-mene-lankaan.html
https://vaarallinenweb.blogspot.com/2023/06/suomifi-huijausten-sarja.html
https://vaarallinenweb.blogspot.com/2023/12/suomifi-kirjautumistunnusten-kalastelu.html
https://vaarallinenweb.blogspot.com/2023/08/suomifi-huijaukset-jatkuvat.html

MUISTA, ETTET KLIKKAA ROISKAPOSTIEN "UNSUBSCRIBE" LINKKIÄ. SE ON MYÖS VERKKORIKOLLISTEN KIRJEISSÄ ANSA

lauantai 30. joulukuuta 2023

MESE JA HUIJARIT

Messenger viestien roskaposteja. Williamin viesti oli ainut asiallinen, jonka julkaisin tässä Blogissa.
Toinen on tyypillinen "nakuansa" jossa uhri kynitään utelemalla henkilötiedot ja rahat houkutuslinnun kuvalla. Samoin, ja saattoipa olla jopa samalta huijarilta, tuo "Ryhmäseksi" mese. Susannan mesestä olen kirjoittanut jo aikaisemmin. Ystäväni nimeä oli käytetty "lähettäjänä". Näin ei kuitenkaan ole. Lähettäjä on huijari. Kannattaa aina pohtia, "tutuilta saapuneita" viestejä lukiessa, onko teksti asiallista ja todelliselta henkilöltä saapunut viesti. Kuten aikajänteistä näkee, en juurikaan seuraa Mese-viestejäni.

---------------------------------------------VIESTEJÄ---------------------------------------------



TIETOA SPÄMMIEN SUODATUKSESTA

Poimin tämän Williamin unohtuneen kirjeen MESE lootasta.
Jos teillä on kommentteja Blogiteksteihini, kirjoittakaa Blogitekstin jälkeen kommenttina, niin löydän kommenttinne ja pystyn ne liittämään aiheeseen ja nostamaan esille.
Tota Meseä en juurikaan seuraa, koska sinne ei minulle yleensä saavu mitään merkittävää viestiä.

Tekstissä on tärkeää asiaa roskapostin suodattamisesta, joten kannattaa lukea. Alkuperäinen englanninkielinen teksti on konekäännöksen alapuolella. MUISTAKAA, KAIKKI, ETTÄ "UNSUBSCRIBE" linkki vie spämmeissä ansaan ja on lievimmässä tapauksessa rikolliselle vain kuittaus siitä, että sähköpostitilinne on toiminnassa, kuten Willamkin toteaa.

----------------------------------------------VIESTI------------------------------------------------
Meseviesti 26.3.2022 15.04

Hei! VAIDDZED

roskaposti-/malmail-/phishing-harjoitusten pommittamisen jälkeen kuukausia. cc-osoitteita, kävin katsomassa, ketkä olivat syyllisiä ja löysin blogisi Netin ansoja. Siellä oli paljon tuttua tavaraa, mutta yksi asia, jota en huomannut, oli viittaus "jos haluat keskeyttää nämä sähköpostit, napsauta tätä tai kirjoita osoitteeseen:", joka tulee jokaisen ärsyttävän sähköpostin perässä. Annettu katuosoite on mielenkiintoinen: 73 Botley Road, PA20 7FZ,MIDPARK. Tämä on myrkyllinen cocktail, sikäli kuin näen, katuosoitteesta jossain lähellä Oxfordia Etelä-Englannissa (Botley on kylä Oxfordin länsipuolella) ja väärästä postinumerosta, joka on jossain ylhäällä Skotlannissa. En ole varma, mikä MIDPARK on, mutta se VOI olla (todennäköisesti ON) alue, joka sisältyy väärennetyn postinumeron PA20-etuliitteeseen. Kaikki tämä on suurelta osin irrelevanttia, mutta koska kaikki nämä roskapostiviestit sisältävät tämän "Jos haluat kieltäytyä" hölynpölyä ja tämän osoitteen, annan yksinkertaisesti tekstin "body sisältää 73 Botley Road", "body sisältää PA20 7FZ", "body sisältää MIDPARK". " suodattaa Thunderbirdin läpi ja kaikki viestit ohjataan suoraan Deleted-kansioon ja binnataan automaattisesti lähdeosoitteesta riippumatta. ( En tiedä auttaako tämä asiaa - olisi mukavaa estää sähköpostit kokonaan - mutta se on luultavasti parempi vaihtoehto kuin pyytää heitä lopettamaan, mikä vain kertoisi heille, että heillä on "toimiva" sähköpostiosoite. pelata tai myydä. Saatat tietää parempia tapoja pysäyttää ne. Jos on, kerro minulle. Saan useita päivittäin kaikista tavallisista aiheista kroonisesta nivelkivusta nettikasinoihin.

Terveisin William (sukunimi ja osoite on poistettu yksityisyyden suojan vuoksi)
---------------------------------------------------------------------------------------

William kysyy tietäisinkö "parempia keinoja" spämmien ehkäisemiseksi?
Olen kierrättänyt massapostituksina saapuvia spämmikirjeitä "abuse" osoitteisiin, mustille listoille, yrityksille, joiden postioosoitetta on rikollisesti käytetty lähettäjäosoitteena ja tiedoksi eri virustorjuntafirmoille (jos olen havainnut vaarallisia kirjeitä tai vaarallisia lähettäjiä tai vaarallisia linkkiosoitteita). Ongelmana on ollut, että spämmikirje tulee muitta mutkitta postilaatikkooni mutta sen lähettäminen edelleen "abuse" osoitteeseen ei onnistu muutoin kuin rikkomalla jokainen spämmikirjeen linkkiosoite. Palveluntarjoajani Elisanetin suodattimet toimivat sikäli todella merkillisellä tavalla. Toisaalta Blogini toiminnan kannalta on hyvä, että ne saapuvat minulle.
Olen ollut verkossa 1995 asti, joten postiosoitteeni on levinnyt tehokkaasti roskapostittajien keskuuteen. Kun huomasin näin käyneen, aloin ylläpitää tätä Blogia. En ainakaan vielä ole valmis lakkauttamaan nykyisen osoitteeni toimintaa (joka siis lopettaisi lähes kaiken spämmin). Minulla on kolme muuta rinnakkaisostetta, joten niistä voin lukea asiallista postia ilman spämmejä jos haluan.

--------------------------------------ALKUPERÄINEN VIESTI---------------------------------------
William Xxxxxx
26.3.2022 15.04
RE:  VAIDDZED

Hi! After being bombarded for months by spam/malmail/phishing exercises from vaiddzed . cc addresses, I went to look up who the culprits were and I found your blog on Netin ansoja. A lot of familiar stuff there, but one thing I did NOT notice was a reference to the "if you want to suspend these mails, click here or write to:" that comes at the tail of each of these annoying mails. The street address given is interesting: 73 Botley Road, PA20 7FZ,MIDPARK. This is a toxic cocktail, as far as I can see, of a street address somewhere near Oxford in the south of England (Botley is a village just west of Oxford), and a bogus postcode that is somewhere up in Scotland. I'm not sure what MIDPARK is, but it MIGHT be (probably IS) an area included in the PA20 prefix of that faked postcode. All this is largely irrelevant, but since all these spam mails contain this "If you want to opt out" nonsense and this address, I simply run a "body contains 73 Botley Road", "body contains PA20 7FZ", "body contains MIDPARK" filter through Thunderbird and all the mails are directed straight to Deleted and are automatically binned, regardless of the source address. I don't know if this is helping matters - it would be nice to block the mails altogether - but it is probably a better bet than actually asking them to stop, which would only let them know they have a "live" email address to play with or to sell. You may know better ways of stopping them. If so, do let me know. I'm getting several a day, on all the usual subjects from chronic joint pain to online casinos.
Regards, William Xxxxx

perjantai 29. joulukuuta 2023

VAARALLISIA AURINKOLASEJA

Tämän mainoksen linkki on todettu virustorjuntayrityksen sivuilla VAARALLISEKSI.
ÄLÄ klikkaa. Kirje johtaa henkilötietojesi varastamiseen.
Kirjeen lähettäjäosotteelle "ako-misaki.com" ei löydy verkkosivua.
------------------------------------KIRJE------------------------------------------



APPLE MYSTERY BOX PC KONEELLE?

Vaarallinen ansa, vaikka vaikuttaa tökeröltä kielipuoliselta viritelmältä.
Linkkejä on useita. Yksi niistä kattaa koko e-mailin pinnan (kenties taustakuva).

Huijaus paljastuu välittömästi, sillä tässä "Apple osasto" tarjoaa Mystistä Boxia PC koneelle. Todellista mystiikkaa.
Kirje saapuu Singaporesta ja lähettäneen koneen IP osote on mustalla listalla.

Koko e-mailin kattava linkki ON VAARALLINEN virustorjunta sivustojen mukaan.
Pysyäksesi turvassa "To stay secure", ÄLÄ KOSKE kirjeen linkkeihin.
Kuvan alapuolella lisätietoa ansasta. Kirjeessä on kuva mutta kuvalinkkiä en saanut suorana toimimaan. Linkki viittasi kuitenkin pienyrityksille (ja huijareille) tarkoitetulle, "Unbounce - The Landing Page Builder & Platform" verkkosivustolle, josta kuva olisi haettu.

---------------------------------------------KIRJE------------------------------------------


APPLEn keskustelupalsta vastaa kysymykseen tästä kirjeestä (pätee myös PC puolella)

Dec 28, 2023 9:38 AM in response to Xxxxx
Anything offering free stuff is a scam. Or will be more expensive. Or both.
Any messages you didn’t sign up for is spam.
Mark as junk, and move on.
Do not use the unsubscribe links in any spam.
Recognize and avoid phishing messages, phony support calls, and other scams
- Apple Support

KÄÄNNÖS:
28. joulukuuta 2023 9:38 vastauksena Xxxxx
Kaikki, missä tarjotaan ilmaista tavaraa, on huijausta. Tai tulee kalliimmaksi. Tai molemmat.
Kaikki viestit, joihin et kirjautunut, ovat roskapostia.
Merkitse roskaksi ja jatka eteenpäin.
Älä käytä tilauksen peruutuslinkkejä roskapostissa.
Tunnista ja vältä tietojenkalasteluviestit, vääriä tukipuheluita ja muita huijauksia
– Apple-tuki

Kirjeestä löytyy myös useita linkkejä kryptovaluutta-alan yritykseen Binance.com.
"Please be aware of phishing sites and always make sure you are visiting the official Binance.com website when entering sensitive data". (KRYPTOVALUUTTA-alan verkkofirma, joka sanoutuu irti kaiksesta vastuusta. Jos ja kun huijari onnistuu saamaan maksuja verkkovaluutassa, et saa rahojasin mistään takaisin, tai ainkin rahojen takaisinsaaminen ei ole yksinkertaista lainkaan.) 

SEURAAVA HUIJAUSKIRJE SAMASTA OSOTTEESTA MAINOSTAA PELAAMISTA

Kyse on huijarin kalastelusta. Lähetysosoite oli melkein sama kuin edellisessä kirjeessä Sender: nosqrepzlzsy@singnet(.)com.sg. Singaporesta, kuten edellinen.
Tässä tapauksessa kirje oli käytännössä yhtä kuvaa, eikä siitä löytynyt näkyviä linkkiosoitteita.
Kuva on erikseen alimmaisena.

--------------------------------------KIRJE-------------------------------------

Tässä alla kuva, jonka selaimeni esti. Kaivoin kuvan suoralla linkillä, joten sähköpostiosoitettani ei jäänyt huijarille varmisteeksi. Tämä kampanja vaikuttaa vastaavalta, kuin mitä e-mail-spämmisettejä on saapunut aikaisemmin. Mielenkiintoista oli, että kuvasta löytyi linkki "snapchattiin". Mitä tekemistä on pelaamisella ja videokeskustelulla? Samat varoitukset pätevät tähän pelimainokseen, kuin edelliseenkin. ILMAISTA RAHAA EI OLE ja menetät henkilötietosi huijarille.


torstai 28. joulukuuta 2023

LAINAATKO VERKKOHUIJARILTA?

Tämä "Sähköpostilaina" saattaa tulla kalliiksi. Kyseessä on huijari joka kerää henkilö- ja pankkitietosi ja putsaa loputkin rahat tililtäsi.
Linkin osoite on "kierrätetty" toisen osoitteen kautta, joka on merkitty VAARALLISEKSI ja henkilötietokalastelijaksi.

scam-detector.com kertoo linkin osoitteesta:
app.funnel-preview(.)com on alusta, joka on epäilyttävä ottaen huomioon kaikki tässä perusteellisessa katsauksessa analysoidut riskitekijät ja dataluvut.

---------------------------------------KIRJE--------------------------------------



VIRITYS PELUREILLE

Nettipeli vaiko tyypillinen "phishing" eli henkilötietovarkaus.
Tästä lähettäjäosoiteesta ja linkkiosoiteesta on varoitettu, virustorjuntayritysten  sivuilla (Forcepoint ThreatSeeker ja Trustwave), olevan nimenomaan henkilötietovaras. Jos erehdyt antamaan nimesi ja Visakorttitietosi tällaiselle toimijalle, saatat saada erilaisia laskuja eripuolilta maailmaa, ennenkuin ehdit sulkea tilisi ja Visakorttisi.

Netin pelisivustoille ei ole syytä kirjautua, ellei ole 100% varma, että sivusto ei ole huijarin ansa.
Tyypillistä ansalle on tuo "ilmaiskierroksia", jollakin rahallisella arvolla. Kannattaa tehdä muutama verkkohaku, tai jättää klikkailematta sähköpostin linkkejä.

----------------------------------KIRJE-----------------------------------

ilmaispyöräytyksiä nyt


GG.Bet Casino<pizycud@learningmailer(.)com>

Vastaanottaja  hannu.kuukkanen@xxxxxxxxxxxxxx  

Uusi online-kasinosi – aloita nyt 1500 EUR bonuksellasi.

-----------------------------------------------------------------------------

keskiviikko 27. joulukuuta 2023

KIIREELLINEN Kirje vaihtoautoalan firman osoitteesta Venäjältä

Tämä kirje on HUIJAUS!

Kirje on lähetetty italialaisen vaihtoautoalan firman osoitteella. Lähettäjäkoneen IP osoite paikantuu kuitenkin Venäjälle, MARI-VOLGATELECOM nimiseen firmaan. Kun vastaussähköposti on ilmaisosoite "bitzgary632@gmail(.)com" menee kirjeestä loppukin luotettavuus. "Kiire" on myös yksi tunnusmerkki huijaukselle. Toinen on "arvokkaan tiedon" varjeleminen vääriin käsiin joutumiselta. Lähettäjä ei tiedä olisiko osoitteeni käytössä, joten hän yrittää saada aikaan palautteen.

Tällä kirjoittajalla ei ole minkäänlaista yhteyttä minuun, eikä oikeutta käyttää e-mailosoitettani spämmäykseen. Osoitteeni on varastettu spämmikäyttöön. Sama kirje saapui myös osoitteesta: "Gary Bitz<gb@monk-land(.)com>" nimellä Mr. Gary Bitzp.

Tästä huijauksesta on myös tietoa verkossa: https://419scam(.)org/emails/2023-04/14/04146048.670.htm (jos suora linkki ei toimi, kopioi linkki selainkenttään ja poista sulut pisteen ympäriltä).

------------------------------------KIRJE--------------------------------------

From: Mr. Gary Bitz 77

Gb<info@autolabricambi(.)it>

Urgent Attention,

I am Mr. Gary Bitz, I want to make sure that you are the one receiving
this letter before I can reveal any  important information to you, I want
you to verify that your email address is still valid and accessed by you.

As soon as I receive your response, I will proceed and deliver the vital
information to you.

I am taking this precautionary measure to prevent this  important
information from falling into the wrong hands due to how sensitive it is.

Please contact me through this email: bitzgary632@gmail(.)com

Best Regards,

Gary Bitz
bitzgary632@gmail(.)com

-------------------------------------------------------------------------------------
KUVAKAAPPAUS KIRJESTÄ

Tämäntyyppinen roskaposti (huijaus) on nimetty 419 huijauksiksi.

Tässä leike varoitus 419 huijauksia käsittelevältä verkkosivulta:

(KÄÄNNÖS)
"- Mitä tahansa teetkin, älä koskaan lähetä rahaa, riippumatta siitä, mistä syystä sitä sinulle luvattaisiin.
- Älä ole ahne, käytä maalaisjärkeäsi.
- Älä kiirehdi. Miksi kiire? 419 huijarit asettavat määräajan, jonka jälkeen odottamaton (ja kuvitteellinen) omaisuus menetetään ikuisesti. Sinulla ei saisi olla aikaa tutkia ja miettiä asiaa."


VUODENVAIHTEEN PANKKIHUIJAUKSIA ON SYYTÄ VAROA

Nyt rynnistetään huijarimarkkinoilla eri pankkien asiakkaiden rahojen kimppuun mitä erilaisimmilla keinoilla. Tällainen tilinkäyttöilmoitus on HUIJAUS.
Jos epäilet , että tililläsi on jotain häikkää, mene oman pankkisi osoitteen kautta tarkistamaan tilanne EI KOSKAAN NÄIDEN E-MAILIEN LINKKIEN KAUTTA!

---------------------------------KIRJE-------------------------------

Lähettäjän osoite on: "S-Pankki<s-pankki@info.fi>" TÄMÄ EI OLE S-Pankin osoite!
Linkki ei myöskään vie S-Pankkiin, vaan huijarin valmistamille näköissivuille jossa pankkitietosi kaapataan.
Vastaanottaja:  "Recipients" - kertoo, että kirje on lähtenyt laajalle joukolle huijattavia asiakkaita. Olisipa outo yhteensattuma, että kaikilta olisi varastettu sentilleen juuri tuo sama ilmoitettu summa.


OP pankin nimissä päivitys - HUIJAUS

OPn nimissä ja pankkisivujen ulkoasulla huijataan jälleen asiakkaita "päivittämään tietonsa".
Tämä tarkoittaa, että linkki vie pankin näköissivulle jossa kerätään sinun tunnistustietosi ja pankkitilisi tyhjennetään tai tililläsi ja nimissäsi, ostetaan verkko-ostoksia.
OP<op@info(.)fi> EI OLE OP pankin osoite. Se on esimerkiksi "info@op(.)fi" (ilman sulkuja)

Tämä linkki, "https://rcl(.)ink/VnZIp?029d0j02hd8920h0" joka sivulta lähtee jokaisesta linkiksi merkitystä sanasta, on tarkistettu VAARALLISEKSI eri virustorjuntasivustoilla ja virus-scannereissa.

Osoite, josta kirje saapuu, on rikollisen käytössä ja sillä huijataan eri pankkien asiakkaita.
Domannimi on listattu verkon mustalle listoille: On DNS Blacklist "Checked 27 DNSBL listings" Yes.
Ihmettelen, miksi domainnimeä "info.fi" ei estetä palvelunarjoajien sp-listoilla?

-----------------------------------KIRJE---------------------------------

 



 

maanantai 25. joulukuuta 2023

Törkykuvilla huijarin ansaan

Alkaa kenot olla vähissä huijareilla. Kun tavalliset kauniit naisenkuvat eivät enää riitä takaamaan tasaista rahavirtaa huijarien taskuihin, levitetään ala-arvoista kuvaa kovakoodattuina spämmeinä.
Tämän kirjeen kryptattu linkki on merkitty VAARALLISEKSI ainakin kahden virustorjuntayrityksen sivuilla. Huomaa epämääräinen ilmaisosoite "saraviage@outlook(.)com", jonka takaa tuskin vastuutahoa löytyy.

Kuten olen jo aikaisemminkin todennut, kaikki seurustelukirjeet ovat nykyisin huijareiden ansapostia.
Kun yhden tyylinen seksikirje lakkaa toimimasta, lasketaan liikkeelle toisentyyppinen kirje ja ansa toimii jälleen, kuin väärä raha ja joku onneton klikka itsensä taas liriin.

---------------------------------KUVAKAAPPAUS-----------------------------------


Tässä "Sucurin" mustalta listalta kuvakaappaus osotteen luotettavuudesta.
Sivun skannaus ei onnistunut, joka tarkoittaa, että se on estetty. Sekään ei ole kovin hyvä luotettavuusindikaatio. Myös epämääräisyyttä kasvattaa, miksi linkki on lyhennetty aasialaisessa lyhennyspalvelussa? Onko huijari oikeasti aasialainen, vai haluaako se antaa vain sellaisen vaikutelman, piiloittaakseen oikean kansallisuutensa? Konetunnus osuu kuitenkin Yhdysvaltojen Missourin osavaltioon. Onko huijari edes USAlainen, vai haluaako se antaa vain sellaisen vaikutelman. Huijareilla on tapana peitellä jälkensä. Rehellinen yritystoiminta ei peittelytoimia tarvitse.


torstai 21. joulukuuta 2023

S-Pankin nimissä huijataan taas

Tämä kirje EI TULE S-PANKISTA!

On syytä muistuttaa näistä "ikäänkuin" pankkien yhteydenotoista. Yleensä ne ovat huijauksia, eikä niiden linkkeihin ole syytä koskea. Linkeistä aukeaan "valesivu" joka on tehty pankkisi näköiseksi ja sillä kerätään pankkitunnuksesi. Sen jälkeen tyhjenee tilisi ja kaikki pankkikirjautumista vaativat palvelut ovat rikollisten ulottuvissa. Tässä lähettäjän osoitteen paikalla tulisi olla pankin verkkotunnus mutta nyt siinä lukee "@sewan(.)com" ja linkin tulisi viedä pankkisi tunnuksella varustetulle sivulle. Tässä kirjeessä linkki "mxtoolsx(.)com/fi", veisi rikollisen koneelle, suomenkieliselle valesivulle.
Osoite on merkitty virusturvayritysten sivuilla vaaralliseksi.

-------------------------------------KIRJE--------------------------------------

Tässä samana päivänä saapunut vastaava yritelmä. Nyt postitettu osoitteesta @nordic.com, joka sekään ei ole minkään pankin osoite. Tämän kirjeen linkin osoite on merkitty kahden verkkoturvayrityksen sivulla vaaralliseksi.

 


keskiviikko 20. joulukuuta 2023

USKO TAI ÄLÄ, TÄMÄ TikTok+ ON HUIJAUS

Näitä näyttää jälleen saapuvan. Huijausposteissakin vaihtelu virkistää.
Lähettäjäkone on Itävallassa ja se on verkon mustalla listalla.
Piiloon koodattu linkki vie osoitteeseen, joka on kahden verkkoturvayhtiön VAARALLISEKSI luokittelema. Nämä samat keksityt jäsenet saapuvat seuraavankin päivän spämmikirjeessä ja 3.1.2024 saapuneessa huijauspostissa oli edelleen samat 30 minuutin aikana saapuneet jäsenet.

-------------------------------------------KIRJE------------------------------------------

Edellisessä vastaavassa huijausyrityksessä oli joukko puhelinnumeroita ja kirje oli oletettavasti saapunut Venäjältä. Lue lisää huijauksesta.

https://vaarallinenweb.blogspot.com/2023/11/prototyyppi-ansa-puhelinnumeroin.html


tiistai 19. joulukuuta 2023

POSTIPAKETTI HUIJAUS SAKSASTA

 Durable.de osoitteesta on saapunut spämmi, joka ilmeisesti on päästy lähettämään hakkeroinnin tai muun luvattoman toiminnan kautta. Osoite on luokiteltu vain 24/100 tasolla luotettavaksi. 100 olisi täysin luotettava.
Kone ID, jolta posti on lähtenyt on Eestissä, Tallinnassa MUTTA kone on rekisteröity IT-Develop DOO - firmalle Montenegroon. Koska rekisteröijän tiedot ovat esillä, konetta on ilmeisesti käytetty luvatta. Näin voivat toimia esimerkiksi venäläisten trollien haltuunottamat laitteet.

Eristyisesti tästä syystä on syytä tarkkaan harkita mitä linkkejä verkossa (sosiaalinen media) tai sähköpostissa tai SMS viesteissä tarjotaan. Nyt huijauksen kohderyhmänä näyttää olevan iPhone omistajat.

Kirjeessä oleva linkki vie tuntemattomaan osoitteeseen, koska osoite ohjataan uudelleenohjaukseen ja lopullinen osoite ei selviä ihan helposti. RIITTÄNEE TIETO, ETTÄ LINKKI ON VAARALLINEN. Muuten osoitetta ei peiteltäisi, eikä kirjettä lähetettäisi omalaatuisia polkuja.
Kirjeessä on kolme salattua linkkiä, jotka vievät samaan huijarin osoitteeseen.

-------------------------------KIRJE------------------------------





maanantai 18. joulukuuta 2023

TYHJÄ KIRJE ON AINA ANSA

Saapui tyhjä kirje otsakkeella "Você ganhou um.".
Porttugalista suomennettuna: "Voitit yhden"
Näitä kirjeitä saapuu nyt useita samanlaisia. Toimintatapa näyttää tutulta.

Tämä on ilmeisesti ansa uteliaille. Kirje saapuu koneelta, joka on Marylandissa USAssa MUTTA osoitteista selviää muutakin. Postittaneesta koneesta löytyy kaikki omistajatiedot, joten on syytä olettaa, että se on kaapattu. Spämmeri tai verkkorikollinen ei paljasta itseään rekisterissä, koska tiedot voi siellä peittää. Mielenkiintoinen "varmenne" osoittaa Venäjälle, jonka voisin uskoa sylttytehtaaksi. 

------------------------------------------------
DKIM-Signature
What is the DKIM signature?
DKIM provides the ability to sign a message, and allows the signer (author organization) to communicate which email it considers legitimate. It does not directly prevent or disclose abusive behavior. DKIM also provides a process for verifying a signed message.

(käännös) DKIM tarjoaa mahdollisuuden allekirjoittaa viesti ja antaa allekirjoittajan (tekijäorganisaatio) ilmoittaa, minkä sähköpostin se pitää laillisena. Se ei suoraan estä tai paljasta loukkaavaa käytöstä. DKIM tarjoaa myös prosessin allekirjoitetun viestin tarkistamiseen.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=learningmailer(.)com;
From: Jakelukeskus <qsfsqf@learningmailer(.)com>  lähettäjä on tämän mukaan Venäjällä

------------------------------------------------------

Saman lainen lähetys saapui jälleen tänään nyt otseke oli: "Aloita painonpudotus nyt!". Lähettäjän kohdalla on: "KetoXplode-hedelmäkarkit<qsfsqf@learningmailer(.)com>". Muuten kirje on tyhjä. Lähettäjä on sama  "learningmailer(.)com". Vaikuttaa venäläisten trollien uudelta massahuijauksesta.

KIRJEESTÄ LÄHTEVÄ LINKKI
(valkoinen pinta on linkkiä. Kirjeessä oleva linkki piilotetaan tagilla "visibility: hidden;". )
"http://go.sparkpostmail2(.)com"
Vie sähköpostipalveluun, joka ei ilmeisesti välitä tarkistaa käyttäjiensä taustoja ja palvelee auliisti spämmereitä ja verkkorikollisia. SparkPost kertoo itsestään:

Who is Sparkpostmail?
About us. SparkPost is the industry's most trusted email optimization platform. SparkPost helps senders reliably reach the inbox with powerful solutions to help them plan, execute and optimize their email programs.

(suomeksi) Mikä on Sparkpostmail?
Mainos. SparkPost on alan luotettavin sähköpostin optimointialusta. SparkPost auttaa lähettäjiä tavoittamaan postilaatikkonsa luotettavasti tehokkailla ratkaisuilla, jotka auttavat heitä suunnittelemaan, toteuttamaan ja optimoimaan sähköpostiohjelmiaan.

"Luotettavasta" mainostekstistä huolimatta, tämä toimija sallii verkkorikollisten toiminnan alustallaan.

-------------------------------------------------

sunnuntai 17. joulukuuta 2023

SUOMI.FI KIRJAUTUMISTUNNUSTEN KALASTELU

 Älä mene ansaan! Tämä on huijaus, jossa urkitaan kirjautumistietosi. Jos kirjaudut tämän kirjeen linkeistä, menetät pankkitilillä olevat rahasi huijarille ja avaat pääsyn kaikkiin palveluihin, jotka vaativat kirjautumistietojasi. Mm. aroilla terveystiedoillasi voidaan kiristää sinua.

Suomi.fi palvelun osoite päättyy domainnimeen "suomi.fi" ei kuten tämän huijauksen lähetysosoite.
Linkit vievät kryptattuun osoitteeseen "https://loom(.)ly/_tMJub8". Tämä osoite löytyy Virusuhkapalvelu Sucurin mustalta listalta.

-------------------------------KIRJE-----------------------------



torstai 14. joulukuuta 2023

JALKALAASTARI VENÄJÄLTÄ ?

Tämä laastari saattaa parantaa ainoastaan venäläistä taloutta ja sotatointa. Lähetysosoite on erwufpj@ayax.kalmykia(.)su, postiokonttori on "mail.ayax.kalmykia(.)su"  (SU maatunnus tarkoittaa Soviet Union eli nykyinen venäjä. Venäjä käyttää myös maatunnusta RU. Palveluntarjoaja on "Internet-Cosmos LLC (RU)".

Tämän päivän Venäjän sotatoimet huomioiden, en koskisi yhteenkään Venäjältä saapuvaan kirjeeseen. Suuri mahdollisuus on, että jossakin vaiheessa koneellesi saapuu koneen haltuunottava virus. Vähimmäistapauksessa sinulta udellaan henkilötiedot ja Visakorttitunnukset. Tuotetilaus on hyvä syy urkkia nämä tiedot.

--------------------------------------------KIRJE-------------------------------------

 




keskiviikko 13. joulukuuta 2023

LIDL ESITTEEN QR-koodi osa2

LIDL VÄISTÄÄ VASTUUTAAN ESITTEENSÄ QR-KOODIN VIRHEESTÄ

QR-koodia seuraavan linkin osoitteen alkuosa kuuluu QR-toimintaan mutta jälkiosa, se varsinainen kryptattu  osoite, vie ANSAAN sikäli, että osoite esittää tyhjän sivun OR- gamma play appilla skannattaessa (appia on ladattu 500 mijoonaa kertaa, eli on käytetyin QR-reader) . Sivun alareunassa on ainut toimiva linkki, joka ei kuitenkaan vie LIDLplussaan kirjautumiseen!
Miten tällainen virhe on päässyt läpi LIDLin markkinoinnissa? Jos kyse on esim PC/Mac/eri selaimet yhteensopivuudessa tai sopimattomuuksien hyväksikäytössä verkkorikollisten toimesta, nämä asiat on tarkistettava jokaisen markkinointiin tarkoitetun linkin kohdalla. Laitevaihtoehtotestit kuuluvat kaikkeen verkkoviestintään, koska yhteensopivuusongelmia on, ei niitä saa päästää yleisiin palveluihin rikollisten temmellyskentäksi testaamatta. LIDLin toiminta on ollut huolimatonta ja se on vaarantanut asiakkaittensa verkkoturvallisuuden.

Kun palveluun saavutaan, ohjelmisto tutkii miltä laitteelta vierailija saapuu, tuolle linkille ei ole koodattu minun Androiod versiolleni tarjoiltavaa oikeaa vastinsivua, tai vastinsivu on hakkeroitu ja ohjaa edelleen vierailijan verkkorikollisen sivuille.

Jouduin sulkemaan pankkitilini. Yksi lasku ehti saapua mutta kiistin sen ja nollasin heti luottorajat.
Visalaskun joudun maksamaan, vaikka saanen rahat takaisin Visalta. Rikosilmoitus oli pakko tehdä.
Suosittelen samaa kaikille muillekin, jotka ovat joutuneet LIDLin huolimattomuuden uhriksi.

Aiheesta on käyty vilkas kirjeenvaihto LIDLin kanssa. Toistaiseksi LIDL vain kiistää virheensä ja kieltää julkaisemasta omat kirjeensä. Miksi jos heillä on asiassa puhtaat paperit ja pitävä selitys? Odottelen vielä viimeiseen kirjeeseeni LIDLin vastausta.

-------------------(LÄHETIN ENSIMMÄISEN KIRJEEN)-----------------------

        From: hannu.kuukkanen@xxxxxxx

        Sent: Saturday, December 2, 2023 3:49 PM
        To: compliance@lidl(.)fi
        Subject: Esitteessänne oleva QR-koodi vei pelisivuille kirjautumiseen
               
        Olen erittäin huolestunut esitteessänne olevan QR-koodin toiminnasta joka vei verkosta löytyvien tietojen (linkit alimmaisena) mukaan epäluotettavan toimijan välittämään pelisivuille kirjautumiseen . Kirjautuminen edellytti myös Visa-korttitietojen antamista. Kuvittelin kirjautumisen tapahtuvan lidlplus-palveluun (kuten esitteenne kertoi), joten annoin tiedot.

        Vaadin, että poistatte tilitietoni tuosta mahdollisen "partnerinne" pelipalvelusta ja ilmoitatte minulle, että näin on tapahtunut. Mistään ei löydy pelitilin peruuttamista.

        Merkillistä myös on, ettei QR-koodilla saanut kirjauduttua lidlplus palveluun, vaikka esitteenne antoi näin ymmärtää.  Tämä vaikuttaa kuluttajasuojalain rikkomukselta ja mikäli tiliäni ei pureta, joudun kääntymään viranomaisen puoleen.

        VAROITUKSIA LIDLin QR LINKISTÄ LÖYTYVÄSTÄ OSOITTEESTA
        https://webparanoid.com/en/check-website/digital-memberships-premium.com
        https://malwaretips.com/blogs/digital-memberships-premium-com-scam/

        Hannu Kuukkanen
        hannu.kuukkanen@xxxxxxxxxxx
        puh: 358xxxxxxxxxxx

------------------------LIDL-----------------------------------

(LIDL vastaa 04.12.2023 kirjeellä joka on kielletty julkaisemasta...)
  
         ...jossa väittävät tarkistaneensa QR-koodin toimivuuden ja väittävät sen toimivan oikein. Mitenkähän he sen ovat tehneet, koska minulla se toimii aivan eri tavalla jonka tavan voin todentaa materiaalini turvin?
        Toivomukseni mukaan tarkistuksessa on ollut mukana alan ammattilaisiakin?

        He haluavat, että lähetän heille minulla olevasta QR-koodista puhtaan kuvan (KOMMENTTI: aikaisemmassa oli punainen viiva estämässä linkin, kuten turvallisuussyistä syytä oli).

----------------------------------------------------------------

          (minä vastaan LIDLin kirjeeseen ja lähetän puhtaan QR-koodin)
    Sent: Monday, December 4, 2023 5:13 PM
    To: compliance@lidl(.)fi
    Subject: RE: Esitteessänne oleva QR-koodi vei pelisivuille kirjautumiseen
 

Tässä esite jossa puhdas QR-koodi

    Hannu Kuukkanen

---------------------------LIDLin vastaus-----------------------------------

         Kirje on yritys kääntää asia minun vahingokseni ja tämän jälkeen LIDL pesee kätensä ja käskee tutustua LIDLin "tietosuojaselosteisiin". Englannista vapaa suomennos "Et saa kopioida tätä viestiä tai paljastaa sen sisältöä kenellekään"

    Tällä uhkausella LIDL pyrkii kieltämään kirjeen julkaisemisen ja piilottamaan mokansa. Miksi teksti on englanninkielinen?
 
--------------------- Kolmas kirjeeni-----------------------

LÄHETIN SEURAAVAN KIRJEEN

Hei
 
Tutkin edelleen tuota teidän esitteen QR-koodia ja sain selville seuraavaa:
Koodi avaa lyhennetyn osoitteen https://qrco(.)de/bbsqFy (tästä osoitteesta VirusTotal sanoo, että se on "Suspicious" eli epäilyttävä). Itse linkin esittämä sivu on tyhjä. Alareunassa kulkee teksti. Tämä osoittaa, että linkki ei toimi kuten pitäisi. QR-koodista pitäisi aueta se sivu, jonka siitä väitetään aukeavan, eli LIDLplussan kirjautuminen.
 
Linkissä olevasta kryptatusta loppuosan koodista "bbsqFy", aukeaa tyhjä sivu (kuten edellä mainitsin), josta ei selviä missä ollaan vaan alhaalla lukee teksti "Luo tili ja käy sisään". Koska linkki oli kryptattu, ei selvinnyt minne se vie, eikä mikään teksti myöskään sitä kerro.

Seuraava sivu ei edelleenkään kerro missä ollaan vaan siinä lukee "Mobiiliaktivointi".
ja iso buttoni "Jatka". Sivun alalaidassa lukee "Elokuvia,sarjoja,kirjoja,musiikkia,pelejä  muuta". Tätä pientä harmaata tekstiä en huomannut / lukenut edellisellä kerralla mutta missään ei edelleenkään mainita "LIDLplus".
Selain on sivulla "contentlimitless(.)com/... Sivusta kerrotaan verkohaulla: "Endless entertainment at your fingertips. One subscription to rule them all. Get access to our entire on-demand content library for just $39.99 per month". (LISÄYS: Tältä toimijalta sain jo laskun jonka kiistin. Samalla suljin pankkitilini ja vaihdoin Visa-kortin).

Vieläkään en nähnyt missään tekstiä "LIDL" tai "LIDLplus". Miten ihmeessä kuvittelette, että tällaisen partnerin kanssa voitte toimia luotettavasti ja vaarantaa asiakkaittenne verkkoturvallisuuden? Yhdeltäkään sivulta ei löydy teille vievää linkkiä:

Kun sitten kirjauduin painamalla buttonia "Jatka" saavuin tuolle varsinaiselle kirjautumissivulle jossa on mitään tarkempaa kertova "Hanki sisällön käyttöoikeus" teksti jonka jälkeen lähtee kolmivaiheinen kirjautuminen jossa luovutetaan mm. Visa- korttitunnukset tälle pelurille (ei LIDLille kuten kuvittelisi esitteenne mukaan tapahtuvan).

Kirjautumisen jälkeen sain emailin, jossa minun kirjautumisessa käyttämäni tunnukset olivat näkyvissä kolmeen eri kertaan. Sähköpostiliikenne EI ole salaisen tiedon esittelypaikka. Tämä email vasta kertoi mihin olin tietoni antanut.

Tutkin noita kolmea yritystä, joihin olin näköjään tietämättäni kirjautunut ja selvisi seuraavaa:
Olin jäsen sovelluskaupassa Digital-memberships-premium(.)com. En LIDLplussassa. Myös kahdessa pelikaupassa, joiden jäseneksi en olisi missään tapauksessa halunut.
Digital-memberships-premium(.)com on myös ilmeisimmin pelejä myyvä taho, jonka sivuille en ajo kirjautua. Lue eteenpäin miksi.

Emailissa oleva sähköpostilinkki vie sivustolle josta "Web Paranoid", verkkosivustojen luotettavuutta seuraava yritys, kertoo (Digital-memberships-Pr) linkin osoitteesta:
"VAROITUS: Digital-memberships-premium(.)com on tunnistettu huijaukseksi – tiedot, arvostelut ja valitukset. Onko Digital-memberships-premium(.)com laillinen vai huijaus, voitko luottaa Digital-memberships-premium(.)com-sivustoon? Viimeisimmän tarkastuksen päivämäärä: 2023-11-22 premium.com on online-tilauspalvelu, joka on ollut lukuisten asiakkaiden valitusten kohteena."
 
JOS olette valinneet, te tai alihankkijanne, nuo kyseenalaiset toimijat, ottanette myös vastuun mahdollisista seuraamuksista. (LISÄYS: LIDL oli valinnut QR-koodi palvelun tarkistamatta, tai tarkistuttamatta, sen toiminnan luotettavuutta eri käyttölaitteille).
 
PC:n kautta kirjautuminen vie Apple appeja tarjoavalle sivulle (LISÄYS:https://apps.apple(.)com/app/id1238611143?mt=8). LIDL:iä ei näy sielläkään. Tosin kun minulla ei ole Applea, en edes kuvitellut kirjautumisen siellä toimivan. Kännyni on Samsung Android - ei  iOS (Apple iPhone), jos olette sillä testailleet. (LISÄYS: tässä olettaisin olevan SE VIKA. Eli Apple kaverit olettavat, että kaikki käyttävät iPadiä, eivätkä testaa muilla kännykkämerkeillä tai laitteilla. Puhumattakaan Android laitteista, joiden markkinaosuus oli yli 70 prosenttia, kun taas  Applen iOS-käyttöjärjestelmän, markkinaosuus oli noin 28 prosenttia. Kun laitteella saapuu QR-palveluun, se tunnistaa laitteen ja jakaa sille palvelun osoitteen, jotta laite näyttäisi sisällön oikein ja oikeasta osoitteesta. Nyt Androidille ei ilmeisimmin oltu annettu polkua ja verkkopelurikonna (hakkeri) näki tilaisuutensa koittaneen).
 
Teillä on joko verkkotoiminnoista vastaava alihankkija tai osasto, joten pistäkää porukka selvittämään, miten tällainen viritys on päässyt markkinoille ja vastatkaa lopputuloksesta. ÄLKÄÄ LAISTAKO VASTUUTANNE.
 
LIITTEINÄ pari sivukopiota kirjautumissivuista, jotka kertovat mistä on kysymys.
Ensimmäinen on sivu joka aukeaa Androidiin QR-koodistanne.
Toinen on tilanne kirjautumisen alussa. Missään vaihessa ei näy LIDLin logoa, tai tekstiä. Eli LIDLin linkkiä ei kirjautumisen aikana, eikä sen jälkeenkään näy.
Viimeinen kuva on e-mail jossa on kolmeen kertaan kirjautumistunnukseni. Näitä tietoja ei MISSÄÄN TAPAUKSESSA olisi saanut lähettää verkon yli. Kuvassa tunnukset on peitetty.
 
Hannu Kuukkanen
hannu.kuukkanen@xxxxxxxxxxxxx
puh: 358xxxxxxxxxxxxx
 
--------------------------LIDLin VASTAUS KUVIEN JÄLKEEN--------------------------- 

Tämä on VAARALLINEN LIDLIn esite. Punainen viiva on oma lisäykseni koodin luvun estämiseksi tässä julkaisussa. "Ilmainen" ei tämäkään lataus kaikille ole. Tämä olisi ollut "lypsykone", jollen olisi sulkenut Visa-korttiani.  
 

----------Testasin Gamma Play QR-skannerilla LIDLin koodin----------

Ensimmäinen kaappaus on ensinäkymä, kun koodi on kuvattu. Tuo kyseenalainen osoite qrco.de/bbsqFy näkyy URL rivillä. Chrome varoittaa: Yhteys sivustoon (www.qrgo.de) ei ole turvallinen, koska sivusto ei tue HTTPS:ää.
Normaalisti tässä vaihessa pitäisi heti jo näkyä LIDLiin kirjautuminen.

En antanut mielipidettäni readerista, vaan jatkoin skannattuun osoitteeseen.


Tässä seuraavassa ikkunassa (alla) pitäisi viimeistään jo päästä LIDLiin kirjautumiseen mutta en pääse.

Selainkentässä näkyy ihan vieras osoite offer-pulsler(.)com. Josta kerrotaan:"offer-pulsler(.)com, Rajoittamaton sisältö kaikille. Sukella uuteen viihteen maailmaan. Nauti ensiluokkaisista elokuvista, musiikista, peleistä ja äänikirjasisällöstä mukavasti..."
JOS olisin mennyt tämän linkin mukaan, saisin aivan jotain muuta kuin LIDL plus jäsenyyden.
Erittäin vaarallista seikkailua. 
 
Kun testasin toista printattua QR-koodia, pääsin heti oikeaan linkkiosoitteeseen. Kyse ei siis ole ainoastaan QR-lukijasta, vaan myös tuosta LIDLin käyttämästä "qrgo.de" QR-palveluntarjoajasta ja/tai itse QR-koodin virheestä. Gamma Play reader näytti tuon virheellisen pelifirman osoitteen, jos QR-koodi oli epäselvä.

LIDLin tulisi tarkistaa koodinsa tai painattaa esitteeseen varoitus:
"VAROITUS: Tämä QR-koodi tei toimi oikein, kuin kamerasi omassa QR-koodinlukijassa".
 
------TOINEN QR-READER TESTI------

Alla kuvakaappaukset Googlen hopesj0314 lukijalla. Kuvakaappaukset QR-koodinluvun jälkeen. Mitään ponnahdusikkunoita ei lauennut. Sama osoite saapui myös kameratunnistuksella.


1. vaihe QR-koodinluvun jälkeen. Selainkentässä, ylhäällä näkyy toimimaton ja VirusTotalin "Suspicious" eli epäilyttäväksi, varoittama linkki (https://qrco(.)de/bbsqFy),  joka esittää blankon sivun Android ja PC laitteissa. Osoitekenttä näyttää, että sivu tarjoaisi Apple-laitteen omistajille aplikaation (https://apps.apple.com/app/id1238611143?mt=8) Normaalitilanteessa, tällä sivulla pitäisi olla LIDLin plus palveluun kirjautuminen Android laitteille. Tämä on koodausvirhe, tai "hakkerointi", joka mahdollistaa huijarin linkin klikkaamisen ainoana vaihtoehtona.
Alareunassa on ainut toimiva linkki "Luo tili ja käy sisään", joka vie huijarifirmaan kirjautumiseen, kuten kirjautumisen jälkeen kävi ilmi.
 
2. vaihe jossa näkyy kirjautumisvaiheet mutta ei tietoa minne ollaan kirjautumassa.
Anoa uskottavalta vaikuttava tieto oli LIDLin esitteessä josta QR-koodi kuvattiin. Painettuun sanaankaan ei voi näköjään luottaa.


Tämä oli edesvastuuttomuuden huippu. Kyseisessä e-mailissa on kirjautumistunnukseni verkon yli lähetettynä (punaiset palkit päällä). Tällainen toiminta on vaarallista. Tunnuksia EI saa lähettää sähköpostissa.
 
------KOLMAS QR-READER TESTI------
QR SCAN Teamin QR-scannerilla toimi kuten Gamma Play QR-skanner (ensimmäinen testi), eli näytti pelifirman sivun.
Jos LIDLin QR-koodi tai siihen liitetty palvelu, on noin virheherkkä, sellaista ei tulisi asiakasviestinnässä käyttää. Ei ole mitään syytä luottaa siihen, että asiakkaat käyttäisivät ainoastaan kameraskannausta.


------------------VIIMEISIN KIRJEENVAIHTO 14.12-2023------------------

    14.12.2023 17.36 EET Lidl Asiakaspalvelu <asiakaspalvelu@lidl.fi> kirjoitti:
      
    Lidl - laadukkaasti halpa
    Tapausnumero: 95704752
    Hei,

    kiitos viestistäsi ja lisätiedoista.

    Jos QR-koodi ohjaa sinut oikein sovelluskauppaan puhelimesi kameran kautta, ei ongelma ole QR-koodissamme, vaan QR-koodin lukemiseen tarkoitetussa sovelluksella. Moniin tällaisiin ohjelmiin valitettavasti ujutetaan huijausohjelmia. Tämän takia emme suosittelekaan käyttämään QR-koodin lukemiseen erillistä sovellusta, vaan aina puhelimen omaa kameraa.

    Pahoitteluni kuitenkin tästä aiheutuneesta harmista sekä vaivasta.

    Mukavaa iltaa sinulle!
    Ystävällisin terveisin

    Stiina
    Lidlin Asiakaspalvelutiimi

--------------------------------------------------------------------------------

MINÄ VASTAAN

Käyttämääni QR-skanneria on ladattu 500 miljoonaa kertaa, eli taitaa olla käytetyin QR-scanneri. Tuon suosituksenne soisin näkyvän myös esitteessä johon QR-koodi on painettu.
 
Hannu Kuukkanen
--------------------------------------------------------------------------------



tiistai 12. joulukuuta 2023

MASSAPOSTITUS - HUIJAUS irishhotties

Nyt saapuu postilaatikkoon "Irish hotties" spämmejä massoittain, yli 70kpl kuukaudessa.
Kirjeissä annetaan vaikutelma, että olisin jäsen jossakin klubissa (en ole) ja olisin ollut ikäänkuin  aktiivisena seuranhakijana (en ole) tai sitten viesti on ikäänkuin olisin ilmoittautunut jäseneksi ja minun tulisi hyväksyä ilmoittautuminen (en hyväksy, koska en ole ilmoittautunut). Tätä epähyväksymistä irishhotties väittää seuraavissa posteissaan hyväksymiseksi ja suoltaa spämmejään. Yksipuolisen sopimuksen toimeenpano ja sähköpostiosoitteen käyttö markkinointiin ilman omistajan lupaa, on rikollista.
Domainnimen "irishhotties(.)com" on rekisteröinnyt "alankomaalainen" Firestarmultimedia. Yrityksestä ei löydy oikeastaan muuta tietoa, kuin nimi. Toimijalla näyttää olevan nimissään kaksi muutakin domainnimeä "chicksfromcanada(.)com" ja ,"hotcanadababes(.)com".  Huijarin käytössä on lähetysosoite "eu-west-3.amazonses(.)com". Toiminta vaikuttaa identtiseltä saman kaavan mukaiselta huijaukselta. Rinnakkaisdomainista "hotcanadababes(.)com" varoitetaan myös usean virustorjuntayrityksen listoilla. Osoite on merkitty VAARALLISEKSI ja haittaohjelmien jakelijaksi.

Kampanja vaikuttaa identiteettivarkausyritykseltä ja kenties jossain vaiheessa alkaa rahastus. Nämä postit kannattaa ohjata roskapostikansioon. Avansanoja voisivat olla nuo domainnimet.

--------------------------------KIRJE ESIMERKKEJÄ----------------------------------

Tässä ensimmäisessä kirjeessä irishotties esittää, että olisin rekisteröitynyt heidän palveluunsa, vaikka en koskenut ansalinkkeihin, eli neuvon mukaan "ingnorasin" kirjeen.


 Alla olevan kirjeen pikkutekstissä väitettään, että olisin kirjautunut tuolla edellisellä kirjeellä palveluun. Tämä on iso vale. Spämmejä saapuu useita päivässä.
Tämä huijari on varastanut sähköpostiosoitteeni ja väittää, että olen rekisteröitynyt heidän jäsenekseen. Tältä verkkotunnukselta tulee kymmeniä huijauksia. "Rekisteröintipäivästä" 29.11.2023 alkaen. Tietysti voin blogata heidät suodattimilla, mutta pidän tätä toimintaa rikollisena, koska he ovat tehneet sopimuksen minun nimelläni vastoin tahtoani. "Unsubscibe" linkkiä ei ole syytä käyttää epäilyttävän toimijan e-maileissa, koska sitä käytetään yleisesti ansalinkkinä.
 
Tästä ansasta lisää tietoa löytyy tästä blogista:


HUIJARIN uudentyyppinen DEITTI-ILMOITUS

Kirje saapuu ilmaisosoitteesta "moha.noma97(@)outlook.com" ja paluuposti menisi samaan ilmaisosotteeseen. Tämä osoite ei ole luotettava.
Linkin osoite on merkitty spämmiksi ja merkitty mustalle listalle. ÄLÄ KOSKE LINKKIIN.
Et ole jäsen, enkä ole minäkään. Huijari yrittää saada sinut ansaan.


POLIISIHALLINTO EI KÄYTÄ GMAILIA

Kun saat "poliisilta" kirjeen, kuten esimerkiksi tämä alla oleva kuvakaappaus, TARKISTA, mistä osotteesta se on lähetetty. Poliisilta TODELLA saapuvat kirjeet tulevat osoitteista, joiden loppuosa on "poliisi.fi". TÄMÄ KIRJE ON HUIJAUS. En suosittele koskemaan "PDF LIITTEESEEN", jo sekin voi olla virus. Tämä "törky"-kirje on käytännössä kopio aikaisemmista huijausyrityksistä. Myös tuo vastaanottajaosoite paljastaa huijauksen. Kirje on lähetetty suurella varastetulla spämmilistalla.

------------------------------------------KIRJE----------------------------------------


perjantai 8. joulukuuta 2023

LASKU - HUIJAUS PK yrityksille ja yhdistyksille

Huijauksen tunnistaa helposti omalaatuisesta lähetysosotteesta.
On viisasta tarkistaa vaikka soittamalla, onko kyseessä asiallinen lasku jos tällainen, epäilyttävä tai ylimalkainen viesti saapuu. Tämän ansan virittäjä on tutkinut, ilmeisesti yhdistysrekisteristä, johtokunnan koostumuksen ja tehtävät, tai päässyt seuraamaan yhdistyksen sähköpostiliikennettä. Yritysrekisteritä löytyy yritysten tiedot.

Viestissä urkitaan myös saldoa. Tämä on huijarille erinomainen tieto. Tarvitseeko hänen iskeä muilla huijausmuodoilla vaiko ei. Varsinkin jos tämä ensimmäinen vaihe toimii. On mahdollista myös, että tällaisen kirjeenvaihdon avulla urkitaan pankkitietoja.

----------------------------------KIRJE--------------------------------




sunnuntai 3. joulukuuta 2023

VAROITUSSIVUNI PLOKATTIIN JÄLLEEN - TÄSSÄ KOPIO OLEELLISESTA

 Ilmeisesti tämä kampanja on nyt paljastunut, koska spämmäys on loppunut?
Postauksenikin on jälleen palautettu luettavaksenne. Tämän deittikampanjan ilme ja lähetysosoite on nyt vaihtunut, mutta vaarallinen spämmäys jatkuu vaarallisen deittailun merkeissä


NÄMÄ SAMANKALTAISET LINKKIOSOTTEET (alla) PALJASTAVAT SYLTTYTEHTAAN
Puoli-ilmaisia Domainnimiä on generoiotu määrätön määrä edellisten huijausten rahoilla (tai Venäjän sotakassan tukemana). Osa ansakoneista on selvästi eri yritysten koneita, eli ne on kaapattu vastaavalla materiaalilla. Kaapatuille koneille on linkitetty sama ansamateriaali ja homma pelittää, kun ajattelematon verkkokansa klikkailee pahvinaamoja "seurakseen". Tässä alla olevat esimerkkilinkit on "kuohittu".

samara.samara-shop(.)com/ElfriedeJacquelin/lilly/l96m9be770msyy

28.11.2023 vaihtui linkin loppuosa (lilly kansio säilyi). Sininen loppuosuus toistuu kaikissa osoitteissa.
Tätä linkkiversiota on saapunut toistaiseksi 60 kpl.

bu-india(.)com/JerleneViki/lilly/h0lavotzetrfyw

Kun seuraa domaineja, joihin tämän scammin ansasivut on istutettu, näyttää siltä, että valtaosa koneista on hakkeroituja, eri yritysten koneita, ELI TYÖNTEKIJÄT ovat klikkailleet ansalinkkejä ja päästäneet hakkerit koneelleen viruksen avulla. Nämä ihmiset ovat tukeneet Venäjän kyberhyökkäyksiä "jakamalla edelleen" tätä verkkosaastetta.
Tämän viestin antoi F-Secure kun googlasin tuota exhaleloungeghana(.)com osoitetta.


Googlen verkkovahdit palauttivat artikkelit takaisin ihmisten ilmoille. Kiitos siitä heille.

lauantai 2. joulukuuta 2023

UUSI TYYLI VANHAT KUJEET

Nämä deitti-spämmit muuttavat muotomaan mutta tarkoitus on aina sama. Saada onneton klikkaamaan VAARALLISTA linkkiä. Tässä tapauksessa samaa linkkiä on koko kirje harmaine taustoineen. Erityisesti videoyhteyttä tarjoavat kirjeet ovat ansoja, kuten tämä. Videon tai videoyhteyden sijasta saat viruksen koneellesi.

--------------------------------------KIRJE------------------------------------




perjantai 1. joulukuuta 2023

LIDL ESITTEEN QR-KOODI VIE EPÄMÄÄRÄISELLE SIVULLE

ÄLÄ KÄYTÄ TÄTÄ LIDLin ESITTEESTÄ LÖYTYVÄÄ QR-KOODIA!
Koodin kautta laitteellesi asentuu joukko pelejä ja visakorttisi tiedot kaapataan.
Esite ei kerro mitä skannauksen jälkeen tapahtuu. Kun kuvittelet luovasi tiliä LIDL palveluun, oletkin tekemässä sopimusta pelifirman kanssa.

Rekisteröitymisen yhteydessä ilmestyvä sähköpostilinkki vie sivustolle josta "Web Paranoid", verkkosivustojen luotettavuutta seuraava yritys, kertoo (Digital-memberships-Pr) linkin osoitteesta:
"VAROITUS: Digital-memberships-premium(.)com on tunnistettu huijaukseksi – tiedot, arvostelut ja valitukset. Onko Digital-memberships-premium(.)com laillinen vai huijaus, voitko luottaa Digital-memberships-premium(.)com-sivustoon? Viimeisimmän tarkastuksen päivämäärä: 2023-11-22 premium.com on online-tilauspalvelu, joka on ollut lukuisten asiakkaiden valitusten kohteena."
ÄLÄ KÄYTÄ QR-KOODIA , vaan kirjoita selaimeesi "lidlplus.fi" ja mene LIDLin sivujen kautta tilaamaan palvelut TAI lataa LIDL-appi Google Play kaupasta.

Kyseessä on ilmeisimmin Android versioiden yhteensopimattomuus QR-linkin käsittelyn kanssa. Kun "vierailija" saapuu linkkiin, ohjelma haistaa mistä laitteesta vierailija on tulossa ja tarjoilee sen mukaisen sivukuvan. Nyt on ilmeisesti niin, että tässä kohtaa on haavoittuvuus, jota rikollinen on päässyt käyttämään ja ohjaa asiakkaan omille ansasivuilleen. Kerron seuraavassa postauksessa systeemistä tarkemmin. Niin kauan, kun ei ole tietoa mikä Android versio on epäyhteensopiva, ÄLÄ käytä QR-koodia, joudut ansaan!
(punainen viiva on minun lisäämäni, jotta koodi ei toimisi vahingossakaan tässä julkaisussa)

--------------------------------VAARALLINEN ESITE--------------------------------

VAROITUKSIA QR LINKISTÄ LÖYTYVÄSTÄ OSOITTEESTA
https://webparanoid.com/en/check-website/digital-memberships-premium.com
https://malwaretips.com/blogs/digital-memberships-premium-com-scam/


torstai 30. marraskuuta 2023

13 VIRUSTORJUNTA-ALAN YRITYSTÄ VAROITTAA

Näitä samalla kaavalla rakennettuja "deitti" -palveluilmoituksia saapuu massapostituksena edelleen.
Virustorjunta-ala on tietoinen mutta verkon käyttäjät eivät. Jokainen näistä deitti-ilmoituksista on VAARALLINEN. ÄLÄ KLIKKAA LINKKEJÄ!
Näiden estäminen on tehty hankalaksi, koska lähetysosoite ja ansaan vievä linkkiosoite vaihtelee / kirje.
Voit yrittää harventaa posteja myös estämällä sanan "dating". Ainoa asia mikä näyttää säilyvän samana näissä posteissa on vaarallisen linkin viimeinen kansionimi "lilly" ja viimeisimmät 7 merkkiä "770msyy", jotka vaihtuivat 28.11.2023 muotoon  "zetrfyw" (lilly kansio säilyi osoitteissa)
Tätä linkkiversiota sisältäviä spämmejä on saapunut toistaiseksi 60 kpl.
 
Jos suodatin mahdollistaa tuon perusteella tunnistamisen, niin hyvä. Muussa tapauksessa deletoi manuaalisesti kaikki. Naisten kuvat ovat 3D malleja ja useita kuvia käytetään uudelleen eri nimien yhteydessä, eli tällaisia ihmisiä ei ole edes olemassa.
Saman kaavan mukaan tuotettuja massa DEITTIANSOJA
on saapunut kuukauden sisällä toistaiseksi 60 kappaletta.

------------------------------DEITTIANSA----------------------------



keskiviikko 29. marraskuuta 2023

YKSI UUSI TAPA UITTAA SINUT ANSAAN

En harrasta näitä naiskauppa- tai seurustelusivustoja. Jos ja kun kuitenkin roskapostilaatikostani näitä löytyy kymmenittäin, ne ovat 100% huijauksia.

Tämä huijari lähtee kalastelemaan "rekisteröitymiselläni". Mahdollista on, että sivuston omistaja/haltija on käyttänyt minun sähköpostiani valerekisteröitymiseen ja saanut lähtemään tämänkaltaisen viestin, jotta saisi asiakkaita. Kuitenkin viesti kokoknaisuudessaan on todennäköisesti puhdas spämmi.

Spämmiksi tai ansapostiksi lähetyksen tunnistaa myös lukuisista domainnimistä, joita on käytetty viestin linkeissä ja postituksessa. Viestistä löytyy ainakin kaksi ja saman toimijan omistuksesta löytyy kolme eri domainnimeä, ilmeisiin huijaustoiminnan tarkoituksiin: "irishhotties(.)com","hotcanadababes(.)com","chicksfromcanada(.)com" ja lähetysosoite "eu-west-3.amazonses(.)com"  (miksi lähetysosoite ei ole sama kuin sivuston domain? ellei toiminta sitten ole tulenarkaa. Lue alimmalta riviltä miksi huijarit tätä osoitetta käyttävät). En myöskään, tuskin sinäkään, käyttäisit tuonlaista älytöntä käyttäjänimeä.

Virustorjuntasivujen Scam Adviserin, kyselyni domainin "hotcanadababes(.)com" luotettavuudesta, (joka on saman toimijan viritelmä, kuin "irishhotties(.)com"), antoi alla olevan tuloksen. osoitteesta:

"hotcanadababes.com has a very low trust score which indicates that there is a strong likelyhood the website is a scam. Be very careful when using this website!"
Suomennos: "hotcanadababes.com-sivuston luottamuspisteet ovat erittäin alhaiset, mikä osoittaa, että sivusto on erittäin todennäköisesti huijaus. Ole erittäin varovainen käyttäessäsi tätä sivustoa! (LINKKIÄ)".
Koska sylttytehdas on jokaisen domainin alla sama, tämä varoitus pätee myös muihin domaineihin tältä toimijalta.

Perusteita sivuston heikolle luotettavuudelle on:
- vähäiset käyntimäärät (nuori domain)
- nuori domainnimi tarkoittaa (hit and run massarekisteröinti, kuten venäläisillä trolleilla)
- epämääräinen kirje, jolle ei löydy perustetta (kuten yleensä huijauskirjeet)
- domannimen omistajatiedot on piiloitettu (kuten yleensä huijauskirjeet)
- kirje on lähetetty osoitteesta, jolla ohitetaan turvatarkastukset (kuten huijareilla on tapana. Lue lisää alta)

"hotcanadababes(.)com" domainnimestä varoitetaan myös usean virustorjuntayrityksen listoilla. Osoite on merkitty VAARALLISEKSI ja haittaohjelmien jakelijaksi.

Monet organisaatiot käyttävät Amazonin Simple Email Service -palvelua edullisena ja laajamittaisena pilvisähköpostipalvelun tarjoajana. Kyberrikolliset käyttävät tämän suositun palvelun tarjoamia paluupolkuominaisuuksia ohittaakseen tehokkaasti perinteiset sähköpostin turvatarkastukset. Ei ole helppoa erottaa näiden URL-osoitteiden laillinen käyttö ja laiton käyttö.

Näitä samankaltaisia "irishhotties(.)com" spämmejä on saapunut nyt kymmeniä. Venäläiset trollit, kuten moni muukin huijari, käyttää eri maissa rekistetöityjä domannimiä. Myös ansat alkavat mennä yhä mutkikkaammiksi, jotta lähetyssuunta ei paljastuisi ja posti sivuttaisi spämmisuodattimet.
Spämmereiden domanirekisteröintiä "suojataan" piiloittamalla rekisteritiedot mutta usein ansojen samankaltaisuus paljastaa toimijan.

 




KYSEENALAISTA DROPPARI - MARKKINOINTIA

Tällainen viesti saapui Dropboxilta. Sinänsä ihan asiallinen muuten, paitsi, että äkkinäinen vastaanottaja saattaa luulla saaneensa datalähetyksen (kuvia, videoita) joltakulta kaveriltaan tai asiakkaaltaan. "Your download is waiting", "Latauksesi odottaa".
Kyseessä onkin Drop Boxin APPin asentama kansio koneellesi.
"Our app adds a folder to your desktop that lets you automatically sync files to the cloud.!"
Suomennos: "Sovelluksemme lisää työpöydällesi kansion, jonka avulla voit synkronoida tiedostot automaattisesti pilveen."
Itse en aijo antaa vieraan apin asentaa koneelleni ylimääräisiä kansioita.
Miten kontrolloin, mitä Dropparista sitten on tulossa? Onko kaikki toivottua aineistoa? Pilveen on menossa mutta Dropparin pilvessä on limitti, jonka jälkeen data on maksullista.
Virustorjunta ei havaitse linkissä vaaraa mutta, mutta...
MIETI rauhassa ennenkuin hyväksyt asennuksen.

-----------------------------------VIESTI---------------------------------


17 VIRUSTORJUNTA - FIRMAA VAROITTAA NÄISTÄ

Nyt on menossa venäläisten trollien massapostituskampanja deittailu ilmoituksilla. Kenties ansatyyppi tuottaa tulosta, onnettomien uhrien langetessa "avatar"-tyyppisiin 3D naiskuviin.
Postituksen linkkiosotteet ovat todella VAARALLISIA virustorjuntayritysten varoitusten mukaan.
Kaikki nämä DEITTAILU -postit noudattavat samaa kännynäytölle sovitettua visuaalista ja toiminnallista kaavaa. Jokainen viesti saapuu "ikäänkuin" eri deittisivustolta. Sisältö ja lähetysosoite vaihtelevat, jotta spämmi ei tarttuisi roskapostisuodattimiin.
Ylimmän ansan linkki veisi Arabi Emiirikuntien domainilla olevaan osoitteeseen. Osoite / kone on mitä ilmeisimmin trollien hallussa. Kirje on lähetetty indonesialaiselta koneelta. Postitus voi tapahtua mistä päin maailmaa tahansa. Käsiala paljastaa lähteen samaksi.
Näitä samoja ansakirjeitä on saapunut nyt 3.12. mennessä 60 kpl. 8.11. alkaen.

-------------------------------------------VIESTI--------------------------------------------
Saman kaavan mukaan tuotettuja massa DEITTIANSOJA
on saapunut kuukauden sisällä toistaiseksi 60 kappaletta. LINKIT ovat vaarallisia!


NÄMÄ SAMANKALTAISET LINKKIOSOTTEET (alla) PALJASTAVAT SYLTTYTEHTAAN
Puoli-ilmaisia Domainnimiä on generoiotu määrätön määrä edellisten huijausten rahoilla (tai Venäjän sotakassan tukemana). Osa ansakoneista on selvästi eri yritysten koneita, eli ne on kaapattu vastaavalla materiaalille. Kaapatuille koneille on linkitetty sama ansamateriaali ja homma pelittää, kun ajattelematon verkkokansa klikkailee pahvinaamoja "seurakseen". Tässä alla olevat esimerkkilinkit on "kuohittu".

dohoavocuc(.)com/GrayceIdell/lilly/7wuwe5e770msyy
gsst-int(.)com/LessieAlvina/lilly/6lipfje770msyy
zitasolutions(.)com/TimikaNatosha/lilly/tm488ne770msyy
turkiyegenelidagitim(.)com/ZoePilar/lilly/6lipfje770msyy

28.11.2023 vaihtui linkin loppuosa (Lilly kansio säilyi)
Tätä linkkiversiota on saapunut toistaiseksi 22 kpl.

bu-india(.)com/JerleneViki/lilly/h0lavotzetrfyw
menu.exhaleloungeghana(.)com/LeonaPaulene/lilly/5bs4kltzetrfyw
menu.exhaleloungeghana(.)com/MartiAsuncion/lilly/i0xm19tzetrfyw
theusedmachine(.)com/BetseyJulie/lilly/2492qotzetrfyw
acslojistik(.)com/EldaTanja/lilly/6lipfjtzetrfyw

Kun seuraa domaineja, joihin tämän scammin ansasivut on istutettu, näyttää siltä, että valtaosa koneista on hakkeroituja, eri yritysten koneita, ELI TYÖNTEKIJÄT ovat klikkailleet ansalinkkejä ja päästäneet hakkerit koneelleen viruksen avulla. Nämä ihmiset ovat tukeneet Venäjän kyberhyökkäyksiä "jakamalla edelleen" tätä verkkosaastetta.
Tämän viestin antoi F-Secure kun googlasin tuota exhaleloungeghana(.)com osoitetta.


tiistai 28. marraskuuta 2023

VIELÄKÖ JOKU JAKSAA USKOA PERINTÖANSOIHIN?

Tälläkertaa perintönä on arvokas "kauppasopimus". Näitä saapuu aina silloin tällöin. Ikävä kertoa mutta rahavirta on ainoastaan yksisuuntainen, uhrilta huijarille. Lähettäjän postiosoitteen domain on rekisteröity Nepaliin ja lähettänyt kone löytyy Singaporesta. Ei se ihme, että ikäänkuin proffalla oli mahdollisesti ikäänkuin aamu menossa. Ranskalainen osoite on rekisteröity tuntemattomalle toimijalle.

------------------------------------KIRJE---------------------------------

Lähettäjä: Prof. Nicolas Gomart<support@gadhimainepal(.)com>

Good Morning. Please, would you be willing to come to France if I invited you or made arrangements for you to come to enable us to close a deal that worth twelve mil eur that involved a family member of yours who has been demised? Please, let me know in your response so that I can give you more information on the nature of the deal. Thank you Your Sincerely, Prof. Nicolas Gomart, nicolas.gomart@ccci-paris-idf.(.)fr

------------------------------------------------------------------------------

INTIALAINEN FACEBOOK ANSA

FaceBook kommenttina ansalinkki. Intialainen linkinlyhennyspalveluntarjoaja on piilottanut tämän huijkarin osotteen. Linkistä saattaa tulla koneellesi mitä tahansa. Vaikuttaa linkin nimestä päätellen, että ainakin puhelinnumerosi urkitaan. Mahdollisesti kaikki muutkin henkilötietosi.
Pahimmassa tapauksessa linkistä saapuu koneellesi VIRUS.

--------------------------------------FB-POSTAUS---------------------------------- 




maanantai 27. marraskuuta 2023

S-PANKIN NIMELLÄ KIRJAUTUMISANSA

Tällä sähköpostilla verkkorikollinen kerää S-Pankkitunnuksia.
ÄLÄ MISSÄÄN TAPAUKSESSA KIRJAUDU PANKKIISI
TÄMÄN KALTAISEN KIRJEEN LINKISTÄ!
TÄMÄ ON ANSA.
-----------------------------------KIRJE---------------------------------

Kirje saapui aivan muualta kuin S-Pankista (s-pankki-verkkopalvelu@mail(.)itli-i.info)  ja linkit vievät rikollisen kirjautumisansaan, jossa menetät pankkitunnuksesi ja pankkitilisi. 
https://wwww-online-s-pankkl-verkkopalvelu.ospa.fi/login(.)php
LINKKI ON ILMOITETTU VAARALLISEKSI VERKKOTURVAYRITYSTEN SIVUILLA. Tämä ei vie S-Pankkiin, (eikä Osuuspankkiin) vaan huijarin koneelle.

Vastaavia pankkiansoja on liikkeellä useita eri pankkien nimissä.