Netin ansoja: maaliskuuta 2025

sunnuntai 30. maaliskuuta 2025

VILAHTAVA XBOX GAME PASS POPUP-IKKUNA

Tämä kuvakaappauksessa näkyvä "pop-up-ikkuna" ilmestyy silloin tällöin hetkeksi selainikkunaan, sähköpostia luettaessa.

Kaivelin verkkoa ja löysin Suomi24 palstalta asiakaskokemuksen ja varoituksen tämänkaltaisesta Xbox ansasta jo vuodelta 2018. Nyt ansan osoite oli muutettu muotoon "Livecards. net".

--------------------------Suomi24------------------------------

Huijattuasiakas

2018-03-20 13:15:43

Hei!

Onko muilta huijattu rahaa livekortti. fi sivustolta?
Kuulostikin liian hyvältä ollakseen totta ja erehdyin ostamaan windows 10 product keyn kyseiseltä sivustolta. Product key oli käytetty.. Kyseinen sivusto myös poisti arvosteluni ja kommenttini sivuiltaan.
------------------------------------------------------------------

Oma F-Scecure varoittaa turkkilaisesta Xbox osoitteesta "Livecards. net". Tämän "pop-up-ansan" käyttäytyminen viittaa epärehelliseen toimijaan. ÄLÄ KLIKKAA KUMPAAKAAN BUTTONIA!

F-Secure varoittaa tästä sivusta keltaisen kolmion verran mutta muuttaisin värin PUNAISEKSI ilman epäröintiä. F-Secure ragoi GOOGLE-hakutulokseen. Sama varoitus olisi tullut jos olisin seurannut linkkiä.

Kaivelin lisää tietoa tästä firmasta ja vastaavia ikäviä kokemuksia löytyi palautesivuilta:

---------------------------------------------Trustpilot palaute 1--------------------------------------------
Johanna Xxxxxxxx

FI•2 arvostelua

Saanut 1/5 tähteä

2.3.2025

Älkää missään nimessä ostako tuolta…

Älkää missään nimessä ostako tuolta mitään! Ostin xbox ultimate game passin ja selvisi, että minulle lähettiin ilmais peli koodit! Poliisi suosittelee tekemään rikosilmoituksen lievästä petoksesta. Näitä kun saadaan kasaan tarpeeksi monta niin asialle saadaan tehtyä jotain

Asiointipäivämäärä: 27. helmikuuta 2025

---------------------------------------------Trustpilot palaute 2-------------------------------------------

Rob

FI•1 arvostelu

Saanut 1/5 tähteä

17.3.2025

Iso huijaus

Huijausta koko nettisivu.

Asiakaspalvelu on pelkkä botti joka väittää, että asia on hoidon alla.

Kohta kuukausi mennyt eikä vieläkään saanut toimivaa tuotetta.

Vastaukset täälläkin ovat copy/paste bottivastauksia jotka eivät johda mihinkään.

Älkää ostako täältä mitään.

Asiointipäivämäärä: 25. helmikuuta 2025

----------------------------------------------------------------------------------------------------------------------

Ville

HU•2 arvostelua

2.9.2018

Saanut 1/5 tähteä

AIvan turha yrittää tilata näiltä mitään...

AIvan turha yrittää tilata näiltä mitään jos satut asumaan ulkomailla, mutta kortti on kuitenkin Suomesta. Ei onnistu vaikka koittaisi PayPalin kautta tai suoraan kortilla, molemmilla tavoilla tulee hylkäystä.

Tuki toimii kohtalaisen heikosti kun näköjään lukevat vain jostain tietokannasta valmiita vastauksia eivätkä oikeasti yritä auttaa.

Valitettavaa kun täältä olisi saanut 12kk Goldin halvemmalla, mutta nyt meni rahat suoraan Microsoftille.

Enpä taida vaivautua käyttämään tätä firmaa enää uudestaan.

Asiointipäivämäärä: 02. syyskuuta 2018

------------------------------------------------------------------------------------------------------------

Joonas

FI•1 arvostelu

31.8.2018

Saanut 1/5 tähteä

Vahvistettu

Antakaa toimivia koodeja

Asiointipäivämäärä: 30. elokuuta 2018

---------------------------------------------------------------------------------------------------------------

Kävin läpi noita negatiiviseen palautteeseen annettuja vastauksia ja robottihan se siellä lupaa "palata asiaan" samatapaisin sanakääntein. Asiaan ei näiden ikävien kokemusten kommentoinnin perusteella koskaan palata.
Merkillistä on, että "verkon vartijat" eivät poista huijaria verkosta. Koska palvelin sijaitsee nyt Turkissa, en kauheasti edes odota verkosta ulosliputtamista.

------------------------------------------------------------------------------------------------------------------------

Katselin edelleen miten ponnarin saisi estettyä ja saahan sen.
Ensimmäinen kuvakappaus kertoo miten.

Juu. Tämä XBox ei ole lainkaan kiinnostava, päin vastoin. Googlen profilointi laukkaa metsään ja syvälle niin luullessaan.
Poistin "sivuston ehdottamat mainokset". Katsotaan miten tilanne etenee. Tämä oli jälleen yksi uusi GOOGLEn järjestämä porsaanreikä emmentaalijuustolta vaikuttavaan GOOGLEn turvajärjestelmään. Punaiset viivat ovat laittamiani korostuksia. Tuo ympyrän sisällä oleva buttoni oli sininen ennen toimenpidettäni.

perjantai 28. maaliskuuta 2025

ÄLÄ KIRJAUDU KOSKAAN LINKIN KAUTTA PANKKIISI

Tästä on varoitettu jo useita kertoja tässä blogissa, sekä tiedotusvälineissäkin.
Yhdestäkään e-mailin sisältämästä linkistä EI SAA KIRJAUTUA PANKKIIN!

Nämä kirjeet ovat ansoja ja kirjautumistietosi kaapataan ja tilisi tyhjennetään.
Kirjeitä tulee kaikkien pankkien nimissä, sekä omakanta ja kanta - ym. suojattujen palveluiden nimissä.
Missä tahansa kirjeessä, millä tahansa verukkeella, saatetaan pyytää "pankkikirjautumista" ÄLÄ KUITENKAAN KIRJAUDU!

Kirje ei saavu S-Pankista, kuten alleviivatusta osoitteesta näkee.
Pankit eivät enää lähetä itsekään kirjeitä, joissa olisi kirjautumislinkki.
Pankkitilille saa kirjautua vain pankin todellisen verkko-osoitteen kautta.
Tässä tapauksessa osoite on: s-pankki.fi

----------------------------------------------KIRJE-------------------------------------

SAMOJA ANSOJA SAAPUU ERI PANKKIEN NIMISSÄ

ALLA LISTAA PANKKITIETOIHIN KOHDISTUNEISTA ANSA-KIRJEISTÄ

torstai 27. maaliskuuta 2025

AVATTU GOOGLE OSOITE MALLIKSI

Tässä sähköpostissa huijari on jättänyt koko GOOGLE osoitteen avoimeksi. Näkyvillä on, minkälaisia linkkiosoitteita tulee varoa (EI KLIKATA). Blogger-osuus on koodattuna ja alkaa seuraavasta "HTTPS" kohdasta, mutta se näyttää selkokielelle tulkattuna tältä: stephanie1230entry.blogspot. com.
Sen jälkeen, kun kaikki lyhennepalvelun linkit murrettiin, on verkkorikolliset siirtyneet tähän GOOGLEN mahdollistamaan ja suojelemaan piiloon.

Kun ansa lähetetään GOOGLEN gmail-ilmaistililtä (kuten tässä), ei edes lähettäjää tulla koskaan löytämään. Kattava rikollisten suojamekanismi.

Kuten aikaisemmissa postauksissani olen kertonut, tämä seurustelu- / seksispämmi on pääasiassa lähtöisin Venäjältä, eli GOOGLE ilmoittautuu kybersodassa venäläisen puolen tukijaksi, koska se ei halua tukkia tätä porsaanreikäänsä. Vai onko niin, että reikä on niin mahtava, ettei sille enää voida tehdä mitään. Tietotekniikka on ihmeellistä. Varsinkin, kun siihen liitetään RAHAn keruu.
https://fi.wikipedia.org/wiki/Google_(hakukone)

Kuvan alapuolella jatkan tämän ansapommin purkamista edelleen.

----------------------------------------KIRJE-------------------------------------

Kun tuon BLOGGER sivun avaa, sieltä löytyy tyhjä sivu, jonka otsakkeena on paljastava teksti:

How to Make Invisible Name Facebook Profile

(Kuinka tehdä näkymätön nimi Facebook-profiiliin) ts. kuinka piiloitetaan FaceBook tilin omistaja.
FaceBook on ollut jo pitkään huijareita pullollaan. Sama koodi toimii näköjään myös Bloggerissa.

BLOGGER tarjoaa myös runsaasti apuja <link href='https://www.blogger. com/static/v1/widgets/...
Kansiosta löytyy kaikkea kivaa apua verkkorikollisille.

Sivun lähdekoodista löytyy myös teksti:
""
Tämä tarkoittaa, että sivulta kerätään "EVÄSTE" -tietoa pimeästi, koska tätä ilmoitusvastuuta ei rikollinen noudata. Cookie-varoitusta ei sivulla näy, kun sille saapuu tai sivun selaimella ohittaa näkymättömänä.

Falcon Sandbox Reports: kertoo, että osoite on Suspicious (epäilyttävä)
UHKATASO: 62/100 Osoite sisältää mm. Spyware (vakoiluohjelman)
Ja lähettää dataa palvelimelle. "POSTs data to a webserver"

Koska varsinaiseen ansaan lankeaminen vaatii selaajalta (surffailijalta) omaa aktiivisuutta, vaarallisin osuus jää hänen omille harteilleen. Kun katselee ANY.RUN raporttia, voi nähdä linkkien määrästä että tarjolla on runsaasti ANSA-tarjontaa. Mm. 6 uhkaavaa linkkiä. Lue kuvan alapuolelta lisää.

Tästä ansasta varoittaa myös F-Secure virustorjunta:

"Tällä sivustolla ei kannata käydä"

https://8p2h.heartmeetup.online/aAoA?prid=tc4977026562_882455979&sub1=5356&usid=5356&email=hannu.kuukkanen@xxxxx.fi&uum=6A7AB4A2-1743059971.0841

F-Secure on merkinnyt tämän sivuston haitalliseksi. Tälle sivustolle ei kannata siirtyä.

Huomatkaa, että osoite ei enää ole GOOGLE tai BLOGGER osoitteessa ja linkkiin on poimittu minu e-mailosoitteeni. Siihen en ole suostunut missään vaiheessa. Tosin rosvoilla on varastettuna osoitteeni jo ennestään, koska haittapostia saapuu sen mukaan runsaasti.

Norton Safe Web virustorjunta on analysoinut myös sivuston 8p2h.heartmeetup.onl... turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.
Ihan tarpeeksi syitä MIKSI EI KANNATA KLIKATA YHTEENKÄÄN "GOOGLE+BLOGGER" osoitteella alkavaan linkkiin.

keskiviikko 26. maaliskuuta 2025

HOMMA JATKUU NETTIKAMEROIDEN MERKEISSÄ

Kirjeen pääkuvana on "ikäänkuin" keskeytynyt "Web Cam" pornovideo.
Ei siis ole, vaan on ihan tarkoituksella hämäykseksi tehty ansa onnettomille klikkailijoille.

On syytä muistaa, että koneesi Webbikamera on syytä pitää peitettynä aina, kun sitä ei tarvita.
Myöskään ei ole syytä langeta tämänkaltaiseen videoviestittelyyn. Videoleikkeitä voidaan käyttää kiristykseen ja tirkistelyyn.

Linkki vie tuttuun piiloansaan GOOGLE / BLOGGER linkin taakse. Kannattaa aina muistaa, että sähköposteissa jaetut VIDEOLINKIT ovat kaikissa tapauksissa vaarallisia. Ainakin niihin tulee suhtautua erittäin suurella varovaisuudella.

---------------------------------------------KIRJE----------------------------------------

SADAS GOOGLE / BLOGGER LINKKI

Näitä GOOGLE / BLOGGER linkin takse johtavia ansaposteja on nyt tullut SATA kappaletta.
Kyseessä on ilmeisen teollinen toiminta.
Kirjeessä (vaikka näyttäisi usealta buttonilta) on vain yksi ja ainoa osoite, joka on piiloitettu tuon GOOGLE / BLOGGER linkin taakse (linkki kuvan alapuolella, osittain). Kirje saapuu generoidusta ilmaisosoitteesta, joten lähettäjääkään ei löydy.

Kaikissa tapauksissa kirjeen linkki on aina yhtä vaarallinen, oli se sitten millaisessa kirjeesä tahansa. Pääasiassa kirjeiden laatu on tämän kaltaisia seurustelulla / seksillä houkuttelevia ansoja, koska varsinkin miespuoliset (ja pojat) eivät malta pitää näppejään irti ja menevät ansaan.

--------------------------------------KIRJE--------------------------------------

Virustarkistukset eivät löydä suoraa "ansaa" mutta linkistä johtuvien / tekemien kutsujen takaa löytyy osoite (https://www.google.com/url?q=https%3A%2F%2Flisachubb. com%2Fjsu), josta virustorjunta sanoo: "malicious", eli VAARALLINEN.

Todella harmillista on, ettei GOOGLE pysty estämään tätä toimintaa, vaikka se piilottaa heidän palvelimiensa / palvelujensa taakse vakavia uhkia.

tiistai 25. maaliskuuta 2025

FINDUS VIP - NIMISSÄ SÄHKÖPOSTIA

Kyseessä on FINDUS - nimisen yrityksen nimen kaappaus VIP pidenteellä.
Verkkorikolliset pyrkivät usein toimimaan jonkin tunnetun yrityksen nimissä, saavuttaakseen uhrin luottamuksen. Jos yritys ei ole suojannut jotakin verkkopidennettä, se on mahdollista kaapata.

Nykyisin pidenteitä on ääretön määrä, joten on syytä olla aina tarkkana, onko kyseessä aito domainnimi, vaiko tällainen nimen kaappaus. Tämän kirjeen kohdalla verkkohuijauksen voi helposti tunnistaa, koska "aihe" tuskin liitttyy elintarviketeollisuuteen ;)

Norton Safe Web on analysoinut sivuston findus. vip turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI. Eritoten videotiedostot (movies) ovat vaarallisia, sillä ne saattavat ladata koneellesi viruksen.

-----------------------------------------KIRJE-----------------------------------------

lauantai 22. maaliskuuta 2025

OUTO PONNAHDUSIKKUNA GOOGLE-LINKIN E-MAILISSA

Omalaatuinen ponnahdusikkuna laukesi GOOGLE/BLOGGER - linkin e-mailista.
Koitan selvitellä koodia mutta VAROITAN joka tapauksessa linkissä olevista ansoista. Ks. Lista kuvan alla. Lähdekoodissa näkyy myös venäläinen osoite (s020.radikal. ru) muiden outojen osoitteiden muassa. Löytyy kysely *.top-verkkotunnukseen – todennäköisesti vihamielinen. Norton Safe Web listaa linkin VAARALLISEKSI.

Lähdekoodista löytyvän, useasti kutsutun linkin "apyriet. click/tc7J3q...", on Norton Safe Web analysoinut turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

Alleged User-Reported Domain Abuse	Reported At
Alleged Phishing	2025-03-01 12:41:27 (UTC)
Alleged Spam	2025-01-21 21:00:33 (UTC)
Alleged Phishing	2024-10-24 19:21:17 (UTC)
Alleged Spam	2024-08-09 19:31:13 (UTC)
Alleged Phishing	2024-08-04 10:30:13 (UTC)
Alleged Phishing	2024-07-04 05:41:08 (UTC)
Alleged Phishing	2024-05-20 12:04:01 (UTC)
Alleged Phishing	2024-05-14 00:00:00 (UTC)
Alleged Phishing	2024-03-16 15:58:40 (UTC)
Alleged Phishing	2024-03-07 06:59:55 (UTC)

Pipsa esiintyy eturauhasvaivoissa ja Netflix tilauksessa

LUVATTOMASTI KÄYTETTYJÄ IHMISTEN NIMIÄ e-mailmuodossa, esiintyy useassa roskapostissa.
Tämä henkilönimi tuli vastaan jo aikaisemman NETFLIX huijauksen yhteydessä.

Kirje saapuu huijarilta Singaporesta (joka siis ei ole Pipsa). Huolimattomasti koodatussa kirjeessä ei ole linkkiä ja "reply" posti menisi VAARALLISEKSI todettuun osoitteeseen: Norton Safe Web on analysoinut sivuston dopecfo. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

--------------------------------------------KIRJE-------------------------------------

Eturauhas-huijauksia saapuu aina silloin tällöin.

Näiden idea on henkilötietojan ja mahdollisesti luottokortti ja pankkitietojen kalastelu. Eturauhaslääkintä on syytä hankkia apteekista.

torstai 20. maaliskuuta 2025

MILLOIN E-MAIL VAHVISTUSTA EI PIDÄ TEHDÄ

ÄLÄ KOSKAAN VAHVISTA E-MAILIASI tämänkaltaisen kirjeen kehoituksesta.
Näitä saapui peräkkäin lähes kymmenen kappaletta. Varsinainen spämmäys.

Norton Safe Web on analysoinut sivuston becoquin. com/site turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI

---------------------------------------------KIRJE--------------------------------------------

PDF LIITE ANSA

Älä avaa tällaisen kirjeen liitettä! Se on ANSA. Kirje on saapunut ilmaisosoitteesta (gmail), joka aina on hälyyttävää, tämankaltaisissa tapauksissa. Kirjeen sisältämän liitteen analyysia, kuvan alapuolella.

-----------------------------------------KIRJE---------------------------------------------

Kirjeen lliitteen sisällä oli HTML sivu, jossa olisi pitänyt kirjautua. HTML koodi viittasi useampaan otteeseen Applen "apple-mobile-web-app" laitteeseen. Sivun ohessa oli PDF muotoinen liite, jonka purin (mutta en avannut). PDF sisälsi seuraavia asioita:

/Producer (Apache\040FOP\040Version\0402\0562) (tuotettu Apace palvelimella)

/Author (Anita\040Davis) (liitteen tekijät, tai ikäänkuin tekijät)

/Title (cool\040secret\040rendezvous) (otsake viittaa "salaiseen tapaamiseen")

/Subject (cool\040experience\040with\040something\040special\040for\040you) (aihe viittaa "erityiseen kokemukseen" = ansaan houkuttelua)

/Creator (Apache\040FOP\040Version\0402\0562) (tuotettu Apace palvelimella)

/CreationDate (D\07220250320065837) (tekopäivä 07.2.2025)

/URI (https\072\057\057bodang\056click\057txkRSBcRB\0550) (outo, löytynyt linkki viittaa mahdollisen ulkopuolisen tiedoston/ohjelman lataamiseen. Linkki ei toimi sellaisenaan, joten olettaa sopii, että PDF:n sisällä on koodia, joka täydentää osoitteen kun linkin "klikkaus" tapahtuu)

HOUKUTUSLINTU TOIMII AINA

Näitä erilaisia seksistisiä ansoja saapuu jatkuvasti. Olen aikaisemminkin varoittanut, että poikkeuksetta jokainen e-mailina saapuva "seurusteluehdotus" on ANSA.
Hanki seurustelukointaktisi muualta, luotettavilta palstoilta, joiden ylläpitäjät ovat tiedossa.

Tämänkin kirjeen likki vie VAARALLISEEN OSOITTEESEEN. Tarkempi analyysi kuvan alapuolella.

-------------------------------------KIRJE--------------------------------------

LINKKI ANALYSOITUNA:

Scam Detector

Domain Blacklist Status. Detected on blacklist engines
(löytyy verkon mustalta listalta)

Norton-luokitus

Norton Safe Web on analysoinut sivuston tutioe.com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

Falcon Safe Web

Possible high-risk domain detected (korkean riskitason domain (osoite) havaittu)

Vastustajat (huijarit) voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin.

keskiviikko 19. maaliskuuta 2025

ILMAINEN NETFLIX ON ANSA

Netflixin nimissä on aikaisemminkin saapunut vastaavia ansoja.
Linkki jatkaa matkaa osoitteeseen, joka on merkitty VAARALLISEKSI useammassakin virustorjunnan tarkastuksessa.

Linkki alkaa IP osoitteella, kuten moni muukin vaaralliseksi todettu linkki (5.230.210. 133/fwd/...)
Välipisteillä pyritään eksyttämään spämmisuotimet. Se yksin jo paljastaa rikoksen yrityksen. Pipsalla ei varmastikaan ole mitään tekemistä tämän kirjeen kanssa. Vastaanottajien nimilista, kertoo spämmiosoitelistan käytöstä.

-------------------------------------------------KIRJE------------------------------------------------

http://5.230.210. 133/fwd/... VPN ansa

Redirects to (ohjaa edelleen linkin):

Löytynyt vaarallinen linkkiosoite www.saleleaddeals. com/iw0-ypKz_uYJ-

Google Safe Browsing: Malicious for saleleaddeals. com

Norton-luokitus

Norton Safe Web on analysoinut sivuston saleleaddeals. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

KIRJE JOSSA ON VAIN LÄHETTÄJÄ

Kyse on verkkosuunnittelusta. Tällaisten kirjeiden tarkoituksena on jallittaa vastaaja "vanhanaikaiseen". Kyseessä on ikivanha seurusteluansan muunnos, jossa keskustelet todennäköisimmin robotin kanssa - ainakin aluksi. Jos konna havaitsee sinun olevan koukussa, alkaa erilainen lypsäntä. Aluksi vaikkapa henkilötietosi, tai firman tietosi (joita et saa missään tapauksessa, etkä koskaan luovuttaa e-mailkirjeiden perusteella). Tässä versiossa sinulta laskutetaan verkkosuunnittelusta, osittain luultavimmin etukäteen ja mahdollisimman paljon.

Kirjeessä tarjotaan verkkosivusuunnittelua Intiasta. Firmasta ja sen toiminnasta löytyy verkosta tietoa MUTTA tieto poikkeaa totuudesta. 12 vuotta kokemusta muuttuu domainnimen rekisteröinnin kautta 12 päivää vanhaksi, jona aikana firman maine on ajettu pohjamutiin.
Viruskannaus tuottaa ainoastaan negatiivista palautetta ja toteaa osoitteen VAARALLISEKSI.

Tämä postitusosoite "navigomobile. com" on luokiteltu eri virustorjunta-analyyseissä:

Norton Safe Web on analysoinut sivuston navigomobile. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI, kuten moni muu "virkaveli"

BforeAI Domain Score Malicious (100%)

ScamAdviser Domain Scam Score Malicious (81%)

Scam Detector 17.9/100 (71%) Proximity to Suspicious Websites 100% malware Score 4% Spam Score 5%

Falcon Sandbox Reports "malicious" Threat Score: 80%

-------------------------------------KIRJE------------------------------------

TOISTUVA VENÄLÄINEN ANSA

Tämän kirjeen linkit vievät samalle venäläiselle koneelle, kuin aikaisemmat kone-IP alkuiset linkit.
Venäjä on tehostanut myös verkkohyökkäyksiään laajalla rintamalla. Nyt on syytä suhtautua erityisellä varovaisuudella epämääräisiin e-maileihin. ÄLÄ KLIKKAA ja ÄLÄKÄ AVAA LIITETTÄ!

ÄLÄ MISSÄÄN TAPAUKSESSA "vahvista sp-osoitettasi". Sitä tällä kirjeellä yritetään. Myös edelleen haluttaisiin varastaa henkilötietojasi rikolliseen käyttöön. Nuo tekaistut vastaanottajaosoitteet ovat yksi hyvä tunnistuskeino ansapostille. En ole Eetu Satama, enkä missään tapauksessa lähetä "replyä", tai klikkaa linkkiä. Katso kirjekopion alapuolella olevaa viruskannaustulosta.

Väärän vastaanottajaosoitteen tarkoituksena lienee, että palauttaisit kirjeen lähettäjälle MUTTA NIIN JUURI EI SAA TEHDÄ.

-----------------------------------------KIRJE---------------------------------------------

Linkin kone-IP osoite 45.156.21. 68 on VENÄJÄLLÄ

Falcon Sandbox Analyses

Malicious domain detected

NORTON Safe Web kertoo linkin päästä löytyvästä domainnimestä.

"Input URL or Contacted Domain: "topnewlink. com" has been identified as malicious"

Norton Safe Web on analysoinut sivuston topnewlink. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

tiistai 18. maaliskuuta 2025

Venäjä pommittaa raskaasti verkossa!

Venäjä pommittaa raskaasti myös verkossa! Lyhyessä ajassa on saapunut useita Venäjältä kotoisin olevia spämmejä. Kaikki, joita olen ajanut virustorjunnan läpi, ovat olleet vaarallisia.
Tämänkin viestin vaarallinen osoite - Kone-IP 45.156.21.68 on VENÄJÄLLÄ

Kirjeen osoitteista löytyy myös aikaisemmin vaarallisissa kirjeissä olleita osoitteita. Alleviivattu punaisella. Kuvan alapuolella on virustorjuntayritysten raportteja tästä kirjen linkistä.

-------------------------------------------KIRJE-----------------------------------------

Falcon Sandbox Analyses

Malicious domain detected

Input URL or Contacted Domain: "topnewlink. com" has been identified as malicious

Myös Norton Sfe Web todistaa samaa: "Norton-luokitus on

VAROITUS" Norton Safe Web on analysoinut sivuston topnewlink.com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

EN OLE AUTOLIITON ASIAKAS

Tämä "tutkimus" on ANSA. Autoliitto ei myöskään lähetä sekakielisiä kirjeitä. Kirjeen linkki kuuluu sarjaan kone-IP alkuiset linkkiosoitteet. Ajoin virustarkistuksen läpi tuon linkkiosoitteen. Kuvan alla on tulos.
OTSAKE ON: "Meillä on yllätys Autoliiton asiakkaille." Ihan varmasti. Ainakin jos klikkailee tämän kirjeen linkkejä.

---------------------------------------------KIRJE---------------------------------------------

Falcon Sandbox Reports löysi linkin sisältä neljä vaaralliseksi luokiteltua sivustoa

Input URL or Contacted Domain: "3dimensionality. com" has been identified as malicious

Input URL or Contacted Domain: "starlightskythe. com" has been identified as malicious

Input URL or Contacted Domain: "sharedtris. com" has been identified as malicious

Input URL or Contacted Domain: "coaufu. com" has been identified as malicious

ONKO VENÄJÄLLÄ HÄTÄ?

Sinullekin tulee hätä ja mielenrauha katoaa, jos klikkailet tällaisen e-mailin buttoneita.
Kyseessä on venäläinen POMMI - kirje.
Yksi Roni Kamras on ainakin suomalainen muusikko, joka ei lähettele tällaisia kirjeitä kenellekään ilmaisosoitteen takaa. Tämä kirje ei saavu IF-vakuutuksesta, vaan Venäjältä.
Vastaanottajaa Tom Swahn, en tunne lainkaan. Tuskimpa sinäkään.

Muistakaa varoa näitä kone-IP:llä alkavia (numerosarja pistein eroteltuna) linkkiosoitteita:
"45.156.21. 68/fwd/P2Q9MjIwMiZlaT0xNTI0NzAwNjMmaWY9MTA2MCZs.."
Kuvan alapuolelta löytyy analyysiä osoitteesta.

---------------------------------------------KIRJE--------------------------------------------

Virustorjunta Falcon Sandbox Reports kertoo linkin päästä löytyneen: "Malicious domain detected"

Input URL or Contacted Domain: "topnewlink. com" has been identified as malicious.

UPS VALELÄHETYS

Mistä tunnistat UPS valelähetyksen?
Alleviivasin punaisella pari osoitteesta luettavaa asiaa. "postmedia. com" EI OLE UPS ja vastaanottaja et ole sinä vaan usein huijausposteissa käytetty tekaistu ilmaisosoite "elkharroubilah@gmail. com".

-----------------------------------KIRJE----------------------------------------

REKISTERÖITYMINEN ON VAARALLISTA

Rekisteröitymällä luovutat henkilötietojasi huijarille. Kun huijari yhdistää sähköpostiosoitteesi (joka hänellä jo on) ja sinun luovuttamat henkilötiedot, on hänellä mahdollisuus lunastaa nimissäsi verkko-ostoksia vastuuttomista verkkokaupoista ja kyseenalaisia palveluita yhtä vastuuttomilta verkkotoimijoilta.
Tämän kaltaisten kirjeiden LIITTEET voivat sisältää esimerkiksi VIRUKSEN.
Kyrilinen teksti kertoo kirjeen lähetysmaasta jotakin, samoin lähettän nimi (vaikka se olisi keksitty) ""timakov aliada 91". Vuosiluvun mukaan lähettäjä on 34 vuotias. E-mailin maatunnus "JP" ei tarvitse kertoa todellisesta lähettäjämaasta mitään. Kuvan alla on lisää tietoa linkistä.

-------------------------------------------------KIRJE-------------------------------------------------

SCAM DETECTOR virustorjuntapalveu analysoi lyhenteen takaa löytyneen osoitteen
"ruffledplumage. com"

Scam Detector -sivuston Validator antaa ruffledplumage.comille yhden alustan alhaisimmista luottamuspisteistä: 10.1. Se osoittaa, että yritys voidaan määritellä seuraavilla tunnisteilla: Epäluotettava. Riskialtista. Vaara.. Luotamme tulokseemme, koska teemme yhteistyötä myös muiden korkean teknologian petostentorjuntayritysten kanssa, jotka ovat havainneet samat ongelmat. Algoritmi havaitsi korkean riskin toiminnan, joka liittyi tietojenkalasteluun, roskapostiin ja muihin epäluotettaviin tekijöihin. Riskialtista. Lyhyesti sanottuna, suosittelemme pysymään poissa tältä verkkosivustolta.

Falcon Sandbox löysi osoitteesta kolme lisäosoitetta (linkkejä eteenpäin), joista jokainen oli VAARALLINEN: Malicious domain detected details

Input URL or Contacted Domain: "ruffledplumage.com" has been identified as malicious

Input URL or Contacted Domain: "toofasttracking.com" has been identified as malicious

Input URL or Contacted Domain: "hugelovegirls.com" has been identified as malicious

KOKO RATKAISEE KUKA MENEE ANSAAN

Ikuinen miehinen ongelma jatkuu. Ratkaisu ei löydy ainakaan tästä e-mailista. TÄMÄ ON ANSA, joka kätkeytyy jälleen GOOGLE / BLOGGER - osoitteen taakse. Nuo tutut lähettäjä- ja vastaanottajaosoitteet paljastavat sylttytehtaan.

------------------------------------------KIRJE---------------------------------------------

maanantai 17. maaliskuuta 2025

ANSA VENÄJÄLTÄ

Näin sota-aikaan ei Venäjältä voi odottaa mitään terveellistä. Tämän kirjeen linkin alkuosa on kone-IP koodi joka kone löytyy Venäjältä. Uteliaisuus saattaa tulla kalliiksi.

Kone-IP 185.228.234. 121 (Moscow, Russian Federation)

----------------------------------------KIRJE----------------------------------------

T-MAX HUIJAA RAHASI

otsake: Näin voit ylläpitää normaalia testosteronitasoa

jotka usein liittyvät testosteronitason laskuun.<hyvinvointi@postmedia. com> (Delivering high-value and data-driven marketing solutions - annetaan verkkorikollisten käyttöön)
Vastaanottaja: elkharroubilah@gmail. com (et sinä, vaan tekaistu ilmaisosoite)

LINKKI VEISI KONE-IP OSOITTEESEEN://31.184.251. 254/fwd/P2Q9MjE3OCZlaT0xNTI0NzAwNjMmaWY9MTEyOCZsaT01OA

(/fwd/ tarkoittaa) Redirects to: /www.saleleaddeals. com/iw0-ypKz_uYJ-AncPCzBJtZH367FGIt6Hp9N_oOhOFppaNzPF4rATCuXFUUnaEEq_yDHVWfd2n0gPBh...
Josta osoitteesta ei ole minkäänlaiisia omistajatietoja. Josta osoitteesta Norton virustorjunta kertoo: Varoitus. Norton Safe Web on analysoinut sivuston saleleaddeals. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

Efevtive address (SE LOPULLINE OSOITE) www.expressvpn. com esittää tunnetun VPN ohjelman pääsivun. En kuitenkaan, enkä missään tapauksessa teksi VPN selaimen hankintaa tämän linkin kautta.
JOS VPN Epress on mitenkään mukana tässä spämmäyksessä, se tahraa oman maineensa.
VPN selaimen etusivu löytyy muutaman muunkin roskapostin kautta. Se tuottaa ikävää mainetta.

---------------------------------------------KIRJE------------------------------------------

sunnuntai 16. maaliskuuta 2025

DUBAISTA PIMEÄÄ JA VAARALLISTA POSTIA

Otsake: Dive into Excitement and Joy! Confirm Your Email

Tämä, puolialastoman naisen kuvalla varustettu kirje on ansa. Myös varmistetut sähköpostit ovat arvokasta valuuttaa huijareille.

ANY.RUN ilmoittaa: Mahdollisesti verkkourkinta-URL-osoite, joka sisältää sähköpostin, on havaittu. "Vastustajat (huijarit) voivat lähettää huijausviestejä, joissa on haitallinen linkki yrittääkseen päästä uhrijärjestelmiin. Tietojenkalastelu linkin kautta on spearphishingin erityinen muunnelma. Se eroaa muista verkkourkinnan muodoista siinä, että se käyttää linkkejä sähköpostien sisältämien haittaohjelmien lataamiseen sen sijaan, että sähköpostiin liitettäisiin haitallisia tiedostoja."

Kirjeen linkki vie GOOGLE/BLOGGER osoitteeseen. Näitä vastaavia kirjeitä on nyt saapunut noin 70 kpl. Kyseessä on todella haitallinen osoitteenpiiloitussysteemi, josta Google on vastuussa. Se suojelee verkkorikollisia estämällä niiden paljastumisen.

----------------------------------------------KIRJE--------------------------------------------

Tässä alapuolella on ANY.RUN virustorjuntaohjelman kaappaama kuva varsinaisesta spearphishing - ANSASTA. Tuo linkki tuo koneellesi VIRUKSEN. klikkaatpa sitten YES taikka NO.

Scam Detector virustorjunta luokittelee myös google.ie-sivuston: "Tämä mittari mittaa asteikolla 1–100 pisteytettyä yhteyttä google.ie-sivuston ja epäilyttäväksi merkittyjen verkkosivustojen välillä. Kohonneet pisteet osoittavat vahvemman yhteyden näihin kyseenalaisiin verkkokohteisiin. On syytä huomata, että verkkosivustojen omistajat eivät välttämättä aina ole tietoisia sivustonsa läheisyydestä kyseisiin alustoihin tai palvelimiin. 80:n ylittävä (84,1) "Läheisyys epäilyttäviä verkkosivustoja" -pistemäärä on kuitenkin vahvasti osoitus korkean riskin verkkosivustosta, kun taas alle 30 tarkoittaa vähemmän uhkaavaa sivustoa."

Näiden todisteiden lisäksi, 99% e-mailien kautta saapuvien seurusteluehdotusten taustalla on 1) robotti, ei ihminen. Jos keskustelija osoittautuu ihmiseksi, kyseessä on huijari. 2) aina kyseessä on jonkin tyyppinen ansa. Linkki on aina vaarallinen.

lauantai 15. maaliskuuta 2025

DANSKE BANK ANSA JÄLLEEN

Kaikkiin pankeista tuleviin kirjeisiin kannattaa suhteutua varauksella. MISSÄÄN TAPAUKSESSA EI SAA KLIKATA pankista saapuvan kirjeen linkkiä. Pankit eivät enää laita kirjeisiinsä linkkejä, joista joutuisit kirjautumaan pankin palveluihin. Niitä linkkejä käytetään yleisesti ansatarkoituksiin, kuten tässäkin kirjeessä.
Kirjoita selaimen osoitekenttään pankin todellinen osoite. Esim. tässä tapauksessa "danskebank.fi".

Tämä kirje ei saavu Danske Bankista. KS. alleviivattu lähetysosoite.

------------------------------------------KIRJE--------------------------------------------

Virustorjunta Norton Safe Web on analysoinut sivuston (linkin) dollarioun.ajupis. org turvallisuus- ja tietoturvaongelmien osalta ja todennut sen VAARALLISEKSI.

Kuten linkistäkin saattaa nähdä, se ei veisi Danske Bankkiin.

perjantai 14. maaliskuuta 2025

VANHA TUTTU KIELIANSA

Tämä on vakiohuijaus, joka on analysoitu ja josta on varoitettu aikaisemminkin.
Linkkiosoite on huijauskirjeistä vanha tuttu "merramail98.github. io".
Falcon Sandbox Reports virustorjunta kertoo edelleen linkin olevan "Malicious" eli VAARALLINEN. Tunnus on rekisteröity Singaporessa.

--------------------------------------------KIRJE----------------------------------------

FALCON - raportti kertoo edelleen tuosta linkkiosoitteesta, joka "ikäänkuin" viittaa Amazon verkkokauppaan, joka ei ole totta. Kyseessä on vain yksi huijarin rakentama palvelinkansio:

https://merramail98.github. io/amazon/?dlpKcGhmcjhBQjhP...

Malicious domain detected

details

Input URL or Contacted Domain: "seekangels.com" has been identified as malicious

Input URL or Contacted Domain: "upsearching.com" has been identified as malicious

source

Network Traffic

Tämän ansan logiikka on, että asiakas (verkkovierailija) houkutellaan jonkin tilauksen tai muun asiakastietoja vaativan kirjautumisen yhteydessä, antamaan tietoja, joilla päästään asiakkaan tileille ja/tai laitteisiin.

Falconin sanoin: "Vastustajat voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin".

torstai 13. maaliskuuta 2025

USEAN KIRJEEN HAITTAPOSTIHYÖKKÄYS

Tällaista haittapostia saapuu nyt. Samat lähettäjä- ja vastaanottajanimet ja sama linkkiosoite.
Kaikki nämä kirjeet ovat VAARALLISIA ja ovat lähtöisin Venäjältä.

Kirjeiden, samaan ansaan vievä linkki on analysoitu kirjekopioiden jälkeen.
Nuo toistuvat lähettäjä- ja vastaanottajaosoitteet kannattaa laittaa spämmisuodattimeen.
Osa vastaavien osoitteiden kirjeistä on varmistettu olevan lähtöisin Venäjältä.

-----------------------------------------KIRJE------------------------------------------

KAIKISSA NÄISSÄ KIRJEISSÄ ON SAMA VAARALLINEN LINKKI

qd.hbmc. net/fwd/P2Q9MjEwOSZlaT0xNTI0...
Norton Safe Web virustorjunta on analysoinut sivuston qd.hbmc.net turvallisuus- ja tietoturvaongelmien osalta ja todennut sen VAARALLISEKSI.

Falcon Sandbox Reports vahvistaa linkin vaarallisuuden.

Jos haluat lisätä domainosoitteen roskapostisuodattimeesi, poista tyhjä väli pisteen jälkeen
( qd.hbmc. net ).

HAITTAPOSTIA TURKISTA

Turkkilainen haittapostittaja pommittaa erilaisilla "terveystuotteilla". Näistä kirjeistä löytyy VAARALLISIA linkkejä, joten tarkista, mistä osoitteesta kirje saapuu, ennenkuin reagoit siihen millään lailla. Kirjeen lähdekoodi sisältää myös vierasta kirjepostia piilotettuna. Tämä ja vastaavat kirjeet on syytä ohjata roskapostiin.

Falcon Sandbox Reports varoittaa linkin osoitteesta: Malicious eli VAARALLINEN

--------------------------------------------------KIRJE---------------------------------------------

ANY.RUN virustorjunta kertoo löydöksestään: Haittaohjelmat voivat käyttää "BackgroundTransferHost.exe"-prosessia piilottaakseen toimintansa ja välttääkseen havaitsemisen. Käyttämällä laillista prosessia haittaohjelmat voivat sulautua normaaleihin järjestelmäprosesseihin ja vaikeuttaa suojaustyökalujen havaitsemista. Lisäksi laillisen Windows-prosessin kanssa samannimisen prosessin käyttö voi hämmentää käyttäjiä ja suojaustyökaluja, jolloin haittaohjelman tunnistaminen ja poistaminen on vaikeampaa.

SAMALTA VERKKORIKOLLISELTA ON SAAPUNUT MM. NÄMÄ KIRJEET

https://vaarallinenweb.blogspot.com/2025/03/helppo-luotto-yrittaa-taas.html

VENÄJÄLTÄ PAKETTI POSTIA?

Tämä kirje on VAARALLINEN!
Huomiota kannattaa kiinnittää lähettäjän ja vastaanottajan e-mailosoitteisiin. Nämä toistuvat useissa eriklaisissa ansaposteissa. Myös tuo IP numero keskellä otsaketta on vaaran merkki. Tuo koneosoite löytyy Venäjältä. Provider JSC Selectel (RU ), IP location St Petersburg, St.-Petersburg, Russia (RU)

Falcon Sandbox Reports osoitteesta on: "Suspicious" EPÄILYTTÄVÄ

ANY.RUN analysoi tarkemmin osoitteesta löytynyttä koodia:

Tätä URL-osoitetta käytetään tiedoston lataamiseen isännästä "edgedl.me.gvt1. com", jonka polku on "/edgedl/release2/chrome_component/adhioj45hunqz5i2qq2nagx4ddghX_20230916.567854667.14/".

Tämän tapahtuman laillinen käyttö voi olla ohjelma tai sovellus, jonka on ladattava tiedosto Internetistä. Ohjelma voi käyttää HTTP GET -pyyntöä hakeakseen tiedoston määritetystä URL-osoitteesta ja tallentaakseen sen paikallisesti.

Tämän tapahtuman haitallinen käyttö voi olla haittaohjelma tai haittaohjelma, joka yrittää ladata ja suorittaa tiedoston Internetistä. Ohjelma voi käyttää HTTP GET -pyyntöä hakeakseen tiedoston määritetystä URL-osoitteesta ja suorittaa sen sitten järjestelmässä, mikä saattaa aiheuttaa vahinkoa tai suorittaa haitallisia toimia.

De Walt Bosh ARPAJAISISSA VOITTAA HUIJARI

Tämä kirje on osa venäläistä virustenlevityskampanjaa.
Viruksilla kerätään, rahan lisäksi, orjakoneita Suomesta. Näillä orjakoneilla hyökätään esimerkiksi suomalaisten yritysten, viranomaisten ja muiden tärkeiden ja verkon piirissä olevien haavoittuvien toimijoiden palveluihin, vahingoittaakseen, tai estääkseen niiden toiminnan.

Yksi huijauksen tunnusmerkeistä on nuo usein toistuvat peiteosoitteet (alleviivattu kuvassa). Ne eivät ole todellisia lähetys- ja vastaanottajaosoitteita, vaan niiden alla on aivan muut osoitteet. Niiden avula on kuitenkin helppo tunnistaa kirjeen kuuluvan VAARALLISIIN posteihin. Huijarit käyttävät yleensä tunnettuja tuotemerkkejä ja yritysnimi ja logoja näissä ansoissaan.

Lähetyskone on Venäjällä Pietarissa. Varsinainen ansalinkki johtaa samaan huijarin koneeseen, kuin NUBULAASTARI linkki, eli Venäjälle.

---------------------------------------------KIRJE-------------------------------------------

Analysoin tätä samaa haitallista linkkiä edelleen ja ANY.RUN löysi haitallisen tapahtuman.
"Tapahtuma on laukaistu suricata-sääntö DNS-haulle dynaamiseen DNS-verkkoalueeseen. Se on luokiteltu "Mahdollisesti huonoksi liikenteeksi" ja se liittyy haitalliseen toimintaan."

ANY.RUN löysi yhteensä 5 haitallista toimintaa tuosta linkistä.

Ajoin linkin viellä Norton Safe Webin kautta ja sain vastaavan raportin: "Norton Safe Web on analysoinut sivuston qd.hbmc. net turvallisuus- ja tietoturvaongelmien osalta ja todennut sen VAARALLISEKSI..

JOS JOTAKUTA KIINNOSTAA:
Todellinen lähetysosoite on: "X-Original-Sender: html+cb99afzyijdjfsg438qp10i62q4008vvm2xu6.22515.85619.xeg@wineandcountrylife. com

Received: from oreilly. com (wages-xyz. asia)" (lähettäjäkoneen IP on viimeisenä.)

NUBU JALKALAASTARI - HUIJAUS

Näitä on saapunut runsaasti aikaisemminkin. Käsittelen tätä ansaa ihan muistin virkistämiseksi ja lisävaroitukseksi. Huomaa usein toistuvat lähettäjä- ja vastaanottajaosoitteet. Ne ovat tunnusomaisia venäläiselle ansapostille.

Falcon Sandbox Reports virustorjuntaohjelma
kertoo kirjeestä lähtevän linkkiosoitteen olevan VAARALLINEN (Malicious)

Katsotaan tämän jälkeen mistä kirje on kotoisin. Postikone on Miamissa. Scannauksessa linkkiosoitteesta löytyi, muun muassa jatkolinkki topnewlink. com joka todettiin VAARALLISEKSI. Samoin, seurattiin kaikkia pääosoitteesta lähteviä linkkejä. Ne pyörivät jonkin aikaa USA:n puolella ja palasivat lopuksi Venäjälle. Tämä pääteasema huolestuttaa aina linkeissä. Tutustu kuvan jälkeen edellisiin vastaaviin sähköposti-ansoihin.

-------------------------------------------KIRJE-----------------------------------------

VASTAAVANLAISIA KIRJEITÄ

https://vaarallinenweb.blogspot.com/2025/01/ala-klikkaa-tata-hyvinvointilinkkia.html

MUITA "TERVEYS" -ANSOJA

https://vaarallinenweb.blogspot.com/2024/10/venalaiset-trollit-jatkavat-nivel.html
https://vaarallinenweb.blogspot.com/2024/10/akusoli-vasyneille-jaloille-heidan.html
https://vaarallinenweb.blogspot.com/2024/10/vaarallista-laakintaa.html
https://vaarallinenweb.blogspot.com/2023/12/jalkalaastari-venajalta.html

NIVEL-ANSOJA

https://vaarallinenweb.blogspot.com/2024/09/venalaista-huijausta-nivelille.html
https://vaarallinenweb.blogspot.com/2024/09/todennakoisesti-lompakkosi-paino-putoaa.html

VAROITUKSIA VENÄLÄISISTÄ KIRJEPOMMEISTA:

Olen kirjoittanut useita artikkeleita sähköpostiansoista, joiden jäljet päättyvät Venäjälle. Näistä valtaosa on todellisia kyberhyökkäystä valmistelevia, virusohjelmien levitykseen tarkoitettuja ansoja, osa varastaa pankki- ja Visatunnuksesi.

https://vaarallinenweb.blogspot.com/2023/03/suomi-pannaan-polvilleen.html

https://vaarallinenweb.blogspot.com/2022/08/venajan-kyberhyokkaysten-valmistelua.html

https://vaarallinenweb.blogspot.com/2022/02/uusi-roskapostitustyyli.html

https://vaarallinenweb.blogspot.com/2022/05/seurusteluansoja-venajalta.html

https://vaarallinenweb.blogspot.com/2022/09/5-sekunnin-aamukahvihack.html

https://vaarallinenweb.blogspot.com/2019/06/kehotan-boikotoimaan-kaikkea-e-mail.html

https://vaarallinenweb.blogspot.com/2022/09/ukrainalaisia-naisia-kaupataan-jalleen.html

https://vaarallinenweb.blogspot.com/2022/10/vaarallinen-ehdotus.html

https://vaarallinenweb.blogspot.com/2022/05/torkea-kiimaflirtti-ansa.html

https://vaarallinenweb.blogspot.com/2022/02/uusi-venalainen-spammeriosoite.html

https://vaarallinenweb.blogspot.com/2023/06/virus-postipaketti-postnordin-nimella.html

https://vaarallinenweb.blogspot.com/2022/01/venajalta-saapuvasta.html