sunnuntai 22. joulukuuta 2024

SANOMA OY:n tiedoilla vaarallista postia

Tämä kirje vaikuttaa olevan edellisen kirjeen lähettäjäporukoilta. Tässä on piiloitettu asioita vain enemmän. 
Kaikki lähdekoodissa oleva viittaisi siihen, että ansakirje on Sanoma Oy:n mainoksen ja linkkien pohjalta rakennettu, ilmeisesti spämmi-suodattimia hämätäkseen.

Lähettäjän osoite analysoituna: "Norton-luokitus VAROITUS. Norton Safe Web on analysoinut sivuston rtnsoftware. com turvallisuus- ja tietoturvaongelmien osalta."

Kirje esittelee kuvana myös aivan muunlaisen "tuotteen", kuin Sanoma Oy:n.
Vaarallinen linkki on, kuten edellisessä kirjeessä, tuo:
"Ongelmia tämän sähköpostin katsomisessa? Klikkaa tästä." (ÄLÄ KLIKKAA)

NORTON Safe Web virustorjunta luokittelee myös linkin "systeme. io" kuuluvan vaarallisiin. "MALICIOUS". Norton-luokitus Varoitus.

-------------------------------KIRJE-------------------------------------



KIRJE TEKSTIMUODOSSA


Vaarallinen linkki toistuu eri otsakkeiden alla, kuten edellisessä kirjeessä tuo:
"Ongelmia tämän sähköpostin katsomisessa? Klikkaa tästä." (ÄLÄ KLIKKAA TÄMÄ ON SAMA ANSA JA YHTÄ VAARALLINEN)




lauantai 21. joulukuuta 2024

Vaarallinen Kielenkääntäjä?

Tämä kirje kaikkinen linkkeineen, vaikuttaa luotettavalta MUTTA saapuu epäilyttäväksi luokitellusta osoitteesta "get-poliglu. com".
Kirjeessä on ainakin yksi linkki joka vie vaaralliseksi luokiteltuun osoitteeseen.
"Ongelmia tämän sähköpostin katsomisessa? <a href="https://ik.imagekitio/bvi9kxfyv/ryanairemail.html.txt?updatedAt=173081346746....__">Klikkaa tästä"."

VirusTotal (verkkotyrvatoimija) kertoo, että "ik.imagekit. io" osoite on VAARALLINEN

ScamAdvicer (verkkotyrvatoimija) kertoo lisäksi että osoite: "ryanairemail. com" on käyttäjämielipiteiden mukaan: "We found several negative reviews about this site".

Mitä tekemistä Ryanairilla on kielenkääntäjälaitteen kanssa? Paitsi luomassa huijaukselle hataraa uskottavuutta. 

Kirjeessä on liite johon ei myöskään kannata koskea. Huijareiden liitteissä tapaa olla VIRUS.

---------------------------------------KIRJE-----------------------------------


Kirje tekstimuodossa näytettynä. Näyttää aivan eri osoitteita. Minä en edes ole Harri Taxi.

Ja tuossa alinna on se VAARALLINEN LINKKI!


keskiviikko 18. joulukuuta 2024

S-Pankki ansa. ÄLÄ KOSKAAN PÄIVITÄ MITÄÄN EMAILIN LINKKIEN KAUTTA

Tämä kirje ei tule S-Pankista ja linkki vie rikollisen palvelimelle, joka vaikuttaa olevan hakkeroitu yksityiskone Chilessä. Lähettäjäosoite on ilmoitettu vaaralliseksi Norton Safe Web virustorjunta-alan sivustoilla.

Koneen menettäminen verkkorikollisille on uhkana kaikissa vastaavissa e-mail huijauksissa. Rikolliset hankkivat jatkuvasti uusia orjakoneita. Et välttämättä huomaa, että kone on rikollisen viruksen hallinnassa mutta pankkitilisi tyhjenemisen tulet huomaamaan.

Samasta aiheesta on myös varoitus:
https://vaarallinenweb.blogspot.com/2024/10/ala-paivita-tietojasi-tamakin-on-huijaus.html

-------------------------------------------KIRJE--------------------------------------


ÄLÄ MISSÄÄN TAPAUKSESSA KIRJAUDU PANKKITILILLESI TÄMÄN TAI VASTAAVAN KIRJEEN LINKESITÄ!
Pankkiasioita on hoidettava pankin virallisen verkko-osoitteen kautta. Se on tässä tapauksessa "s-pankki.fi".

.



tiistai 17. joulukuuta 2024

ILTALEHDEN NIMISSÄ UUTISANSA

Tämä kuuluu sarjaan "valeuutiset".  Jokin sensaatio. Tässä tapauksessa vanha käytetty vitsi, eli Antti Aarnio Wihurin talousvipu kryptovaluuttakeinottelulla.

ANSASSA:

Vaihe 1 kerätään henkilö- (ja mahdollisesti myös pankkitietosi) 

Vaihe 2 menetät tuon 300 euroa (olet onnellinen jos menetys jäisi vain tähän). Kun maksat tuota 300 euroa, teet sen jonkin maksupalvelun kautta, jolloin menetät kirjautumistietosi rikolliselle ja tilisi tyhjennetään, joko rahasiirtoina, tai verkkokauppaostoksilla.

Vaihe 3 huijaus jatkuu...

Huijaus kuulosta aina liian hyvältä ollakseen totta. Eikä tämäkään ole totta.
Lisää näitä samoja pötyuutisia:
https://vaarallinenweb.blogspot.com/2024/11/lisaa-facebook-ansoja.html
https://vaarallinenweb.blogspot.com/2024/11/facebook-vakioansat.html

--------------------------------------KIRJE---------------------------------------

Linkissä olevan domainnimen rekisteritiedot on peitelty. Anoa asia mikä tiedoista selviää, on että se on rekisteröity Islannissa, joka viittaa (ei Islantiin) Venäjän suuntaan. Trolleilla on ollut tapana rekisteröidä valedomannimensä ihan jossain muualla kuin Venäjällä. Useimmin käytettyjä maita ovat olleet juuri Islanti ja Alankomaat. Venäläisten huijarien kanssa toimittaessa vaarana on myös koneesi menettäminen (viruksen avulla) kyber-sodankäynnin välineeksi.

ILTASANOMIEN TOSIUUTNEN TÄSTÄ AIHEESTA:
https://www.is.fi/digitoday/tietoturva/art-2000010340610.html
YLE kertoo yhden vanhan kryptohuijaustapauksen tässä uutisessaan: 
https://yle.fi/a/3-12225404
 

maanantai 16. joulukuuta 2024

SEURUSTELUANSA

Minulla ei ole profiilia millään seurustelupalstalla joten ei voi olla "osumaakaan".
Tämä on tyypillinen seurusteluansa. Kirje on lähetetty Turkista.
Tarkistin "message" -linkin domainin ja se on todettu Norton Safe Webin toimesta VAARALLISEKSI.

---------------------------------------------KIRJE---------------------------------------



Lukuisa määrä e-mailansoja on alkanut saapua ".pro" ylätason domainilla päättyvin email-osoittein. Kannattaa suhtautua varauksella myös  .pro loppuisiin linkkeihin kirjeissä. Kun verkkorikollinen häädetään ulos yhden rekisterinpitäjän sivustoilta (leipomasta feikki-domaineita), huijari etsii seuraavan löperömmän rekisterinpitäjän.

Halvat domainrekisteröinnit ja linkkien lyhennyspalvelut, suosivat verkkorikollisia. Tuottamalla suuren määrän valedomaineita, rikollinen pystyy toimimaan aina hetken verkossa näennäisen "luotettavana", koska virustorjuntafirmat eivät ehdi tarkistaa huijareiden toiminnan vaarallisuutta, jos linkin päässä ei ole suoranaista virusta. Mm. henkilötietojen keruusivut näyttävät virustarkistuksen suuntaan aluksi vaarattomilta.  Nämä "seurustelupalstat" ovat yksi suuri, laiton, henkilötietojen kerääjäjoukko. Seurustelun nimissä lähetetään myös viruksia uteliaan klikkailijan koneelle.

ELISAN NIMISSÄ HUIJATAAN JÄLLEEN

ELISA ei ole lähettänyt tätä kirjettä. Kirje saapui Kanadasta. Konetunnus on mustalla listalla.
Samoin linkit eivät vie ELISA:n sivuille. Linkki on piiloitettu lyhennyspalvelun koodin taakse.
Piiloitetusta puolalaisesta domannimestä ei löydy verkon rekisteripalveluista tietoa. Toivon mukaan osoite on poistettu verkosta. 

TÄMÄ ON HUIJAUS jolla pyritään saamaa Elisan sähköpostitilisi rikollisten haltuun.
Vastaavia kirjeitä saapuu ilmeisesti muidenkin sähköpostipalveluiden nimissä.

--------------------------------------------KIRJE-------------------------------------------




sunnuntai 15. joulukuuta 2024

Asuuko naapurisi USA:ssa?

 Tämä linkki on vierustorjunta-alan toimijoiden ilmoituksen mukaan "EPÄILYTTÄVÄ". Olen ehdottomasti samaa mieltä. Videoihin osoittavat linkit ovat aina vaarallisia. Nimenomaan "pornovideot" ovat yleensä satavarmoja ansoja. 

Tämä lähettäjä väittää muuttaneensa juuri alueellesi mutta kirje on lähetetty USA:sta. Ei kuulosta luotettavalta, eikä naapurilta.  ".pro" loppuisia domainnimiä on alkanut saapua näissä spämmikirjeissä. Ilmeisesti on löytynyt uusi spämmisuodattimia kiertävä kultakaivos verkkorikollisille.

------------------------------------KIRJE-------------------------------


perjantai 13. joulukuuta 2024

Sama domain ja lähettäjänimi ansa

KAIKKI KIRJEET JOISSA LÄHETTÄJÄNIMI JA DOMANNIMI OVAT SAMOJA, OVAT HUIJAUSKIRJEITÄ! Näitä saapuu nyt kymmenittäin eri domainnimillä.

Esimerkiksi tässä e-mailissa: From: "folenes. com" <from@folenes. com>

Nämä domainimien massatuotannolla pyörivät "rakkauskirjeet" ovat lähtöisin yhdestä ja samasta sylttytehtaasta, VENÄJÄLTÄ ja niiden ensisijainen tarkoitus on saada vallattua verkosta mahdollisimman paljon orjakoneita Venäjän kyber-hyökkäyksiä varten.

Tämän kirjeen "VIDEO" linkistä saattaa, esimerkiksi koneellesi saapua VIRUS.
Kaikissa tapauksissa kirje on vaarallinen ja virustorjunta-alan verkkosivuilla vaaralliseksi luokiteltu. Katso kirjeen jälkeen olevat kaksi esimerkki virusraporttia.

----------------------------------------KIRJE---------------------------------------


Muiden verkkoaktiivien muassa Norton Safe Web kertoo videolinkin osoitteen olevan vaarallinen.


Falcon Sandbox virustorjunta raportoi tästä samasta samasta domainnimestä



Näistä Venäjällä tehtailluista, lähettäjän tuplanimin varustetuista ansakirjeistä, olen varoittanut mm: https://vaarallinenweb.blogspot.com/2024/11/venalais-ranskalaista-seurustelupostia.html




torstai 12. joulukuuta 2024

LAINAA VAIKO LOPULLINEN TILINTYHJENNYS

Tämän kirjeen linkkiosoite vie tunnettuun huijarin ylläpitämään, tai hakkeroimaan osoitteeseen. Toisin sanoen, ÄLÄ KLIKKAA! Lainaa et tule saamaan mutta menetät pankkitietosi huijarille ja tilisi tyhjennetään. Digitalfinans on olemassaoleva firma MUTTA tämän kirjeen linkit eivät vie tämän toimijan sivustolle. Nimen käyttö on hämäystä.

Lähetysosoite on myös erittäin epämääräinen. Se viittaa kiinalaiseen oppilaitokseen mutta ei missään tapauksessa minkäänlaiseen rahalaitokseen. 

Linkin osoitteesta ScamAdviser kertoo, että osoite on "We discovered mainly negative reviews for this site", eli enimmäkseen kielteistä palautetta tästä sivustosta on saapunut heille. Hybrid Analyses antaa tulokseksi: " MALICIOUS Threat Score: 70/100". Uhkan aste on 70/100. Samoin Nortonin Virustorjunta kertoo: "Varoitus! Norton Safe Web on analysoinut sivuston "ebtrk3. com" turvallisuus- ja tietoturvaongelmien osalta vaaralliseksi. 

-----------------------------------KIRJE-------------------------------


keskiviikko 11. joulukuuta 2024

VAARALLISET LIVEKAMERAT

Webbikamerat ovat yksi katalimmista ansatyypeistä. Chatti Appien yhteydessä saapuu koneellesi mahdollisesti myös (tai ainoastaan) VIRUS. Videochattien varjolla saadaan tehokkaasti levitettyä haittaohjelmia. Pornoasioissa järjelläkin on tapana seisoa.

Yksi suurimmista vaaroista on sessioista tallennettujen videoiden käyttö kiristyksessä. 
Näitä tallenteita uhataan levittää kaveripirillesi ja omaisillesi. ÄLÄ KLIKKAA. TÄMÄ ON ANSA!
Laitteiden hallintaan saatuja kameroita käytetään myös salakuvaukseen. Yksityisyytesi on mennyttä.

Kone, jolle linkki vie, löytyy vaarallisten roskapostittajien listalta. Samoilta listoilta löytyy myös tämän kuvassa olevan kirjeen postittajan osoite. 

-------------------------------------KIRJE-----------------------------------



sunnuntai 8. joulukuuta 2024

RANSKALAISIA SEURUSTELUKONTAKTEJAKO?

 Epäilen vahvasti näiden seurustelukirjeiden aitoutta monestakin syystä.
1) seurustelupalstakirjeet ovat suurin huijjauskirjeiden joukko e-maileissa ja sosialisen median alustoilla, koska seuraa vailla olevia verkkosurffaajia on liikkeellä suuria määriä. Helppoja saaliita.
2) jos kirje saapuu osoitteesta jossa on teksti "newsletter " tai "news" ja se saapuu sinulle tuntemattomalta taholta - se on 90% varmuudella huijauskirje. Tässä käytetään molempia sanoja
3) jos kirje olisi asiallisilta sivustoilta, se olisi, mitä todennäköisimmin käännetty vastaanottajan kielelle (sähköpostin maatunnus kertoo usein kielialueen, jos se ei muuten ole tiedossa). Tämä ei tietenkään kerro kirjeen vaarattomuudesta. Huijauskirjeitten paljastava puoli on, että niiden kohde on "massapostitus", jossa vastaanottajasta ei tiedetä mitään. Ei edes sukupuollta. Yksinäiset miehet ja pojat ovat enemmistö, joten sinne tähdätään. Robotti poimii massapostituslistalta osoitteen ja harvemmin nämä roskapostilistat on luokiteltu mitenkään. Aina roiskuu, kun rapataan ja joku pisara osuu.
4)  kaikki linkit vievät yhteen ja samaan osoitteeseen (huijari ei vaivaudu muuttamaan tekstisiällöltään eri linkkejä, jotka vievät samaan ansaan. Tässä tapauksessa ainoastaan yksi linkki poikeaa ja sekin (unsubscribe) on luultavimmin ihan samanlainen ansa, kuin muutkin. Näin on huijauskirjeissa tapana ollut.
5) näissä massahuijauskirjeissä yksi varma tunnusmerkki on lähettäjä nimen domainosoitteen kertaaminen: "From: "Plansdrague. com <newsletter@news.plansdrague. com>. Robotille nimeäminen on helppoa ja kun domainnimiä on runsaasti takataskussa, ei haittaa, vaikka edelliset jäisivät roskapostisuodattimiin. Tämä lähettäjäosoite on ollut hengissä ja toiminnassa, ainakain joulukuun alusta.

Diomainnimi on nuori, joten sitä ei ole virustarkistustahot scannanneet ja siitä ei ole merkitty varoittavia raportteja. Nämä kirjeet ovat varakkaan huijariporukan käsialaa, koska näitä uusia domainnimiä on perustettu kymmeniä, luultavimmin satoja.  Kirjeiden kielikin vaihtelee, eli huijari haravoi väljällä haravalla uhrejaan. 

--------------------------------------------KIRJE---------------------------------




perjantai 6. joulukuuta 2024

LIDLIN NIMISSÄ HUIJAUS

 Eipä ole aikaisemmin näkynyt mutta nyt näkyy. LIDL on päässyt huijausfirmojen listoille.
Tällä saksankielisellä "kyselyllä" yritetään houkutella ihmisiä antamaan henkilötietonsa ja mahdollisesti LIDL asiakastilitietoja. Lähettäjäkone on Venäjällä. Ja koska posti saapuu Venäjältä, on syytä olettaa, että sen avulla yritetään koneellesi ujuttaa myös VIRUS.

NORTON VIRUSTORJUNTA VAROITTAA LINKISTÄ.

---------------------------------------KIRJE-------------------------------------




torstai 5. joulukuuta 2024

ELISAN TUPLAMAKSU - HUIJAUS

ÄLÄ KLIKKAA LINKKEIHIN. TÄMÄ ON HUIJAUS!

Virustorjunta: ScamAdviser, kertoo, että linkki on "Malicious (100%)". Täys pommi.

Näitä saapuu kaikkien palveluntarjoajien nimissä. Olkaa tarkkana.

----------------------------------KIRJE----------------------------------



tiistai 3. joulukuuta 2024

Jälleen uusi huijausviritelmä S-Pankin nimissä

ÄLKÄÄ MISSÄÄN TAPAUKSESSA KIRJAUTUKO TÄMÄN KIRJEEN LINKEISTÄ. NE VIEVÄT ANSAAN, JOSSA PANKKITIETOSI VARASTETAAN JA TILISI TYHJENNETÄÄN:

---------------------------------------KIRJE-----------------------------------


Huijauskirje on helppo tunnistaa

1) kirje ei ole lähetetty S-Pankista vaan rikollisen, mustalla listalla olevasta osoitteesta Espanjasta 
2) linkki EI vie S-Pankkiin, vaan huijarin näköissivulle, jossa kirjautumisesi varastetaan. Osoite: "leroboferatun. com/ckjvj". Ei edes muistuta S-Pankin osoitetta. Osoittesta on varoitettu Norton Safe Web virustorjuntapalvelun toimesta. 
3) kirjeessä on useita kielioppivirheitä
4) KIIRE. 48 tunnissa pitäisi reagoida. 

Jos haluat varmistaa, että tilisi on käytettävissä, kirjaudu selaimen osoitekenttään itse kirjoittamasi pankin virallisen osoitteen kautta: "s-pankki.fi" Huijareilla on aina kiire, jotta et ehtisi miettimään kirjeen asiallisuutta tai sen todellista, rikollista luonnetta.

Näitä ja vastaavia pankkihuijauksia saapuu eri pankkien nimillä ja logoilla varustettuina.
Heti edellisen perään saapui seuraava ansa. Yhtä vaarallinen kuin yläpuolella oleva. Käryää heti myös lähettäjäosoitteestaan (webhospedaje).  Myös tuo tekstissä oleva linkki on väärennös. Sen alta piilosta löytyy rikollisen osoite lyhenepalvelun peittelemänä. Mihinkään linkkiin EI SAA KOSKEA.



maanantai 2. joulukuuta 2024

ONNEKSI HUIJARIT OVAT YKSINKERTAISIA

Näitä typeriä - samankaltaisia - "valejymyuutisia", satelee sähköpostiin ja FaceBook - sivuille maksettuina ilmoituksina. Nämä pitäisi kaikki jo osata ulkoa ja tietää varoa.

Tyypillistä on, että jonkun tunnetun henkilön nimellä ja lehden, tai muun "uutislähteen" nimellä ratsastaen kirjoitetaan mitä älyttömämpiä uutisia tai mielikuvituksellisia rahanansaintakeinoja (kuten tässä).
Jos ette ole aikaisemmin tienneet mitä valeuutiset tarkoittavat. Nämä ovat oiva esimerkki yhden laisista valeuutisista.  Nämä ovat rahan ansaintaan viittaavia. Vastaavia "höpöuutisia" löytyy myös poliittisin perustein.

ÄLKÄÄ MENKÖ ANSAAN. Se tulee kalliiksi.

-------------------------------------------KIRJE------------------------------------------




Tämä kirje saapui vanhasta huijarien postiosoitteesta, vietnamilaisen oppilaitoksen koneelta "ftp.edu. vn". Kone on todennäköisimmin hakkeroitu huijareiden toimesta. Ihmettelen, miksi tämä saastunut kone saa olla edelleenkin verkossa?  Yksi syy saattaa olla, että lähetys on itseasiassa tapahtunut G-mailin kautta, jolloin lähettäjä voi peitellä jälkiään.
Tämän kirjeen lähettäjän paikalla lukee: "From: Timo_Huhtamäki_Iltalehdestä <Iltalehti354108461598480@fpt.edu. vn>" eli tuo todellinen lähetysosoite on Vietnamissa, eikä suomalaisesta Iltalehdestä ole osoitteessa tietoakaan. Noita numeroita generoidaan osoitteeseen, jotta se pystyisi paremmin kiertämään roskapostisuodattimet.

Täältä löytyy näitä lisää:



sunnuntai 1. joulukuuta 2024

VEROVIRASTON NIMISSÄ JÄLLEEN HUIJATAAN

 Veroviraston nimissä tulee aina silloin tällöin ansakirjeitä. ÄLÄ KOSKAAN KIRJAUDU Oma-Veropalveluun minkäänlaisen e-mailin linkin kautta. Kun tunnistaudut palveluun väärennetyn linkin kautta menetät henkilö- ja pankkitietosi varkaille ja niiden mukana rahasi.

Tämän huijauksen tunnistaa välittömästi lähetysosoitteesta. "vonna. com" ei ole veroviraston osoite, eikä sen etuosakaan ole järjellistä tekstiä. Vastaanottajankin nimen kohdalla tulisi olla sinun osoitteesi. Linkki vie Norton virustojunnan VAARALLISEKSI leimaamaan osoitteeseen.

---------------------------------------KIRJE----------------------------------------



lauantai 30. marraskuuta 2024

Lainatarjous joka varastaa pankkitietosi

 E-mailitse saapuviin pikalainoihin ei ole mitään syytä vastata tai klikkailla. Nämä ovat tyypillisiä ansoja joissa kerätään sinun henkilötietosi ja pankkitietosi. Mahdollisesti myös pankkikirjautumisesi. Sen jälkeen tilisi tyhjennetään ja lainasta et tule kuulemaan sen koommin.

Lähettänyt kone on mustalla listalla ja sen toiminnasta on esitetty useita valituksia palveluntarjoajalle.

------------------------------------KIRJE-----------------------------------



LÄHETTÄJÄ "elbafopl.online@if.d.sender-sib. com"
"Tätä IP-osoitetta hallitseva ISP on SENDINBLUE SAS, josta on tehty 383 valitusta".
idccbgc.r.af.d.sendibt2. com  linkkiosoite on VAARALLINEN

GOOGLE tietää kertoa:
Sendinblue SAS "
Sendinblue on all-in-one sähköpostimarkkinoinnin ja markkinoinnin automatisointialusta, joka auttaa yrityksiä tavoittamaan asiakkaat sähköpostin, tekstiviestien ja chatin kautta. Se on yllättävän helppokäyttöinen ja siinä on laaja valikoima ominaisuuksia, kuten sähköpostimalleja, automaatiota, luetteloiden hallintaa, analytiikkaa ja paljon muuta." 

Jos Sendinblue ei valvo mitenkään asiakkaittensa sähköpostikampanjoitten laillisuutta, en käyttäisi tällaista firmaa mistään hinnasta omaan kampanjointiini. 
Alihankkijan maine tahraa myös yrityksen maineen.


perjantai 29. marraskuuta 2024

Vietnamilaisen oppilaitoksen nimissä saapuu roskapostia

Kirje näyttää kovin vaarattomalta, eikä useampikaan virustarkistusohjelma tai haittapostirekisteri, vikaa meinaa löytää.

Tämä ei tarkoita, etteikö kirjeen linkki olisi vaarallinen.
Normaalisti kyseessä voi olla äskettäin rekisteröity domainnimi, joka ei ole ehtinyt haittapostirekistereihin, tai sitten linkin päässä on henkilötietojenkeruulomake tai jatkolinkki kokonaan uudelle sivulle, jonka sisällöstä ei ole toistaiseksi virustorjunnalla tietoa.

Tässä tapauksessa "Falcon Sandbox Reports" virusanalyysi kertoo linkkiosoitteen olevan VAARALLINEN. Analyysi kesti hieman mutta tulos on selvä. Suosittelen Falconin käyttöä ennen klikkausta, jos on pakko jotain yleensä edes klikata.

Lähettäjäkone näyttää olevan vietnamilainen oppilaitos. Sähköpostin alkuosa viittaa "Viagraan" ja "erektioon", joten kirjeen tarkoitus selvinnee siitä. Kyseessä on ANSA.

------------------------------------KIRJE------------------------------------




Kirjeen lähetys on tapahtunut Gmailin kautta, joten lähettäjäkone jää piiloon. Joka tapauksessa kone on vietnamilaisen oppilaitoksen "ftp" domainimen takana. Toinen asia on, onko kirjeen lähettäjä Vietnamista, vaiko jostain muualta etäyhteyden kautta spämmiä lähettävä taho, kuten vankasti epäilen.


keskiviikko 27. marraskuuta 2024

Lisää FaceBook ansoja

FEIKKIUUTISILLA narutetaan hyväuskoisia.  Älä klikkaa.

Vaikka lähettäjäosoite "näyttäisi" luotettavalta, näet todellisen lähettäjänimen viemällä kohdistimen lähettäjänimen päälle. Huomaa, että nämä ilmoitukset ovat sponsoroituja (maksettu). Myös ".com" loppuiset domainnimet ovat maksullisia. Kuka maksaa ja mistä syystä maksaa tällaisista feikkiuutis-ansoista? Ei ainakaan rehellisellä asialla olla.
Pelottavinta on tämä maksettujen valeuutisten määrä. Taustalla pyörii iso organisaatio ja raha.
Viruskannaukset eivät näytä toistaiseksi kaikista osoitteista tulosta, koska domainnimet ovat olleet niin vähän aikaa käytössä. Falcon Sandbox Reports kertoo, että yksi osoitteista on "epäilyttävä".  "card.giftedtolerance. info" (kaksi kuvakaappauksista) on luokiteltu VAARALLISEKSI. Se ei tee muita osoitteita yhtään vaarattomammaksi.
Näitä ansoja on liikkeellä runsaasti. Ansojen valmistaja on yksi ja sama sylttytehdas.  

------------------------------------KUVAKAAPPAUS-------------------------------------



Game Over UPLA huiputtaa "tuilla" 


Kuka ihmeen Sheryl Plouffe ja mistä maasta? Ja YLEn nimissä. Höpö, höpö.


Iltalehden juttu? No ei varmasti.
Näitä "traagisia loppuja" on esitelty jo liki kaikille julkuille näissä valeuutisissa.


Edellisistä vastaavista varoitin aikaisemmin tässä kuussa





tiistai 26. marraskuuta 2024

Seurusteluansa Ranskalaisittain

Tähän kutsuun ei ole syytä klikata. Ranskan kieli ei tee siitä yhtään vaarattomampaa.
Domain on nuori ja epäilyttävä. Tämänkaltaisessa yhteydessä "news" kuulostaa samalta kuin huijausyritys ja on ollut yksi huijauskirjeitten vakio termi. 
Falcon Sandbox Reports kertoo, että linkki on VAARALLINEN.

-----------------------------------KIRJE---------------------------------


Samana päivänä saapui toinen vastaavan lainen samasta osoitteesta. Kyse on samasta huijarista.
Ilmeisesti ranskankieltä käytetään, koska oletetaan että sillä paremmin pääsee läpi spammisuodattimista.





maanantai 25. marraskuuta 2024

iPhone ansa Japanista

 iPhonen nimissä saapuu silloin tällöin ansaviritelmiä. Otsake: "Elisa-osasto. Pakettiasi ei voitu toimittaa". 
"The Uusin Malli" kuulostaisi vitsiltä, jos se esiintyisi muissa yhteyksissä.
Nyt on kyseessä vakava "The Huijaus Yritys". Kirje saapuu, tutusta huijarin osoitteesta Japanista. Lähettänyt kone on mustalla listalla. Linkki veisi sinut "cityhotelcarlton. com" osoitteeseen, joka on hakkeroitu Carlton Hotellin palvelin. F-Secure kertoo, että osoite on VAARALLINEN.

-------------------------------KIRJE------------------------------

F-Securen varoitus linkistä:
"F-Secure on merkinnyt tämän sivuston haitalliseksi. Tälle sivustolle ei kannata siirtyä."



sunnuntai 24. marraskuuta 2024

VENÄLÄIS - RANSKALAISTA SEURUSTELUPOSTIA

Venäjän trolliarmeija yrittää hämätä kieltä vaihtamalla.
Vastaavia kirjeitä on saapunut myös englannin, suomen ja saksan kielellä.

Kaikki "sormenjäljet" kirjessä viittaavat Venäjälle ja NORTON SAFE WEB virustarkistus kertoo, että kirjeessä toistuva, sama linkkiosoite on VAARALLINEN! Samoin vaaralliseksi on myös tulkittu lähetysosoite.

------------------------------------------KIRJE-------------------------------------------

 


POSTIN NIMISSÄ KIRJAUTUMISANSA

 ÄLÄ TUNNISTAUDU. Tämä kirje on ANSA!

Kirje ei saavu Postista, eikä siinä oleva linkki vie Postiin. Henkilötietosi ja kirjautumisesi varastetaan.

------------------------------------KIRJE------------------------------------


Linkki vie palvelimelle, jonka omistaa: "New Karoo Internal infrastructure". Virustarkastus kertoo, että palvelimelle pääsy on estetty. Vaikuttaa siltä, että palvelin olisi hakkeroitu rikolliseen käyttöön ja on mahdollisesti poistettu verkosta.




lauantai 23. marraskuuta 2024

Danske Bankin nimellä saapuneita kirjautumisansoja

Eri pankkien nimissä saapuvista huijausviesteistä on varoitettu runsaasti. Otin tämä esiin, koska se hieman poikkeaa aikaisemmista versioista. 

Mene pankkiisi ainoastaan pankin oman osoitteen kautta - EI MINKÄÄN LINKIN KAUTTA! Tässä tapauksessa "danskebank.fi" osoitteen kautta voit käydä katsomassa, olisiko pankillasi jotain asiaa sinulle.

Katso aina, mistä kirje saapuu. Tämä kirje EI SAAVU Danskebankista.
Lähettäjä on: newslettre@jcom.zaq.ne. jp  - maatunnus viittaa Japaniin.

Katso myös, minne linkki veisi (kohdistin linkin päälle - ÄLÄ KLIKKAA!):
"mijnsomgevinig.framework360. it/logon-default"
Tämän linkin maatunnus viittaa Italiaan ja Norton Safe Web on luokitellut linkin osoitteen VAARALLISEKSI.

---------------------------------------KIRJE--------------------------------------------


Nämä huijauskirjeet ovat yleensä kopioita pankin teksteistä. Myös pankkien logoja (tunnuksia) käytetään "vakuuttamaan" asiakas ansaan.
Vastaanottajan osoitteessa näkyy osoite, joka viittaa roskapostilistaan.

ALAPUOLELLA ON SEURAAVA VASTAAVA ANSA SAMALTA HUIJARILTA
Tätä tuksin kukaan täysjärkinen menee klikkailemaan. Ensin tervehditään "veroviranomaisena" ja jatketaan Danskebankkina. Lähettäjäosoite on ihan täyttä soopaa: servharddanske90-fgj9j9khg61-87k5jh649@jcom.zaq.ne. jp Jossa maatunnus viittaa jälleen Japaniin. Osoite on useammalla verkon spämmilistalla haitalliseksi mainittu.

Linkkiosoite on yhtä vaarallinen kuin edellisessä postissa: "danskee.multiscreensite. com/be" Tämä osoite on vaarallinen eikä kuulu Danskebankille, vaan vie sinut huijarin koneelle.








perjantai 22. marraskuuta 2024

LISTA VENÄLÄISITÄ KIRJEPOMMEISTA SEURUSTELUN VARJOLLA

Maailman vanhin ammatti toimii erinomaisesti verkossa. Tosin onnettomat, suomalaiset seurustelijat maksavat huomattavasti enemmän "seurustelun"  iloista, kuin mitä on "katuhinta". Rahan menetys ei lopu pankkitilisi saldoon limitteineen, vaan rikollinen voi otta vielä lainaakin sinun nimiisi.

Ajattelematon klikkailu vaarantaa myös suomalaisen infran ja tärkeiden palvelujen toiminnan luovuttamalla kone kyberhyökkäyksen välineeksi typeryyksissään.

VAROITUKSIA VENÄLÄISISTÄ KIRJEPOMMEISTA:

Olen kirjoittanut useita artikkeleita sähköpostiansoista, joiden jäljet päättyvät Venäjälle. Näistä valtaosa on todellisia kyberhyökkäystä valmistelevia, virusohjelmien levitykseen tarkoitettuja ansoja, osa varastaa pankki- ja Visatunnuksesi.

https://vaarallinenweb.blogspot.com/2023/03/suomi-pannaan-polvilleen.html

https://vaarallinenweb.blogspot.com/2022/08/venajan-kyberhyokkaysten-valmistelua.html

https://vaarallinenweb.blogspot.com/2022/02/uusi-roskapostitustyyli.html

https://vaarallinenweb.blogspot.com/2022/05/seurusteluansoja-venajalta.html

https://vaarallinenweb.blogspot.com/2022/09/5-sekunnin-aamukahvihack.html

https://vaarallinenweb.blogspot.com/2019/06/kehotan-boikotoimaan-kaikkea-e-mail.html

https://vaarallinenweb.blogspot.com/2022/09/ukrainalaisia-naisia-kaupataan-jalleen.html

https://vaarallinenweb.blogspot.com/2022/10/vaarallinen-ehdotus.html

https://vaarallinenweb.blogspot.com/2022/05/torkea-kiimaflirtti-ansa.html

https://vaarallinenweb.blogspot.com/2022/02/uusi-venalainen-spammeriosoite.html

https://vaarallinenweb.blogspot.com/2023/06/virus-postipaketti-postnordin-nimella.html

https://vaarallinenweb.blogspot.com/2022/01/venajalta-saapuvasta.html

https://vaarallinenweb.blogspot.com/2022/01/roskaposti-ryoppy-venajalta-jatkuu.html

https://vaarallinenweb.blogspot.com/2022/01/me-odotamme-vastaustasi-sinunnimesi.html

https://vaarallinenweb.blogspot.com/2022/04/venalais-ukrainalainen-naiskauppa-jatkuu.html

https://vaarallinenweb.blogspot.com/2023/10/venalaiset-muama-trollit-muuttuvat-nyt.html

https://vaarallinenweb.blogspot.com/2024/04/ukrainian-beauties-kaupataan-jalleen.html

https://vaarallinenweb.blogspot.com/2024/05/kaksi-venajalta-saapunutta.html

https://vaarallinenweb.blogspot.com/2024/03/paivittaako-s-pankki-venajalta-no-ei.html

https://vaarallinenweb.blogspot.com/2023/08/massiivinen-hyokkays-venajalta.html

https://vaarallinenweb.blogspot.com/2024/09/tama-laake-vie-rahasi.html

https://vaarallinenweb.blogspot.com/2023/05/seurustelu-ansat-toimivat.html

https://vaarallinenweb.blogspot.com/2023/07/video-chat-kirjeet-ovat-vaarallisia.html

https://vaarallinenweb.blogspot.com/2022/09/villisuhde-mutta-ei-suinkaan-ilmaiseksi.html

https://vaarallinenweb.blogspot.com/2024/11/pornokuvilla-kiristetaan.html

https://vaarallinenweb.blogspot.com/2024/11/seurusteluansoja-tehtaillaan.html

YLEN UUTINEN VRKKORIKOLLISUUDESTA 
Seurusteluansoista ei näy riviäkään, vaikka ne ovat erittäin vaikuttava ja ilmeisen toimiva osa huijauksia. Ei näitä liikkuisi tällaisia määriä, jos ne eivät toimisi.
Poliisi sijoittaa verkkorikollisuuteen. Uskon, että sijoitus tulee kannattamaan.


Pornokuvilla kiristetään

Tämä on tyypillinen pornokuvillakiristysansa. Eli sinua houkutellaan lähettämään itsestäsi pornokuvia ja niiden avulla sinua ryhdytään kiristämään. Jos et suostu maksamaan, uhkana on, että kuvasi levitetään ystäväpiirillesi, oppilaitoksesi osoitteisiin ja omaisillesi. 

Näiden kirjeiden joukossa on "valeansoja". EN KEHOITA TESTAAMAAN! Tämän kirjeen linkin osoite on merkitty virustorjuntasivuilla vaaralliseksi.

Kirje vaikuttaa samanlaiselta aikaisemmin Venäjältä saapuneitten huijauskirjeiden kanssa, joten sylttytehdas on siellä. Onko Putnilta loppumassa sotakassa? Ainakin on vielä varaa perustaa tukuttain eri domainnimiä, joilla sumutetaan spämmisuodattimia, kunnes domain taas poistetaan verkosta.
Tämä kampanja on kestänyt jo lähes kuukauden: 

ts16EW_ on toistuva osoitteen osa linkissä. Kampanja on 22.11.2024 edelleen menossa. Spämmäys alkoi  30.10.2024 
Videolinkki tai liite on aina erityisen vaarallinen. Mitä tahansa voi koneellesi saapua. Mm VIRUS.

----------------------------------------KIRJE-------------------------------------------


Linkit tässä kirjeessä vievät kaiki samaan ansaosoitteeseen.
Myös UNSUBCRIBE ja REPORT SPAM vie samalle, rikollisen koneelle "yodyndo. com/ts16EW_WfqP/u". Ainut ero on tuo /u joka tarkoittaa, että ansa luultavimmin laukeaa heti, koska et suostu kiristettäväksi.


maanantai 18. marraskuuta 2024

FACEBOOK VAKIOANSAT

 Näitä samanlaisia tai vastaavia ansoja kiertää FaceBookissa jatkuvasti.

Otsakkeena on mm. "hämmästyttävä moka", tai "ylivoimainen tapa tienata rahaa".
Jonkun julkkiksen tai tuntemattomammankin ihmisen "vastoinkäyminen" jossakin lehdessä tai muussa mediassa.

Tarkoitus on saada utelias ihminen klikkaamaan tätä artikkelia lukeakseen lisää.
Näin saadaan onneton utelias ansaan.

HUIJAUKSEN VOI TUNNISTAA AINAKIN UUTISEN LÄHETTÄJÄN NIMESTÄ, JOKA EI OLE yleensä SUOMALAINEN ja postaukset ovat maksettuja (sponsoroitu). ÄLÄ KLIKKAA!
Huijauksella rikastuneilla huijareilla on varaa sijoittaa huijausmainoksiin.

-------------------------------FB artikkeleita--------------------------

Frankie Beetlestone
Huijaa "Iltalehden nimissä" Sointu Borgin kustannuksella näin


KR banhaon nimellä pankkiautomaattihuijaus


Seuraava vastaavanlainen otsake tällä samalla kuvalla ilman passia, oli teemalla:
"Tämän aamun uutinen järkytti kaikkia suomalaisia"
Postaus oli tehty YLEn nimissä MUTTA ei siis ollut. 

Tästä teemasta oli tänään versio eri kuvalla. Sama teksti "Iltalehden" nimissä. Ilmeisesti tämä ansa vetää.
ÄLÄ sinä ainakaan mene halpaan.


Nämä ovat "täyttä potaskaa" ansauutisia

Ja tässä edellisen kopio Christopher J. Herndonin versiona;
järkytyksiä kaikille "Suomen asukkaat olivat järkyttyneitä"



NorthLab Electronics
ja vanha tuttu "mikrofooninsa oli päällä" -ansa
Tätä on usealla eri toimittaja- ja julkkisnimellä liikkeellä





maanantai 11. marraskuuta 2024

WHATSAPP ANSA

 Tämä kirje on suoraa jatkoa edelliseen massapostitukseen. Erona on ainoastaan, että tässä ratsastetaan Whatsapp -sovelluksen nimissä. Jokainen linkki tässä kirjeessä vie samaan ansaan. Älä klikkaa mihinkään. Kolme virustorjunta-alan yritystä on listannut linkin VAARALLISEKSI.

-------------------------------------KIRJE-----------------------------------



WhatsAppin nimissä on yritetty naruttaa ihmisiä aikaisemminkin. Tosin kaikki sosialisen median alustojen nimissä saapuvat kirjeet on syytä tarkistaa huolella, ennenkuin klikkaa yhteenkään linkkiin. Kannattaa lähteä aina siitä, että kyseessä on huijaus ja linkki saattaa tuoda koneellesi VIRUKSEN. Näitä kirjeitä saapuu, vaarallisimmillaan, jopa ystäväsi nimissä.


VENÄLÄISIÄ SEURUSTELUANSOJA TEHTAILLAAN ROPPAKAUPALLA

 KYMMENIÄ TEKAISTUJA JA/TAI VARASTETTUJA DOMANNIMIÄ ON KÄYTÖSSÄ

Tässä spämmikampanjassa on tunnusomaista, että tuo lähetysdomainnimi vaihtuu joka kerta, vaikka itse kirje saattaa ola "samanlainen", kuin edellinen. Näitä saapuu päivittäin (myös tekaistuista gmail osoitteista). Yhdessäkään tapauksessa ei ole kyse mistään seurustelupalstasta, vaikka sellaista yritetään vakuuttaa. 
Jokainen lähetysosoite (paitsi gmailista tulleissa) on myös linkin osoite, joten tämän kaltaisen postauksen tarkoitus on päästä läpi suodattimista, eikä isompaa huolta kanneta domainnimien joutumisesta mustalle listalle, tai joutumista poistetuksi kokonaan verkkoliikenteestä. Tämä on erittäin varma merkki siitä, että tarkoituksena on vahingoittaa vastaanottajaa (tai osoitteeseen klikannutta). ÄLÄ KLIKKAA!
Myöskään näiden kirjeiden mukana saapuvia videolinkkejä EI SAA KLIKATA.



Olen analysoinnut muutamia osoitteita mutta vaikutelma on, että jokainen osoite on VAARALLINEN, koska kirjeet ovat käsialaltaan aivan samankaltaisia ja kaikki ne, joita olen virustarkistanut, ovat olleet joko vaarallisia tai kyseenalaisia. Usein domannimi on ollut myös erittäin tuore, joten kaikkia ei ole listattu edes mustilla listoilla tästä syystä.

Yleensä näille osoitteille ei löydy edes verkkosivua, joka kertoo jo jotain toiminnan epämääräisyydestä ja tilapäisyydestä. Domannimien rekisteröintitiedot on myös piiloitettu, joten vastuutahoa ei löydy. Kampanjan laajuus ja toteutustapa viittaa vahvasti Venäjän suuntaan. Katso alin lista tässä postauksessa.

bububak. com (11.11.2024) Bahama Nassau, Detected by 1 Blocklists, HTTPS Connection No Valid HTTPS Found
kegitch. com  Potentially Unsafe
gavulat. com Norton-luokitus Varoitus
ternicor. com  Potentially Unsafe
aikanoc. com  Potentially Unsafe
nimarg. com Norton-luokitus Varoitus
ogingia. com Norton-luokitus Varoitus
rilaum. com  Potentially Unsafe
dronpr. com Norton-luokitus Varoitus
viressi. com (video) Norton-luokitus Varoitus
urepy. com  Potentially Unsafe
eyologr. com  Potentially Unsafe
arumism. com  Potentially Unsafe 
hydrush. com  testaamaton mutta potentiaalisesti vaarallinen
iguatic. com  Potentially Unsafe
seconym. com  testaamaton mutta potentiaalisesti vaarallinen
ovistra. com  testaamaton  No Valid HTTPS Found (ei verkkosivua) potentiaalisesti vaarallinen
hadatil. com  Norton-luokitus Varoitus 
aednene. com Norton-luokitus Varoitus 
utocoman. com  Norton-luokitus Varoitus 
udotype. com   Norton-luokitus Varoitus 
aullani. com  Norton-luokitus Varoitus 
alpisce. com  Norton-luokitus Varoitus 
dyedic. com  Norton-luokitus Varoitus 
horbaln. com  testaamaton (liian nuori)
conephi. com  Norton-luokitus Varoitus 
pferome. com  Norton-luokitus Varoitus 
yarpasc. com   Norton-luokitus Varoitus 
pleskad. com   Norton-luokitus Varoitus 
fistiet. com   Norton-luokitus Varoitus 
ignelor. com (video)  Norton-luokitus Varoitus 
sitekoly. com   Norton-luokitus Varoitus 
feawfit. com  Norton-luokitus Varoitus 
guellit. com Domain testaamaton (2024-08-21) ei verkkosivua, potentiaalisesti vaarallinen
myisin. click Norton-luokitus Varoitus 
ivatas. com  Norton-luokitus Varoitus 
tolerni. com  Norton-luokitus Varoitus 
diophe. com   Norton-luokitus Varoitus 
fepasio. com (video)  Norton-luokitus Varoitus 
guellit. com  testaamaton (ensimmäinen saapui 30.10.2024 Bahamalta) potentiaalisesti vaarallinen

Uudet vastaavat, tämän huijauskampanjan kirjeet saapuvat näköjään enimmäkseen tekaistuista gmail-osoitteista, joten alkaa pojilta (ei tytöt mitään näin älytöntä tee) domannimet loppua.

SUURI JOUKKO TEKAISTUJA DOMAINOSOITTEITA:
yodyndo.com/ts16EW_WfqP 22.11.2024 tämä vaarallinen roskapostikampanja on edelleen menossa. Tämä kirje saapui Bukarestista, Romaniasta

ts16EW_ huomaa toistuva osuus linkissä. Rekisteröintimaa ei välttämättä kerro, mistä posti on lähtöisin mutta suuri edustus venäläisillä osoitteilla ja yleensäkin huomattava spämmimassa, viittaa vakavasti järjestelmälliseen rikollisuuteen eli siihen suuntaan. Rekisteröinnin pystyy tekemään verkon yli mihin maahan tahansa. Venäläiset trollit ovat laiskistuneet ja pitäytyvät myöhemmissä posteissa venäläisissä osoitteissa. Saattavat tulla myös edullisemmiksi, jos on Putinin tuki takana.

guellit.com/ts16EW_P_3d (30-10-2024 alkoi) Nemtcov Nikolai Alexandrovich, Russia (RU )
awhecti.com/ts16EW_WpDO   Nizhnevartovsk, Khanty-Mansia, Russia (RU)
ampende.com/ts16EW_EVN0   Nemtcov Nikolai Alexandrovich, Russia (RU)
equing.com/ts16EW_E7_9   INTERNATIONAL HOSTING COMPANY LIMITED (GB) POIKKEUS sääntöön
bicombe.com/ts16EW_EbQY   Nemtcov Nikolai Alexandrovich , Russia(RU)
emenexge.com/ts16EW_EzXS  Leaseweb Deutschland GmbH (DE) POIKKEUS
chrekom.com/ts16EW_EkBP   Nemtcov Nikolai Alexandrovich, Russia, Moskova (RU)
luctood.com/ts16EW_EpE8   (VIDEO)  Miran Ltd. Pietari, Russia((RU )
iskbaya.com/ts16EW_EiME   Nemtcov Nikolai Alexandrovich, Russia, Moskova (RU )
keverac.com/ts16EW_EeYL   Nemtcov Nikolai Alexandrovich, Russia, Moskova  (RU )
obusur.com/ts16EW_RT8Q    Nemtcov Nikolai Alexandrovich, Russia, Moskova  (RU )
zeousti.com/ts16EW_RSLY   Berch-Solutions-Limited (DE)  POIKKEUS
atlaci.com/ts16EW_R-I8    Rostelecom, Russia, Pietari
santraxi.com/ts16EW_RmrA  WIBO Baltic UAB, Alankomaat, POIKKEUS
iterlat.com/ts16EW_Rbyk  Nemtcov Nikolai Alexandrovich, Russia, Moskova  (RU )
viterlo.com/ts16EW_RjEo   Trunin, Andrew, United States, POIKKEUS
iguatic.comts16EW_Rgav   Detected by 1 Blocklists  (tuntematon Bahamasaarilla)

jne. kymmeniä tekaisuja osoitteita jotka vaihtuvat kirjeestä toiseen.
...
guellit.com/ts16EW_P_3d   Spämmäys alkoi: 30-10-2024  (tuntematon Bahamasaarilla)
1/94 security vendor flagged this domain as malicious (virustotal.com).

Näitä osoitteita ja samankaltaisia osoitteita on syytä varoa!
Ihan samoja venäläisä ansaposteja saapuu myös G-mail osoitteista

slinall. space/ts16EW_W_Nl sama linkki, LÄHETETTY Gmailista "IP on henkilökohtaisessa käytössä" Tämä on mielenkiintoista, koska tämän henkilön kone voidaan poistaa verkosta. Tietysti tämä kone saattaa olla myös "hakkeroitu" postituskäyttöön.

Osoite antaa myös virusvaroituksen (kuten yleensä kaikki nämä osoitteet)
Norton-luokitus "VAROITUS" Norton Safe Web on analysoinut sivuston slinall. space turvallisuus- ja tietoturvaongelmien osalta.

sunnuntai 10. marraskuuta 2024

NORDIC BANKS HUIJAUS

Tällaista pankkia ei oikeasti hakukoneella löydy. Sillä on erittäin laiha FB sivu mutta ei varsinaista virallista verkkosivua. Domainnimen rekisteritiedot on peitetty. Todellista omistajaa ei löydy. Nimi muistuttaa toisen, pankkipalveluta välittävän, toimijan nimeä.
Linkki ei kuitenkaan vie tuohon "nordicbanks" domainiin, vaan hyvin erikoiseen "elisanet10.ebtrk3. com/openurl?lid=6276775285096448&..." osoitteeseen, jolla ei ole mitään tekemistä "elisanet" osoitteiden kanssa. Linkistä löytyvä varsinainen osoite  "ebtrk3. com" on luokiteltu VAARALLISEKSI. Virusraportit kirjeen alapuolella.

ÄLÄ KLIKKAA LINKKIÄ, ÄLÄKÄ VASTAA TÄMÄNKALTAISEEN KIRJEESEEN. Kyseessä on ANSA. Lainaa et saa mutta oletettavaa on, että pankkitilisi tyhjennetään.

Kirjeen peiteosoite / palautusosoite osoittaa Vietnamiin.

---------------------------------KIRJE---------------------------------

Tämä allaoleva kirje saapui samalta HUIJARILTA. Aihe vaihtui mutta tarkoitus on sama. Sinulta kysellään henkilötiedot ja "tarjouksen" maksutiedot, jolloin luovutat rosvolle tärkeitä tietoja joilla sinua voidaan vahingoittaa taloudellisesti.


Näissä ansoissa on tämä sama, analysoitu linkkiosoite, joten ainoastaan aihe on muuttunut. Huijari yrittää tavoittaa erilaisia kohderyhmiä kynittäväksi. Linkissä oleva osoite "ebtrk3. com" on luokiteltu VAARALLISEKSI.



Tämä allaoleva kirje saapui samalta HUIJARILTA. Aihe vaihtui mutta tarkoitus on sama. Sinulta kysellään henkilötiedot ja "tarjouksen" maksutiedot, jolloin luovutat rosvolle tärkeitä tietoja joilla sinua voidaan vahingoittaa taloudellisesti.