Ei kannata klikkaila tämän kaltaisen kirjeen linkkejä. Näitä erilaisia, älyttömiä palkintoja on jaeltu koko internetin ajan. Tämä taitaa olla vanhin ansatyyppi.
Kirje on lähetetty latvialaisesta ilmaisosoitteesta. Lähettänyt kone ei ole edes Internetin osoiterekisterissä.
---------------------------------------KIRJE----------------------------------------
Kirje on postitettu Amsterdamista (DNS osote on mustalla listalla) Outlook postin kautta. Peiteosotteena on käyetty italialaista poliba. it - Barissa olevan oppilaitoksen osoittetta ja linkki veisi venäläiselle palvelimelle "b.academycom. ru", josta Scam Advicer virustorjunta kertoo tietoja jotka ovat tyypillisiä verkkorikollisille:
"- Verkkosivuston omistaja piilottaa henkilöllisyytensä WHOIS-tiedoissa maksullisen palvelun avulla.
- Tällä verkkosivustolla ei ole paljon kävijöitä.
- Toinen verkkosivusto käyttää tätä verkkosivustoa iframe-kehyksenä. (lopullinen osoite ei ole tiedossa)
- Emme voineet analysoida sivuston sisältöä."
Lisäksi Falcon Sandbox virustorjunta kertoo linkstä: "Hyökkääjät voivat kommunikoida käyttämällä verkkoliikenteeseen liittyviä sovelluskerroksen protokollia välttääkseen havaitsemisen/verkon suodatuksen sulautumalla olemassa olevaan liikenteeseen.". Tämä tarkoitta, että virustorjunta/roskapostisuodatus ei havaitse mahdollisen haittaohjelman toimintaa.
Laitoin kirjeen tekstin kääntäjään. Se on sekakielinen (tyypillistä huijausposteille) ja edelleen julkaisun kieltävä. Koska julkaisen sen, odotan sanktioita mielenkiinnolla. Käännös on kuvan alapuolella.
---------------------------------------------KIRJE----------------------------------------
Huijareiden lipsahduksista on helppo havaita, että kyseessä on ansakirje.
Tässäkin kirjeessä "lähettäjä" on ikäänkuin S-Pankki mutta kirjeen tekstissä puhutaan S-Pankista sekä Danskebankista.
Myös lähettäjän osoite saapuu Saksasta, eikä kuulu kummallekaan pankille.
Linkki ei vie kumpaankaan pankkiin, vaan huijarin rakentamille näköissivuille, joiden virusanalyysi paljastaa useita vaarallisia, huijauskirjeille kuuluvia, ominaisuuksia.
-----------------------------------------KIRJE-----------------------------------------
Pari erilaista ELISAn nimissä saapunutta ansapostia. Molemmat tunnistettavissa saman verkkorikollisen käsialaksi. HTML katselussa scandikirjaimet esitetään väärin. Tämän rosvon käsialaan kuuluu "BASE64" koodattu lähdekoodi. Tarkoituksena on vaikeuttaa spammisuodattimien toimintaa.
LÄHETTÄJÄ: "unify-co. nl", ei ole elisan osoite. Tarkastakaa aina ensin lähettäjä.
FALCON SANDBOX virustorjunta löysi lyhennekryptatun linkin päästä kolme vaarallista osoitetta:
"Malicious domain detected. Details
Sain merkillisen viestin "Microsoftilta", että MS tilini olisi täynnä.
Kaikki näytti kirjeessä olevan kohdallaan mutta silti epäilin asiaa vahvasti ja menin katsomaan (en kirjeen linkeistä, vaan todellisella MS tilin osotteella) mitä tililleni oikein kuuluu.
Sille kuului pelkkää hyvää, eli ei ollut läheskään täynnä.
Jäi epäselväksi miten tämä ansa olisi toiminut. Kaikki linkit vaikuttivat oikeilta. Kannattaa aina olla epäluuloinen mieluummin, kuin klikata itsensä ANSAAN.
FALCON SANDBOX virustorjunta kertoo yhdestä kirjeen linkistä seuraavaa:
"Hyökkääjät voivat kommunikoida käyttämällä verkkoliikenteeseen liittyviä sovelluskerroksen protokollia välttääkseen havaitsemisen/verkon suodatuksen sulautumalla olemassa olevaan liikenteeseen."
"Yrittää hakea olemattomia tiedostoja web-palvelimelta."
CleanDNS-virustorjunta kertoo: "Alleged Domain Abuse Reports. Suspicious (21 Reports)"
Suomeksi: 21 epäilyttävää raporttia kyseisestä linkistä.
Kuvakaappaus tilini tilanteesta vakuuttaa, että tilillä on vielä runsaasti tilaa. TS tämä huomautus on ANSA. Miten se toimii, jäi arvailujen varaan. Yleensä, kun tilaat / maksat jotakin verkon kautta, annat maksutietoina pankkitietosi ja henkilötietosi. Niillä verkkorikollinen tyhjentää pankkitilisi.
MYÖS Microsoft tilejä on yritetty kaapata valekirjautumissivujen kautta:
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/keltainen-varoitus-tietojenkalastelun-seurauksena-microsoft-365-tilien
-----------------------------------KUVAKAAPPAUS----------------------------------
MICROSOFTIN NIMISSÄ ON LIIKKUNUT PALJON HUIJAUSYRITYKSIÄ
https://vaarallinenweb.blogspot.com/2019/01/microsoftin-palkinto-on-pommi.html
https://vaarallinenweb.blogspot.com/2021/07/microsoftin-nimissa-saapunut.html
https://vaarallinenweb.blogspot.com/2021/09/microsoftin-palkinto-huijaus.html
https://vaarallinenweb.blogspot.com/2016/10/microsoft-ei-palkitse-ruhtinallisesti.html
https://vaarallinenweb.blogspot.com/2023/10/microsoft-365-hyokkays.html
https://vaarallinenweb.blogspot.com/2017/02/onmicrosoftcom-ei-ole-microsoftin-osoite.html
https://vaarallinenweb.blogspot.com/2017/11/viestinjakelu-epaonnistui-ansa.html
https://vaarallinenweb.blogspot.com/2017/11/viestnijakelu-epaonnistui-ansa.html
https://vaarallinenweb.blogspot.com/2021/01/koneenhaltuunotto-puhelun-avulla.html
https://vaarallinenweb.blogspot.com/2021/10/microsoft-lotto-huijaus.html
https://vaarallinenweb.blogspot.com/2017/08/microsoftin-tiliansa-pyorii-jalleen.html
https://vaarallinenweb.blogspot.com/2020/06/microfoft-edgen-pakkomainos.html
OUTO PUHELU, johon en vastannut.
Kommentti "kukasoitti" palstalla
"Ihme kyselijä: Lupasi kysellä siivouksesta: kyseli asunnon koosta, asukasmäärästä, työssäolosta.
Sanoin lopuksi, että mitään ei kannata kaupata."
Ihmettelisin minä myös, moista kyselyä, koska varsinkin "koska olette poissa kotoa" viittaa ikävällä tavalla talontyhjentäjiin.
Numerolle ei ole julkisia nimi- tai osoitetietoja, mutta tietojemme mukaan numerosta soitetaan paljon.
Kaivoin tiedon numeron tauststa: +358409255205 Puhelinnumero on Norstat Oy:n nimissä.
Norstat Oy on laillinen toimija MUTTA...
Huijaukset vs. oikea toiminta: On tärkeää erottaa toisistaan aito Norstat ja sen nimissä tehdyt huijaukset. Joskus huijarit voivat yrittää kalastella tietoja esiintymällä tunnettujen tutkimusyhtiöiden nimissä.
FALCON SANDBOX ei varsinaisesti julista linkkiä rikolliseksi mutta kertoo linkin takana olevasta tilanteesta seuraavaa: "Hyökkääjät voivat kommunikoida käyttämällä verkkoliikenteeseen liittyviä sovelluskerroksen protokollia välttääkseen havaitsemisen/verkon suodatuksen sulautumalla olemassa olevaan liikenteeseen."
Osotteen pitäisi mielestäni oltava puhtaampi, joten ainakaan minä en sinne aio ottaa yhteyttä, enkä vastaa puheluun.
Näitä erilaisia "TURVAPÄIVITYS" -huijausmainoksia saapuu aina silloin tällöin. ÄLÄ KOSKAAN päivitä mitään virustorjuntaohjelmaasi e-mail-linkistä! Virustorjunnan asemasta saat viruksen koneellesi. Myös "maksutapahtuman" yhteydessä tekemäsi pankkitunnistus varastetaan ja tilisi tyhjennetään. Kirjeen pelottelulla pyritään hätäännyttämään uhri.
TXT -muodossa katseltuna kirjeessä näkyy vain tekstisotkua.
---------------------------------------KIRJE-----------------------------------------
Kilometrin mittainen nyyhkytarina tyttären kertomana, isästä, jolla oli uniapnea ja kaikki päin p***että.
Kun sitten lomamatkalla nukkui hyvin, löytyi ansioksi tietysti "Derilla-tyyny".
Tämä stoori oli maksettu ilmoitus, joka lukee kyllä (mutta hyvin pienellä) vasemmassa yläkulmassa.
Yllättävää, että FaceBook ei tutki paremmin maksettua mainontaansa?
Piiloon kryptatun linkin analyysina, FALCON SANDBOX virustorjunta antoi tulokseksi:
Malicious domain detected. Details: CONTACTED DOMAIN: "recognisess. com" has been
identified as malicious
Samoin vaaralliseksi todettiin osoite"derila- ergo. com" -osoite. ÄLÄ KLIKKAA!
En ota kantaa auttaako tuo tyyny todella ketään mutta tämän FaceBook-mainoksen piiloon kryptatun LINKIN VAARALLISUUS saisi ainakin minulta yöunet kaikkoamaan, mikäli en varottaisi muita.
Vaarallisia Derila- tai Derilla tyynymainoksia on saapunut runsaasti myös sähköpostitse ja sinne ne saapuvat pääasiassa Venäjältä.
https://vaarallinenweb.blogspot.com/2026/01/tuttu-derilla-tyyny-ansa.html
Muita Derilla - tyynyn nimissä saapuneita ansakirjeitä:
https://vaarallinenweb.blogspot.com/2025/12/derilla-tyyny-ansa.html
https://vaarallinenweb.blogspot.com/2025/12/vaarallinen-derilla-tyyny.html
https://vaarallinenweb.blogspot.com/2024/05/kaksi-venajalta-saapunutta.html
https://vaarallinenweb.blogspot.com/2022/09/venalainen-ansapostikampanja-jatkuu.html
Näitä pimsteerman. nl osoitteesta saapuvia kirjeitä on postilaatikkoni pullollaan. Kaikki ovat huijausyrityksiä erilaisin houkuttimin. HTML muodossa kirjeet ovat vaarallisempia, koska siinä huijarin ansalinkit ovat aktiiviset. Esimerkki kuvakaappaus HTML muodosta alinna.
FALCON SANDBOX virustorjunta kertoo kirjeessä olevan vaarallisen linkin: "Malicious domain detected. Details: CONTACTED DOMAIN: "recognisess. com" has been
identified as malicious
Linkki oli kryptattu tunnistamattomaan lyhenne-muotoon, jollaisia huijarit hyvin usein käyttävät.
Lähetys on myös tapahtunut piilosta, bc.googleusercontent. com osoitten takaa japanilaiselta koneelta. Tämä ei välttämättä kerro huijarin kotimaata mutta kirjeen esitysmuoto ja sisältö usein yksilöivät ja paljastavat huijarin. Samasta osoitteesta saapuvat, samankaltaiset kirjeet on yleensä tuotettu Venäjällä. Tämä tarkoittaa, että jokaiseen roskapostikirjeeseen tulee suhtautua erityisellä varovaisuudella, koska Venäjä käy kybersotaa länsivaltoja vastaan. Nämä kirjeet tunnistaa yleensä näistä erilaisista "voittomahdollisuuksista". Myös lähettäjäosote on "kummallinen" ja usein Alankomaissa rekisteröity (maatunnus .nl).
------------------------------------KIRJE TXT muodossa----------------------------------
ALLA OLEVA HTML MUOTOINEN ESITYS KIRJEESTÄ ON KUVATTU EDITORISTA:
Kirjeessä HTML koodi on koodattu Base64 muotoon. Tämä on yksi huijauspostin tunnus.
"Suomi. fi" - palvelun viesteihin on syytä suhtaustua varovaisuudella. Sen nimissä lähetetään erittäin runsaasti erilaista ansapostia. Mm. tämä kirje linkkeineen, vie kirjautumisansaan, jossa pankkikirjautumisesi varastetaan ja tilisi tyhjennetään. Tässä lähettäjäksi kirjattu "suomi24" on kesksutelupalsta. ÄLÄ KUITENKAAN klikkaa kirjeen linkkiä, se vie huijarin sivulle.
--------------------------------------KIRJE-----------------------------------
Muistakaa katsoa, mistä kirje on lähetetty. Tämäkään kirje ei tule Kelasta, vaan huijarin omalaatuisesta osotteesta. Linkki vie VERKKORIKOLLISEN ansaan.
-------------------------------------KIRJE------------------------------------
Pankkien nimissä saapuvat kirjeet kannataa aina katsoa huolella. Mistä kirje saapuu, kuka on lähettäjä ja minne linkki veisi espanjalaiseen osoitteeseen, josta virustorjunta varoittaa. Katso alempoi kuva.
Tämä kirje saapui S-Pankin nimissä mutta lähetysosoite viittaa aivan muualle.
----------------------------------------KIRJE------------------------------------------
F-SECURE virustorjunta varottaa linkin osotteesta:
Olkaa nyt tarkkana! Katsokaa ensin, kuka on lähettäjä. Se on paras keino välttää huijauskirjeitä.
Tässäkin tapauksessa lähettäjä ei ole "vero. fi", vaan "vero-muutoksia. fi", joka ei ole verohallinnon osote.
Alinna on kuvakaappaus HTML esityksessä, jossa on tuo vakio "scandi"-merkkivirhe. Kun teksti näyttää tältä, kirje on 100% varmasti huijausyritys.
----------------------------------------KIRJE-----------------------------------
------------------------------------KIRJE HTML näkymässä--------------------------------
Omalaatuiset ä ja ö -koodit ovat ammattitaidottoman huijarin tunnusmerkki.
PERUSTIN "PJGU. NL" LÄHETYSOSOTTEELLE OMA BLOGIARTIKKELIN, KOSKA SE ON TODELLA VAARALLINEN HAITTAPOSTITTAJA. JOS LAITAT OSOTTEEN SPÄMMISUODATTIMEEN, POISTA TYHJÄ VÄLI PISTEEN JÄLKEEN.
"PJGU. NL" LÄHETTÄMIÄ HUIJAUSKIRJEITÄ SAAPUU NYT RUNSAASTI ERI SISÄLLÖILLÄ. KERÄÄN TÄLLE SIVULLE JONKIN AIKAA NÄITÄ VAARALLISIA OTSAKKEITA.
Sama AKUSOLI - sylttytehdas jälleen liikenteessä virittelemässä loukkujaan.
AKUSOL kirjeiden alkuperämaaksi löysin aikaisemmassa huijauskampanjassa Venäjän, joten ei kannata klikkailla missään tapauksessa. Linkki veisi sinut FalconSandboxin virustorjunnassa vaaralliseksi todettuun osoitteeseen:" Malicious domain detected. Details: CONTACTED DOMAIN: "recognisess. com" has been
identified as malicious, CONTACTED DOMAIN: "dsw0trk. com" has been identified as malicious. Piilokryptatusta osotteesta löytyi kaksi vaaralliseksi todettua osoitetta.
Lähettäjäkone sijaitsee Kiinassa.
Kirje on virheellisesti "scandikoodattu", joten se on helposti havaittavissa huijaukseksi.
Linkin tekstissä näkyy myös viimeisenä risti, joka on erinomainen varotus.
---------------------------------------KIRJE HTML näkymässä------------------------------------
Kaikkien maksuvälineiden kirjautumisen kanssa on oltava erityisen varovainen.
TÄMÄKIN ON ANSA". En ole Juuso Renqvist, enkä käytä Mobilepayta.
Tässä huijauskirjeessä on käytetty linkin todellisen osotteen piilotuksessa Trumpin "TruthSocial" palvelua. Kyseessä on lähetysosotteen piilotteluversio, joka aikaisemmin kulki, "googleusercontent", tai "amazonses" palvelujen kautta.
Huomaa, että tässä kirjeessä, linkin alapuolella varoitus "PANKKIKIRJAUTUMISESTA". Tämä tarkoittaa, että "valesuojatussa" pankkikirjautumisessa, kirjautuminen varastetaan ja tilisi tyhjennetään.
Lähetysosotteessa näkyvä "Freshservice" on pilvinatiivi, tekoälyllä toimiva IT-palveluiden hallintaratkaisu (ITSM), jota on käytetty hämäystarkoituksessa. Kun verkkorikolliset ryhtyvät laajemmin käyttämään tekoälyä, olemme todellisessa kusessa.
--------------------------------------KIRJE---------------------------------------
"Dogusign" palvelun varjolla kerätään nyt kirjautumistietoina arkaluontoista tietoa. Oletetaavasti kaapataan myös pankkitietosi.
Näitä näyttää nyt saapuvan muutamia.
Vanha neuvo pätee: KATSOKAA KUKA ON POSTIN LÄHETTÄJÄ! Tämä posti saapuu Puolasta ja linkki veisi sinut Etelä-Afrikkaan. Pesco. com viittaa nigerialaiseen energia-alan firmaan. Eksoottista toimintaa. Virustorjunta VIPER kertoo linkkiosotteen olevan 100% VAARALLINEN.
-------------------------------------KIRJE-------------------------------------------
Niin rahantarpeessa ei ole syytä olla, että menee tämänkaltaisen huijarin ansaan.
Näillä kirjeillä viedään loputkin rahasi. Tällä huijarilla on suomenkielen kanssa ongelmia, koska esiintyy nimellä "ScandiPankiirri".
Lähetysosoite: "pjgu. nl" on nyt liikkeellä ja tunnistettavissa, huijauskirjeiden lähettäjänä.
--------------------------------------------KIRJE----------------------------------------------
Huomautin Elisalle edellisestä tallennustila-huomautuskirjeestä (joka oli muuten aiheellinen). Siinä oli piilotettu kirjeen "header" osa siten, etten pystynyt siitä toteamaan, kuka oli oikeasti kirjeen lähettänyt.
Tämä allaoleva kirje saapui sitten huijarilta, joka paljastui juuri "headerista" ja varmistuu myös helposti lähettäjäosotteen kohdalta.
Lähettäjä oli "info@pjgu. nl" alankomaissa rekisteröity domain, jonka lähettäjäkone oli Tunisiassa.
Tämä huijari lähettelee nyt runsaasti ansakirjeitä, joten osoitteen voi laittaa spämmisuodattimeen.
Siis HUIJARI. Linkistä paljastui lisää vaarallisia kohteita. Falcon Sandbox virustorjunta kertoi osoitteista: Malicious domain detected (vaarallinen osoite havaittu). Vaarallisia osotteita oli useampiakin:
Details
CONTACTED DOMAIN: "recognisess. com" has been
identified as malicious
CONTACTED DOMAIN: "sharedtris. com" has been identified as malicious
CONTACTED DOMAIN: "cdn-fileserver. com" has been identified as malicious
----------------------------------------KIRJE------------------------------------------
