Netin ansoja: 2025

perjantai 5. joulukuuta 2025

ELISA BLACK FRIDAY ANSA

Akusoli-huijauksen uusi versio.
Kuva ja logot on varastettu asianomaisen palveluntarjoajan sivuilta. Klarnan logossa oleva linkki vie vietnamilaiselle koneelle ja maksutietotunnistusansaan. Kun kirjaudut tuon linkin kautta, kirjautumisesi ja tilisi varastetaan.

Täysin samalla ilmeellä mutta eri aiheilla ja tuotteilla, saapuu useita vastaavia kirjautumisansoja.

Virustorjunta varoittaa linkistä: Detected Suricata Alert. Details: Detected alert "ET MALWARE Win32.Chroject.B Requesting ClickFraud Commands from CnC" (SID: 2020747, Rev: 12, Severity: 1) categorized as "Malware Command and Control Activity Detected" (PUA/PUP/Adware)

-------------------------------------KIRJE-------------------------------------

KEHNO POLIISI - HUIJAUS

Surkea huijausyritys mutta otan näytille, että kaikkea yritetään huijauslinjalla.
Kirje sisältää niin paljon virheitä, että sitä ei tarvitse analysoida.
Vastaavasta vanhemmasta kirjeestä avasin myös liitteen (ÄLÄ AVAA). Kirjeen/liitteen analyysi on osoitteessa: https://vaarallinenweb.blogspot.com/2025/11/poliisin-nimissa-pelottelu-jatkuu.html.

--------------------------------KIRJE---------------------------------

AIKAISEMPI VASTAAVAN LAINEN KIRJE
https://vaarallinenweb.blogspot.com/2025/11/poliisilla-pelottelua.html

MUITA POLIISIN NIMISSÄ SAAPUNEITA HUIJAUSKIRJEITÄ

https://vaarallinenweb.blogspot.com/2024/02/poliisi-lahettaa-jallen-kirjeen.html

https://vaarallinenweb.blogspot.com/2023/04/poliisi-huijaus-jalleen.html

https://vaarallinenweb.blogspot.com/2023/10/uusi-poliisi-huijaus.html

https://vaarallinenweb.blogspot.com/2023/07/poliisi-ei-laheta-s-postia-gmail.html

https://vaarallinenweb.blogspot.com/2023/02/poliisi-on-jalleen-liikkeella-haasteen.html

https://vaarallinenweb.blogspot.com/2023/01/poliisiylijohtaja-seppo-kolehmainen.html

jne. näitähän on. Älä usko yhteenkään.
Kirjeen juoni on yleensä ollut, että tunnustat tälle "poliisi" -huijarille tehneesi jotain ja sen jälkeen huijari kiristää sinua tällä tunnustuksella. Ansana saattaa olla, että "valepoliisi" pyytää tarkempia hekilö- ja yhteystietojasi "tarkistaakseen" tietojasi (valepoliisi ei tiedä tietojasi lainkaan, joten näin hän ne saa sinulta), tai peräti maksattaa sinulla olemattomia sakkomaksuja ja niiden perusteella pyytää pankkitietojasi. Myös liitteessä saattaa olla virus.

Älä avaa liitettä mutta jos, JOS osallistut kirjeessä kuvailtuihin toimiin, kannattaa ilmoittautua todelliselle poliisille. https://poliisi.fi/nettivinkki Samassa osoitteessa voit ilmoittaa itseäsi kohtaan tehdyistä verkkorikoksista.

SÄÄSTÖPANKKI KIINASSA

Jälleen kerran. KATSOKAA AINA ENSIN LÄHETYSOSOITE! "zjd. com" ei ole säästöpankki.

Domainin analyysi johtaa kiinaan. WWW4. alkuinen linkkiosoite ei ole standardi verkko-osoite. Googlaus kertoo, että numero 4 viittaa mahdollisesti johonkin rinnakkaiskoneeseen.
Linkki: https://www4.saastopankki.fi/pankki/kirjautuminen?1
Tässä tapauksessa kyseessä on ilmeisesti huijarin omalaatuinen tapa hämätä, että saastopankki.fi olisi ikäänkuin validi osoite, vaikka tuo alkuosa rikkoo osoitteen, ja piilossa oleva osoite viekin aivan muualle.
Todellinen linkki on: https://agonyseparation. com/ata.html? gaK0pZSQitMNHfA DG6cCfd8FN77N09zgkkhJjaAC. Tämän lisäksi piilossa on toinenkin osoite. Kenties jäänne edellisestä huijausviestistä: "www4.poppankki. fi"

--------------------------------------KIRJE-------------------------------------

DERILLA TYYNY ANSA

DERILLA nimissä yritetään jälleen huiputtaa.

Linkin osoite on virustorjunta Falcon Tesbed raportissa todettu VAARALLISEKSI.
Huijauskirjeissä kiire on tyypillistä.
Aikaisempi artikkelini tästä venäläisestä ansasta: https://vaarallinenweb.blogspot.com/2024/05/kaksi-venajalta-saapunutta.html

-------------------------------------KIRJE-----------------------------------------------

LISÄÄ TIETOA VENÄLÄISISTÄ ANSAPOSTEISTA

https://vaarallinenweb.blogspot.com/2022/09/venalainen-ansapostikampanja-jatkuu.html

Falcon Tesbed raporti linkin osoitteesta "jsjwl. com":

Malicious domain detected. Details:

CONTACTED DOMAIN: "allseasclear. com" has been identified as malicious
CONTACTED DOMAIN: "get-derila-ergo. com" has been identified as malicious

torstai 4. joulukuuta 2025

SISUSTUSLIIKE ON HUOLISSAAN GOOGLEN PILVITILASTA

Jälleen kerran: KATSOKAA MISTÄ VIESTI SAAPUU! Google ei lähetä viestejä, kuin omasta osoitteestaan "google. com" Varoituksissa saattaa olla tuon osoitteen edessä ns. alidomain osoite kuten "esimerkiksi "workspace.google. com" tai "one.google. com". Oleellista on, mihin sanaan osoite päättyy. "thingsthatmatter. be" osoite kuuluu belgialaiselle sisustusalan firmalle, jonka nimen taakse huijari piilottautuu.

VAROKAA! Linkin osoite vie vietnamilaiselle koneelle, ei Googlen palvelimelle.
Eksoottista alkuperään viittaa myös ÄÄKKÖSTEN taitamattomuus. Google kyllä osaisi.

Lähetysosoite on katalasti kierrätetty "googleusercontent"- palvelun kautta, jotta posti näyttäisi saapuvan, ikäänkuin Googlelta. Tätä huijarit nykyään tekevät muutkin, peittääkseen oman osoitteensa.
Olen kirjoittanut tästä huijauteksniikasta artikkelin: https://vaarallinenweb.blogspot.com/2025/10/googleusercontent-com-koneita-huijarin.html

---------------------------------------KIRJE---------------------------------------------

TXT muodossa kirje on tyhjä mutta HTML muodossa näkyy suurinpiirtein seuraava ilme.

keskiviikko 3. joulukuuta 2025

OMAKANTA KIRJE EI TULLUT OMAKANNASTA

ÄLKÄÄ klikatko tämän kaltaisen kirjeen linkkejä. Tämä on ANSA.
Kirjeen lähettäjä EI ole omakanta!, kirjeen otsikossa näkyy ongelmia ääkkösissä. Ulkomainen lähettäjä ei hallitse skandeja. Varsinainen teksti on todennäköisimmin kopioitu suomalaisilta verkkosivuilta tai kirjeistä. Vastaanottajan osoite on omalaatuinen. Siinä pitäisi olla sinun emailosoitteesi.

JOS päivität tietosi tämän kirjeen linkistä, sinulta varastetaan pankkikirjautuminen (vahva kirjautuminen) ja tilisi tyhjennetään.

---------------------------------------KIRJE-----------------------------------------

ONNITTELUT HUIJARILTA

Selvät huijauksen piirteet. Minulla ei ole e-mailtiliä @hirfire. fi palvelussa. Tuskin muillakaan, sillä sellaista osoitetta ei löydy verkosta. Alinna näkyvä email-osoite on piilo-linkki. johon EI SAA KOSKEA. Samoin liite on ilmeisen vaarallinen, koska kirje tähtää vähintäänkin henkilötietovarkauteen.

------------------------------------KIRJE----------------------------------

tiistai 2. joulukuuta 2025

VAARALLINEN TURVALLISUUSVAROITUS

Tämä kirje saapuu HUIJARILTA. Älä klikkaa linkkeihin, älä avaa liitettä, äläkä vastaa e-mailiin!
Kirje saapuu osakemarkkinoijan nimissä. Lähetysosoite on varastettu huijauskäyttöön.
Postiosoitteen etuosa, jossa tulisi olla jokin järkevä nimi, on diiba daabaa.

Linkin osoite vie huijarin koneelle: "protectetantivirus. shop"

Norton-luokitus: "Varoitus". Norton Safe Web on analysoinut sivuston christiansen.protectetant... turvallisuus- ja tietoturvaongelmien osalta. Norton-luokitus myönnetään automaattisen analysointijärjestelmämme tulosten perusteella. "Tietojenkalastelu"

Falcon Sandbod raportoi osoitteesta: Detected malicious domain extracted during analysis. Details: EXTRACTED DOMAIN: "protectetantivirus. shop" identified as malicious but was not contacted during execution (Source: EXTRACTED_FILE_DOMAINS)

Sama huijari on yrittänyt huijausta aiemminkin, josta postaukseni kertoo osoitteessa:
https://vaarallinenweb.blogspot.com/2025/11/pilvipalvelu-suojaa-viruskaupasta.html?m=0

--------------------------------------KIRJE-----------------------------------------

sunnuntai 30. marraskuuta 2025

AKTIA TURVAPÄIVITYS ANSA

VAROKAA pankkien nimissä lähetettyjä kirjeansoja edelleenkin!

Minulla ei ole tiliä Aktia-pankissa, joten tämä kirje on senkin vuoksi ansapostia.

ÄLKÄÄ klikatko mitään linkkiä, älkääkä avatko liitettä.
Virustorjunta on löytänyt kirjeestä vaarallisen linkin, joka vie osoitteeseen "affec. tv". Falcon Sandbox kertoo löydöstä: "Malicious domain detected. Details: CONTACTED DOMAIN: "affec. tv" has been identified as malicious".

Tähän kirjeeseen pätee kaikki rosvopostin tunnusmerkit:

1) kirje saapuu asiakaskuntaan kuulumattomille henkilöille
2) kirje saapuu osoitteesta "epoxa. de" - ei saavu AKTIA-pankista
3) päivämäärällä uhkaaminen
4) kaikenlainen uhkaileminen pankkikirjessä on vaaran merkki
5) pankkien kirjeissä ei nykyään enää käytetä kirjautumislinkkejä, joten kirje ei tule pankista

---------------------------------KIRJE----------------------------------

lauantai 29. marraskuuta 2025

TAPIOLA - NIMISSÄ HUIJAUS

ANSA postia Tapiolan nimissä.
Lähetysosoite paljastaa jälleen kerran HUIJAUKSEN.

Näkyvää lähettäjäosoitetta ei ole olemassa: <info@kela-korvausta. fi>
Todellinen Tapiolan osoite on: "lahitapiola. fi". Jos haluat yhteyden Tapiolaan, poista tyhjä väli pisteen jälkeen ja kirjoita osoite selaimesi osoitekenttään.

Todellinen huijarilähettäjä on piilossa "amazonses. com" osoittensa takana: X-Original-Sender: "0101019ac6c11c9e-63a87327-8830-4586-9b1e-f1db25be22af-000000@us-west-2.amazonses. com"

Amazon (AWS Amazon Web Services) on se palvelinalusta, jossa suomalaisten Omakanta-tietoja käsitellään. Ei vaikuta kovinkaan luotettavalta taholta sellainen palveluntarjoaja, joka ei pysty estämään osoitteittensa väärinkäyttöä? Aiheesta on kirjoittanut IS Digitoday. Kirjoittaja Tuomas Linnake 1.12.2021 7:02: https://www.is.fi/digitoday/tietoturva/art-2000008441552.html

Sama huijari on yrittänyt aiemminkin. Silloin oli kyseessä "omakanta" -nimissä huijausyritys.

https://politiikkaajapropagandaa.blogspot.com/2025/11/omakanta-palvelun-nimissa-huijataan.html
Tuossa artikkelissa kerron kuinka lähetysosoite / palautusosoite: "X-Original-Sender: 010d019a5a076e85-19780fe2-807c-4ca9-b7cb-6fa3fb0968b2-000000@ca-central-1.amazonses. com" on kirjautunut kirjeeseen, joten verkkorikollisilla on mahdollisuus huijata tuntemattomana vastauslähetyksen tehnyttä lukijaa.

------------------------------------------KIRJE-------------------------------------------

Kirjeestä löytyy kaksi VAARALLISTA linkkiä: https://spacecoastjazzsociety. com/

Josta Falcon Sandbox raportoi: Malicious Indicators 1

Recently registered domain detected. Details: Recently Registered domain detected: "spacecoastjazzsociety. com" (2 days old). Commonly seen with phishing or other suspicious domains

TOINEN VAARALLINEN LINKKI

https://links.truthsocial. com

Scam Advicer kertoo linkin olevan VAARALLINEN:

links.truthsocial. com Reviews

"Gridinsoft has flagged this website as potentially malicious"

perjantai 28. marraskuuta 2025

GOOGLEUSERCONTENT COM SPÄMMI JATKUU - ELISAN NIMISSÄ

Tätä roskapostitulvaa ei Google näytä saavan aisoihin.
Ilmeisesti huijaus ja varastaminen, kuuluu Googlen sananvapauden- ja yksilönsuojan piiriin?

Alkuperäinen lähettäjä: X-Original-Sender: "info@widzewfm. ovh". Received: from widzewfm. ovh (244.110.205. 35.bc.googleusercontent. com [35.205.110. 244]). Epäilystä herättävästä löydöstä linkissä."widzewfm. ovh" viittaa puolalaiseen radioasemaan. Domannimi ovh muodossaan on saatettu estää, koska haku ei löydä siitä tietoja.

Falcon Sandbox kertoo: "Suspicious Indicators. General: Found a potential E-Mail address in binary/memory. Details Pattern match: "hame@example. com", source: File/Memory"

Vapaa käännös: "Epäilyttävät indikaattorit. Yleistä: Löytyi mahdollinen sähköpostiosoite binääritiedostosta/muistista. Tiedot Kuvion täsmäys: "hame@example. com", lähde: Tiedosto/Muisti

"example. com" viittaa testausosoitteeseen, kuten Googaus kertoo:""example. com" on IANA:n (verkkotunnuksia ylläpitävien tahojen) varattu verkkotunnus, jonka avulla kuka tahansa dokumentaatiota tai kurssia rakentava voi viitata oikeasti pätevään verkkotunnukseen työnsä loppuun saattamiseksi."

Falcon Sandbox jatkaa: "Hyökkääjät voivat kohdistaa hyökkäyksiä käyttäjien sähköposteihin kerätäkseen arkaluontoisia tietoja."

Linkki vie Vietnamiin koneelle, jonka verkkotunnus on mustalla listalla.

Huomon arvoista on, että kirje EI SAAVU ELISALTA., eikä Elisa harrasta uhkapelejä.

-------------------------------------KIRJE TXT muodossa----------------------------------------

--------------------------------KIRJE HTML muodossa------------------------------------

Yksi tämänkaltaisen huijauspostin tunnusmerkkejä on, että HTML osuus on koodattu base64 koodilla, eli se ei ole suoraa, luettavaa koodia, kuten HTML. Tämä ilmeisesti haittaa tarkoituksella spammisuodattimia. Base64 on yksinkertainen tapa tiedon piilottamiseksi. Tämä ei ole varsinaisesti salausta, sillä koodi on purettavissa melko helposti.
Artikkelissani "iCloud ansa", näkyy yksi huijareiden harrastama osoitteenpiilotustapa
https://vaarallinenweb.blogspot.com/2025/11/icloud-ansa.html

keskiviikko 26. marraskuuta 2025

NORDEA - ETSI VIISI VIRHETTÄ

Nordean nimissä saapui espanjalainen viesti.
Kirjeestä löytyy runsaasti muitakin HUIJAUS - postin tunnistuskohtia.

1) Nordea ei lähetä postia "hotmail" osoitteesta. Tarkista aina ensin, mistä posti saapuu. Pankit eivät käytä ilmaisosoitteita.

2) linkki ei vie Nordeaan, vaan "s-bachiroo. com" huijarin ansasivulle

3) Nordea ei puhuttele somalaisia asiakkaitaan espanjaksi

4) alinna olevat e-mail -osoitteet (gruposantarde. es) vievät myös espanjaan

5) vastaanottajaosoitteessa, henkilökohtaisissa kirjeissä, tulisi olla sinun osoitteesi. Tosin tämähän saattaaisi olla viesti kaikille pankin asiakkaille mutta miksi sellainen yleisviesti ei ole suoraan tässä kirjeessä, vaan vaaditaan kirjautumista, joka tarkoittaa tässä tapauksessa pankkitilisi tyhjentämistä tuo kirjautuminen kaappaamalla. Nykyään yksikään pankki ei laita kirjautumislinkkiä viesteihinsä, koska nuo linkit ovat VAARALLISIA.

-------------------------------------KIRJE-----------------------------------

iCLOUD ANSA

Olen ainakin kerran aikaisemmin varoittanut näistä "pilvi" - huijauksista (linkki alinna).
Nostan tämän esiin siksi, että linkki johtaa Venäjälle. Sylttytehdas on Pietarissa (rekisteröity), kone on Moskovassa. Linkki on yritetty kryptata numerosymboolien taaksen mutta kone IP:n saa esiin tarpeen tullen.

Lähetysosoite osoittaa myös Moskovaan. Domainin takaa ei löydy verkkosivua.

Kirjeen lupaamalla 0,99 € kuukausivuokralla et saa 50 GB palvelintilaa, vaan menetät maksukirjautumistietosi ja tilisi tyhjennetään.
Viestin alkuperä huomioiden, saatat saada myös koneellesi VIRUKSEN, jonka kautta koneesi valjastetaan cyberhyökkäykseen Suomea vastaan.

Jo se, ettei minulla ole iCLOUD pilvitilaa, tai Applen koneita käytössäni, osoittaa, että kirje on huijausta, ja lähettäjä on verkkorikollinen. Samaa kertovat myös linkkiosoitteen virustarkistuksen analyysit.

--------------------------------------KIRJE-----------------------------------------

EDELLINEN PILVITILA _ HUIJAUS

https://vaarallinenweb.blogspot.com/2025/11/pilvipalvelu-suojaa-viruskaupasta.html

tiistai 25. marraskuuta 2025

MISTÄ TÄMÄN BLOGIN VIERAILIJAT SAAPUVAT?

Seuraan blogini kävijätietoja ja yllätyksekseni olen havainnut vierailijoita saapuneen ympäri maapalloa. Aikaisemmin kävijöitä oli muutamasta vakiomaasta. Jo se, että vieraskielisiä kävijöitä on suomenkielisillä sivuilla on outoa, sillä vastaavia virusposteista ilmoittavia sivuja on englanninkielisinä runsaasti tarjolla.
Keskiarvo blogin kävijämäärissä on nousujohteinen.

Kiitos joka tapauksessa kaikille lukijoilleni. Toivon mukaan varoituksistani on ollut hyötyä.

PANKIN KYC - PÄIVITYS HUIJAUS

Jos minkä tahansa pankin nimissä saapuu KYC - päivitystä vaativa e-mail, älä vastaa, äläkä klikkaa kirjeen linkkejä. Tämä kirje on ennenkaikkea TURVATON.

Tässä kirjeessä on vanha tuttu vaarallinen linkkiosoite "Päivitä tietosi turvallisen pankkipalvelun takaamiseksi" - tekstissä.
"scanned. page" on vahvistettu huijausosoitteeksi virustorjuntapalvelujen sivuilla. Lue kuva alapuolelta virusvaroitus.

Kirjeessä on kymmeneen kertaan myös S-Pankin e-mail-osoite hämäyksen vuoksi.
Mikään kirje ei ole henkilökohtainen, jos vastaanottajana on tuo "undisclosed-recipients".

--------------------------KIRJE----------------------------

FALCON SANDBOX virustorjunta kertoo: "Malicious Indicators 1. Detected malicious domain extracted during analysis. Details
EXTRACTED DOMAIN: "scanned. page" identified as malicious but was not contacted during execution (Source: EXTRACTED_FILE_DOMAINS)"

OMAVERO HUIJAUS

Saman kaavan mukaan toteutettu, kuin Oma-Kanta huijaus.

Kirje saapuu oudosta osoitteesta.

--------------------------------KIRJE--------------------------------

maanantai 24. marraskuuta 2025

KANTA-PALVELUT HUIJAUS

Koska Kanta-palveluun kirjaudutaan pankkikirjautumisen kautta, huijarit rakentelevat näitä tärkeitten henkilö- ja pankkitietojen kalastusansoja.

ÄLÄ KLIKKAA LINKKIÄ, äläkä avaa LIITETTÄ.

Punaisessa laatikossa oleva teksti on puuta heinää, joka osoittaa kirjeen haittapostiksi.
Kirje saapuu saksalaisesta vedenpehmennyslaitteiden toimittajan osoitteesta - ei kanta-palvelusta. Tarkista aina lähettäjäosoite! Allekirjoituksen "info@kanta. fi" osoite on hämäystä.

Falcon Sandbox virustorjunta kertoo linkistä: Detected malicious domain extracted during analysis. Details: EXTRACTED DOMAIN: "datainfo. im" identified as malicious
Tarkoittaa, että osoite on vaarallinen.

---------------------------------------KIRJE-------------------------------------

sunnuntai 23. marraskuuta 2025

UUSI VERSIO OMAPOSTI - PAKETTI - HUIJAUKSESTA

Laitan tämän ansaversion uudeksi malliksi jatkuvasti saapuvista huijauspostipaketeista.

Olkaa aina varovaisia kaikkien eri paketti- ja lähettipalveluiden emaileihin. Näillä kerätään ihmisten henkilöä, ja pankkitiedot ja pankkitili tyhjennetään.

Tunnista huijausposti:

1) katso mistä osoitteesta kirje saapuu. "mtn. com" ei ole omaposti tai posti.

2) jos kirjeessä vastaanottajana sinun osoitettasi ei ole, se ei ole henkilökohtainen, eli ei ole ilmoitus sinulle saapuvasta postipaketista.

3) tässä kirjeessä, esimerkiksi, vastausosoite on "noreply" eli siihen ei voi vastata

4) jos edelleenkin epäilet, katso aina ennen klikkausta, minne linkki vie. Tässä taoauksessa linkki on esillä mutta jos linkki on piilossa, vie kohdistin linkin yläpuolelle ja katso mikä osoite ilmaantuu näkyviin (yleensä selaimesi vasempaan alanurkkaan). Tämän kirjeen osoitteen merkitsevä osa (domain) näyttää, että linkki veisi osoitteeseen "scanned. page" osoitteeseen, siis EI suinkaan postiin.

5) jos kirjeessä mainitaan jokin MAKSU, se tarkoittaa, että varas aikoo kaapata maksutietosi tilille kirjautuessasi

6) LIITETTÄ EI SAA avata mistään kirjeestä, ellet tiedä kirjeen todellakin luotettavasta lähteestä saapuneeksi. Tämä kirje ei ole luotettava missään tapauksessa.

------------------------------------KIRJE----------------------------------

Katsoin uteliaisuuttani mikä odottaa linkin osoitteessa (en suosittele muille).
Oma virustorjuntani varoittaa osoitteesta:

FALCON SANDBOX virustorjunta kertoo: "Malicious Indicators 1. Detected malicious domain extracted during analysis. Details

EXTRACTED DOMAIN: "scanned. page" identified as malicious but was not contacted during execution (Source: EXTRACTED_FILE_DOMAINS)"

Vaikuttaisi siltä, että verkkorikollinen on perustanut QR - kantaan oman linkkitiedoston????

EDELLINEN POSTIPAKETTIHUIJAUS ESIMERKKI

https://vaarallinenweb.blogspot.com/2025/11/olematon-postipaketti.html

lauantai 22. marraskuuta 2025

TOTAL AV HUIJAUS

"Tällä huijauksella ei ole mitään yhteyttä oikeaan, lailliseen TotalAV-nimiseen tietoturvaohjelmistoon." kertoo Google AI.

Tällä pelottelukampanjalla pyritään saamaan vastaanottaja hermostumaan tietokonettaan kohdanneesta ongelmasta.

ÄLÄ AVAA LIITETTÄ, ÄLÄKÄ KOSKE LINKKEIHIN, joita ei tässä TXT muotoisessa emailssa näy (ensimmäinen kuvakaappaus tässä alapuolella).

Koneessasi ei ole ongelmaa, ainakaan tämän viestin ilmoituksen johdosta, ellet klikkaile linkkejä, tai avaa liitettä.

HTML EDITORISSA KATSOTTU VIESTI

torstai 20. marraskuuta 2025

PILVIPALVELU - OSTATKO SUOJAA VIRUSKAUPASTA?

CLOUD palvelintila ei ole keneltäkään loppu. Ainakaan tämän kirjeen vuoksi. Tämä on huijaus.
Kirje on lähetetty etelä-afrikkalaiselta koneelta.

Linkki veisi koneelle: http://christiansen.protectetantivirus. shop/fwd/ (lopullinen osoite) P2Q9MTQyNjImZWk9MTUyND cwMDYzJmlmPTM0MzgzJmxpPTU (rikottu)

"protectetantivirus. shop" "suojataantivirus kauppa" Ei suojaa, vaan on vaarallinen toimija.

------------------------------------KIRJE-----------------------------

keskiviikko 19. marraskuuta 2025

MATSATO VEITSI - JA MUUT "professo" HUIJAUKSET

Tämä kirje on samasta sylttytehtaasta, kuin edellinen "AKUSOLI" huijaus.
Käsiälasta on helppo tunnistaa. Lähetysosoite on sama. Piiloon koodattu linkki vie saman huijarin koneelle Vietnamiin. ÄLÄ KLIKKAA LINKKIÄ, älä avaa liitettä, äläkä vastaa kirjeeseen.
Kirje on lähetetty siten, ettei lähettäjää löydettäisi. Kirje kiertää Googlen palvelimen kautta. Lähettäjän osoite on: "info@professo. ovh. Tämän palvelimen ohjelmistotekniikasta virustorjunta tietää kertoa, että se mahdollistaa haittakoodin piilottamisen dataliikenteeseen, joten koneellesi saattaa saapua ihan mitä tahansa. Jopa VIRUS. Samoin linkissä oleva osoite on piiloitettu, kuten koko kirjeen lähdekoodi. Saman kaavan mukaan saapui useita muitakin saman lähettäjän emaileja eri otsakkein ja "tuottein", joten OLKAA VAROVAISIA!

---------------------------KIRJE-----------------------------

HTML - MUODOSSA SAMA KIRJE
Kirjeessä oli useita kuvia, jotka estin selaimessani. Suosittelen käytäntöä.
Muistakaa: https://vaarallinenweb.blogspot.com/2018/10/virus-kuvatiedostoissa.html

tiistai 18. marraskuuta 2025

AKUSOLI - POHJALLISET VIETNAMISTA?

Tämä roskaposti kuuluu tutulle verkkorikolliselle, joka käyttää useita, rikolliselle tunnusomaisia keinoja. Kirje on lähetetty siten, ettei lähettäjää löydettäisi (helposti ainakaan). Kirje kiertää Googlen palvelimen kautta. Lähettäjän osoite on: "info@professo. ovh". Tämän palvelimen ohjelmistotekniikasta virustorjunta tietää kertoa, että se mahdollistaa haittakoodin piilottamisen dataliikenteeseen, joten koneellesi saattaa saapua ihan mitä tahansa. Jopa VIRUS. Samoin linkissä oleva osoite on piiloitettu, kuten koko kirjeen lähdekoodi. Linkin koneosoite vie Vietnamiin.

Kirje ei näy TXT pohjaisissa selaimissa. Alla ensimmäinen kuvakaappaus.

--------------------------------KIRJE----------------------------------

Kirje näkyy HTML pohjaisissa selaimissa. Alla toinen kuvakaappaus.

--------------------------------KIRJE----------------------------------

Alinna olevan tekstin pitäisi kuulua "kirjeen lähettäjä pidätetään".

OLEMATON POSTIPAKETTI

Näitä "toimittamattomia postipakettejakin" saapuu jälleen.
Minulle ei ole pakettipostia tulossa ja tuskimpa muillekan, ainakaan tämän kirjeen perusteella, koska tämä on HUIJAUS-yritys, jolla aijotaan viesä sinun henkilötietosi ja mahdollisesti myös pankkitietosi, jonkun olemattoman lisämaksun varjolla.

Lähettäjäosoite on hotelli, jolla tuskin on edes mitään lähetettävää. Todellinen lähetysosoite, joka on piilossa, saapuu urheiluun liittyvää toimintaa harjoittavalta yritykseltä, jonka kone / osoite on kaapattu roskapostittajaksi.

------------------------------KIRJE--------------------------

maanantai 17. marraskuuta 2025

TRUST WALLET ANSA

Näitä kryptovaluuttalompakkoansoja saapuu tiuhaan.
Minulla ei edelleenkään ole minkäänlaista kryptovaluuttalompakkoa, joten tämä kirje on kirkkaasti ANSA. Osoitteella "jbe. io" ei ole edes verkkosivua.

--------------------------------------KIRJE---------------------------------------

SEKAVA PANKKI ANSA

Tämän kirjeen epäloogisuus ja järjetön lähetysosoite, paljastavat huijarin.
Epälogiikkaa on myös se, ettei sinun tiliongelmista kertovaa kirjettä ole lähetetty sinun sähköpostiosoitteesesi. Vertaa alleviivatut osoitteet.

Falcon Sandbox virustorjunta kertoo linkin osoitteesta: "Suspicious domain detected. Details: Input URL or Contacted Domain: "enertechenergy. in" has been identified as suspicious".

---------------------------------KIRJE HTML MUODOSSA-------------------------------

--------------------------------------KIRJE-HTML MUODOSSA--------------------------------

sunnuntai 16. marraskuuta 2025

LISÄÄ MOSKOVALAISIA TYYNYJÄ

Tähän kirjeeseen pätee samat varoitukset, kuin edelliseen. Ihan samaan venäläiseen ansaan linkki vie.
https://vaarallinenweb.blogspot.com/2025/11/tyyny-moskovasta.html

VIPER virustorjunta kertoo linkin olevan VAARALLISEN.

Falcon Sandbox kertoo linkistä löytyvästä vaarallisesta osoitteesta: Malicious domain detected. Ddetails CONTACTED DOMAIN: "mailcaptcha.digital" has been identified as malicious

--------------------------------------KIRJE---------------------------------------

TYYNY JA KIRJEITÄ MOSKOVASTA?

Näin sota-aikaan ei ole mitään syytä klikkaila Moskovaan osoittavia linkkejä.
Venäjältä saapuu jatkuvasti erilaisia ansaposteja, joiden tarkoituksena on putsata asiakkaan pankkitili varastamillaan kirjautumistunnuksilla. Lisäarvona, tai vaihtoehtona, voit saada koneellesi myös VIRUKSEN. Koneesi on sen jälkeen Venäjän verkkohyökkäyskäytössä.

VIPER virustorjunta kertoo linkin olevan VAARALLISEN.

Falcon Sandbox kertoo linkistä löytyvästä vaarallisesta osoitteesta: Malicious domain detected. Ddetails CONTACTED DOMAIN: "mailcaptcha.digital" has been identified as malicious

--------------------------------------KIRJE--------------------------------------

HUOMATKAA, että tämä sama robotintunnistuslinkki / ohjelma, on useammissa muissakin ansakirjeissä SE vaarallinen osuus. Se on piilossa FWD linkin osan takana, joten ette sitä suoraan näe.
Varokaa siis kaikkia kirjeiden linkkien päästä löytyviä CAPTCHA linkkejä, jokainen saattaa olla ansaohjelma. Tämä on yksi tapa tunnistaa venäläinen ansaposti ja heittää ne roskikseen koskematta.

Toinen vastaava esimerkki löytyy sivulta: https://vaarallinenweb.blogspot.com/2025/11/outoa-toimintaa-olemattomalla-tililla.html

LISÄÄ VENÄJÄLLE VIEVÄÄ ANSAPOSTIA

https://vaarallinenweb.blogspot.com/2025/05/suuri-joukko-venalaista-alkuperaa.html
https://vaarallinenweb.blogspot.com/2025/05/iso-kasa-elisan-nimissa-saapunutta.html

https://vaarallinenweb.blogspot.com/2024/01/istut-varmasti-epamukavasti-jos-klikkaat.html
https://vaarallinenweb.blogspot.com/2023/05/venalainen-ansa-puolalaisella-tekstilla.html
https://vaarallinenweb.blogspot.com/2023/03/venalainen-ukrainalaisia-naisia.html
https://vaarallinenweb.blogspot.com/2025/01/venalainen-jalkalaastari-on.html

https://vaarallinenweb.blogspot.com/2025/02/venalainen-paketti.html

LISÄÄ VENÄLÄISIÄ HAITTAPOSTEJA
https://vaarallinenweb.blogspot.com/2023/03/venalaista-cyberhyokkayksen-valmistelua.html

SÄHKÖPOSTIEN KAUHUKABINETTI

Tällä hetkellä emaileissa on erittäin runsaasti seurusteluansoja, jotka vaikuttavat tulevan samasta lähteestä. Vankka epäilys on, että piiloitettu toimija on venäläinen Trollitehdas, tai toimija saa rahoituksen venäjältä.

lauantai 15. marraskuuta 2025

OUTOA TOIMINTAA OLEMATTOMALLA MetaMask - TILILLÄ

Näissä tilihuijauksissa on aina sama kaava ja lähes sama teksti joten huijauksen tunnistaa jo siitä.

Minulla ei edes ole MetaMask kukkaroa, joten sikälikään ei ole huolta. Ja vaikka sinulla olisi, ÄLÄ MISSÄÄN TAPAUKSESSA MENE KUKKAROLLESI TÄMÄN KIRJEEN LINKIN KAUTTA!

---------------------------------KIRJE-------------------------------------

CleanDNS kertoo kyseisestä osoitteesta tehdystä 14 "phishing" (tietovarkaus) ilmoituksesta ja Falcon Sandbox virustorjunta ilmoittaa osoitteesta löytyvän vaarallisen linkin: "Malicious domain detected. Details: CONTACTED DOMAIN: "mailcaptcha.digital" has been identified as malicious" .
Huomattavaa on, että "captcha" nimiin on piiloitettu HAITTAOHJELMA. "captcha" on yleisesti käytössä oleva robotintunnistusohjelma. Kun klikkaat "et olevasi robotti" käynnistyy tuo haittaohjelma. Ensisijaisesti sinulta kaapataan MetaMask lompakkosi kirjautuminen ja toissijaisesti koneellesi saatetaan asentaa VIRUS?

perjantai 14. marraskuuta 2025

OLEMATON SPOTIFY PÄIVITYS

Tämä e-mail vie ANSAAN!
Minulla ei ole Spotify:ta. eikä tämä kirje tule miltään laillisella asialla olevalta toimijalta.
Lähettäjän Domainin takaa ei löydy verkkosivua lainkaan. Linkki vie virustorjunnan tietojen mukaan VAARALLISELLE sivulle.
Älä koske LINKKIIN, äläkä avaa LIITETTÄ.
Sinulta kaapataan henkilötiedot ja maksutietoihisi kirjautuminen.

--------------------------KIRJE------------------------

torstai 13. marraskuuta 2025

ANSA KUVATIEDOSTOSSA

Kuvatiedostoja on harvemmin käytetty vaarallisissa tarkoituksissa MUTTA sekin pelko on ihan todellinen. Jos linkki vie kuvaan, jonka linkkinimi päättyy ".SVG", älä klikkaa. Näitä vaarallisia SVG kuvia on kylvetty tässä blogissanikin olevien kirjeiden kuvituksiin, joten olen pyrkinyt kieltämään kaikki kuvat, jos olette ihmetelleet. Myös näkymätöntä pikselin kokoista kuvaa käytetään ilmoittamaan, että kirje on luettu. Tämä on rosvoille tärkeää tietoa.

SVG (Scalable Vector Graphics) kuvatiedostoon voidaan ujuttaa haittakoodia.
ANY.RUN uutispalsta kertoo aiheesta lisää kiinnostuneille.

Osoitetta en tähän laita. Se voidaan tulkita rikokseen yllyttämiseksi?

Verkkorikollisille on tarjolla runsaasti ilmaista valmismateriaalia, jolla toteuttaa asiakkaiden pankkitietojen varastaminen erittäin helposti ja nopeasti. Niihin artikkeleihin ja koodinpätkiin, konnat löytävät ilman osoitettakin.

Virustorjunta seuraa näitä "tietosivuja" varmasti ahkerasti. Kuitenkin vaikuttaa siltä, että ainakaan palveluntarjoajia ei isommin kiinnosta mitä heidän palvelimillaan touhutaan.

Aikaisemmin olen kertonut aiheesta artikkelissani: https://vaarallinenweb.blogspot.com/2018/10/virus-kuvatiedostoissa.html

CASINO, DERILA JA MUUT ROSKAPOSTIT

Tämä on toistuva, VAARALLINEN haittaposti. Lähetysosoite ja aihe vaihtelevat, mutta tekniikka säilyy. Tällä tekniikalla saapuu runsaasti ansapostia. Mm. CASINO -postit kuuluvat tähän huijaussarjaan. Lähettäjinä käytetään suomalaisia varastettuja postiosoitteita ja posti kierrätetään googleusercontent. com osoitteen kautta.

HTML osuus on koodattu Base64 koodiksi, joka näkyy vain TXT muodossa ja lähdekoodissa.
Linkki vie aina samalle koneele, jonka IP osoite paljastuu linkistä. ANSALINKKI VIE saksaan rekisteröidylle koneelle joka sijaitsee Ranskassa: "http://76 3862552793003873541457376354 22@0x54f7a68a/fwd/P2Q9MTQ5NyZlaT0wMDEmaWY9MTE4MjcmbGk9MDAmdHk9MQ==" Paljastettu kone IP on 84.247.166. 138. Jos linkkiosoite näyttää (kohdistin linkin päällä mutta älä klikkaa) pitkän numerosarjan osoitteen alussa, se on yleensä rikollisen tapa piiloutua. Hanki Derila tyynysi jostain muualta. Tämä on ANSA:

TXT muodossa kirje on karu. ÄLÄ KOSKE LIITTEESEEN.

---------------------------------KIRJE-------------------------------------

OSITTAINEN HTML KUVA KIRJEESTÄ

HTML näyttää suurinpiirtein tämän yläpuolella olevan kuvakaappauksen näköisen sivun.

NÄISTÄ HUIJAREISTA ON VAROITETTU AIKAISEMMINKIN:

https://vaarallinenweb.blogspot.com/2025/10/googleusercontent-com-koneita-huijarin.html
https://vaarallinenweb.blogspot.com/2025/09/mouseplanet-osoitetta-kayttava-huijari.html
https://vaarallinenweb.blogspot.com/2025/09/mouseplanet-peliansa.html

https://vaarallinenweb.blogspot.com/2019/12/huijarin-pelikasinomainos.html

https://vaarallinenweb.blogspot.com/2025/10/noin-100-taman-kaltaista-viestia-on-jo.html

keskiviikko 12. marraskuuta 2025

S-Pankin ja Ålands - pankin yhteisnimissä muistutus

Nämä spämmerit alkavat sekoilla kohta enemmän, kuin asiakkaansa.
Tässäkin e-mailissa on otsakkeessa S-Pankki ja tekstissä Ålandsbanken.

Hyvä niin, koska siitä näkee heti, että kyseessä on huijaus.
Todellinen lähetysosoite on ScamAdvicer - virustorjunnassa luokiteltu luottamustasolle NOLLA, eli e-maili on VAARALLINEN ja kirje on syytä heittää koskematta roskikseen.

------------------------------------------KIRJE---------------------------------------------

MAFIA CASINO ja MUUT PELIHUIJARIT

TXT näkymä on karu mutta varoittava!

ALAPUOLELLA HTML NÄKYMÄ, JONKA USEIMMAT NÄKEVÄT

Mitä on selvinnyt tämän huijauspostin taustalta:

Lähetys on tapahtunut varastetulla e-mailosoitteella, jonka omistaa, Pökkylä | Tilausravintola ja sisustusmyymälä. LIITE on myös vaarallinen.

https://www.pokkyla. fi
Ja posti on kierrätetty jälleen tuon Googlen "googleusercontent. com" -palvelun kautta.
Se on edelleenkin vankassa suosiossa verkkorikollisten piirissä.
Ohjaa kaikki tästä osoitteesta saapuva posti roskikseen. Vaikka mukana menisi jotain merkittävääkin postia, en jäsisi kaipailemaan.

"X-Original-Sender: info@pokkyla. fi

Received: from pokkyla.fi (227.181.200. 35.bc.googleusercontent. com [35.200.181. 227])"

ANSALINKKI VIE saksaan rekisteröidylle koneelle joka sijaitsee Ranskassa:
"http://76386255279300387354145737635422@0x54f7a68a/fwd/P2Q9MTQ5NyZlaT0wMDEmaWY9MTE4MjcmbGk9MDAmdHk9MQ=="

http://84.247.166. 138

descr: Contabo GmbH (palveluntarjoaja)

country: DE

IP location Lauterbourg, Grand Est Bas-Rhin, France (FR)

abuse@contabo. de Johannes Selg (administrator)

FWD http://P2Q9MTQ5NyZlaT0wMDEmaWY9MTE4MjcmbGk9MDAmdHk9MQ==

Avattu sähköposti lähettää tämän pikselin tiedoksi lähettäjälle, että sähköpostisi on toiminnassa ja, että luit kirjeen, tai ainakin avasit sen.
PIXEL check

"http://456789876543234567@0x54f7a6 8a/open/P2Q9MTQ5NyZlaT0wMDEmaWY9MTE4MjcmbGk9MDAmdHk9MQ=="

--------------------------------------------------------------------------------

NÄISTÄ HUIJAREISTA ON VAROITETTU AIKAISEMMINKIN:

https://vaarallinenweb.blogspot.com/2019/12/huijarin-pelikasinomainos.html

https://vaarallinenweb.blogspot.com/2025/10/noin-100-taman-kaltaista-viestia-on-jo.html

maanantai 10. marraskuuta 2025

IF VAKUUTUS - ANSAT

IF:n nimissä saapuu jälleen maksuansoja.

Olen varoittanut näistä, pääasiassa yrityksiin ja nimenomaan pienyrityksiin kohdistuvasta pankkikirjautumistunnuksia varastavista ansakirjeistä.

Kirje näyttää tekstimuodossa lähinnä HTML-koodisotkulta, joten se on helppo todeta rikoksen yritykseksi, eli haittapostiksi. Kannattaa katsella outoja kirjeitä myös TXT muodossa, jos selain sen mahdollistaa. Yritysten viralliset kirjeet ovat aina luettavissa kaikissa näyttömuodoissaan.

----------------------------------KIRJE HTML MUODOSSA------ -------------------------

VASTAAVIA HUIJAUSKIRJEITÄ

https://vaarallinenweb.blogspot.com/2025/10/if-vakuutusmaksu-ansa.html

https://vaarallinenweb.blogspot.com/2022/11/if-vakuutuksen-kyseenalainen-sms-viesti.htm

https://vaarallinenweb.blogspot.com/2025/03/ilmainen-vakuutus.html

Kirjeessä on kuvalinkkejä palvelimelle, joka on ilmeisesti poistumassa käytöstä ja varsinaisia sisältölinkkejä, jotka vievät norjalaisen purjehduskoulun osoitteeseen: "app.stavanger-seilsportsenter. no". Linkki viittaa "applikaatioon" eli ohjelmaan, joten siihen ei ole syytä koskea.

IF:in sivuilta varastettuja kuvia on talletettu osoitteeseen: "if-stargate-cdn.azureedge. net/img/logo/logo-new-150. png". Vaikka kuvatiedostoissa harvemmin on viruksia, sellaisiakin tapauksia verkosta löytyy. https://vaarallinenweb.blogspot.com/2018/10/virus-kuvatiedostoissa.html

----------------OSA KIRJEESTÄ NÄYTTÄÄ TÄLTÄ TXT MUODOSSA------------------

lauantai 8. marraskuuta 2025

QR-koodi henkilötietovarkauksissa

ANY.RUN VIRUSTORJUNTA UUTISOI LOKAKUUSSA 2025:

"QR-koodiuhat kehittyvät: Phishkit-hyökkäykset käyttävät yhä useammin QR-koodeja havaitsemisen välttämiseksi, koska monet tietoturvaratkaisut eivät vieläkään pysty skannaamaan ja analysoimaan QR-koodien sisältöä riittävästi."

Varoituksena QR-koodin avaamasta linkistä artikkelini:
https://vaarallinenweb.blogspot.com/2023/12/lidl-esitteen-qr-koodi-osa2.html
https://vaarallinenweb.blogspot.com/2023/08/qr-koodia-kaytetaan-myos-huijauksissa.html

Nämä artikkelit muistuttavat meitä siitä, että mikään ei ole niin varmaa kuin epävarma. Ei kannata skannailla edes QR -koodeja, kuin luotettavista paikoista. Tosin voisi kuvitella suuren ruokakaupan esitteen olevan sellaisen.