OP:n nimissä omalaatuinen koulutuskutsu

Osuuspankki läheti kutsun "Näin suojaudut hujauksilta" -koulutukseen.
Verkkoturvallisuuteen tähtäävä koulutuskutsu on TXT esitysmuodossaan todellakin huijauskirjeen näköinen.
Kirje oli lähetetty oudosta osotteesta, vaikka oli "ikäänkion" OP:sta. Tarkistin kaikki linkit ja totesin ne oikeiksi ja OP:lle meneviksi. Lähetysosoitekin oli virustarkistuksen mukaan turvallinen ja asiallinen toimija, vaikkakaan ei siis OP.

Yksi linkki meni OP:n kautta Lyyti - tapahtumasivustolle. Ongelmaksi saattaa muodostua sama ilmiö, kuin minulla, eli selaimen suojaus ei päästä sinua ilmoittautumaan, kun pankkisivu on avoinna. 

Voimme kuitenkin päätellä, että kirje on laillinen ja oikealla asialla.

Allaolevassa ruutukaappauksessa näkyy kirje tekstimuotoisena. Todella verkkorikollisen näköistä koodisotkua.  TS. postin lähettänyt ei ole tullut ajatelleeksi, että osa asiakkaista saattaa nähdä kirjen juuri tässä  ja vain tässä muodossaan.

 

ELISA:n nimissä jälleen huijataan

 

Linkissä oleva osoite jo kertoo paljon. Jos nimi on "minun väliaikainen verkkosivuni" ei mitään hyvää ole sieltä tulossa. Viisaammin tämän ilmoittaa Falcon Sandboxin virusraportti:

"Malicious domain detected. Details: SUBMITTED URL: "https://d17.adf.mytemp. website/nwxy" contacted related malicious domain: "mytemp. website"   "       

Lähetysosoite "xy12" ei vie minnekään, koska tuollaista osoitetta Elisalla ei ole.

----------------------------------KIRJE-------------------------------------------

GOOGLE CLOUD TILI HUIJAUS

Kirje jonka sisältö TXT muodossaan ei näy. HTML esitys on kapattu tässä alapuolella.
Kirje on vaarallinen ansa.

Tässä kirjeen otsakeosuus:

"A ction required: Your Google Cloud Billing account has been suspended
Google
<info@bloemenplaats. nl>
Action required: Your Google Cloud Billing account has been suspended
Vastaanottaja  info@bloemenplaats. nl "

-------------------------------KIRJE HTML MUODOSSA-----------------------------

Kirjeessä oleva linkki on koodimuodossa. Fsecure Virustorjunta varottaa menemästä sivulle.

"Tällä sivustolla ei kannata käydä

"https://profityxchase. com/"

F-Secure on merkinnyt tämän sivuston haitalliseksi. Tälle sivustolle ei kannata siirtyä."

Jos epäilet, että Google Cloud tilisi maksuissa on ongelmaa, kirjoita selainkenttään itse Google Cloudin osote "cloud.google. com" .

Tämä kirje on ansa, jossa kerätään henkilötietosi ja tyhjennetään pankkitilisi.

VENÄLÄINEN HAITTAPOSTITUS JATKUU

Kaikkia vastaavan kaltaisia kirjeitä tulee VAROA.
Nämä ovat ansoja. Minulla ei ole koskaan ollut käytössäni iCloud tallennustilaa.
Kirje näyttäisi saapuvan kanadan maatunnuksella MUTTA virustarkistus paljastaa ihan muuta.
Jatka lukemista ensimmäisen kuvan jälkeen.

--------------------------------------------KIRJE-----------------------------------------

Tuo kirjeen alalaidassa oleva linkki vie venäläiseen ansaan. Kyseessä on samat varkaat, kuin edellisessä postauksessani. 
Falcon Sandbox virustorjunta paljastaa kaksi vaarallista venäläistä jatko-osotetta linkistä.
Malicious domain detected. Details: CONTACTED DOMAIN:"allyouneedis0062. ru" has been identified as malicious. CONTACTED DOMAIN:"allyouneedis0062. online" has been identified as malicious 
Linkkiosoitteet, jotka alkavat numerosulkeisella, kannattaa olla klikkaamatta.
F-Secure kertoo myös ensimmäisen vaarallisen osoitteen linkissä:

NÄITÄ VASTAAVIA TALLENNUSTILAN TÄYTTYMISONGELMIA

Saapuu nyt eri toimijoiden nimissä.
Seuraava tuli Elisa:n nimissä: 

Tallennustilasi on täynnä – toimi nyt. Tili-ilmoitus

<info@ae-ipafopleidingen. nl>

Tallennustilasi on täynnä  toimi nyt

Vastaanottaja  info@ae-ipafopleidingen. nl  (alankomaiden nimiin saa rekisteröityä edullisesti valeosotteita)

Hallitse tallennustilaa nyt http://7 670069287547491639@0x58d61a 95/cEY4TjhFR2V3a1R5YmtSaWQvWkJkNXNLMjFDN2w3NjRyRVpCcEJzTGFvNldvSEx0dTRWcTVPQ3F5Z3U5MlluRHFQK0ZZT3BiZm11Szltc2ltakRMU2c9PQ__ (varotin jo aikaisemmin näistä "numero-osotteista. Tämä on sama kuin edellisessä kirjeessä. Samat varotukset pätevät)

EDELLINEN POSTAUS SAMOILLA ANSAOSOTTEILLA
https://vaarallinenweb.blogspot.com/2026/04/varo-venalaista-postia.html

VARO VENÄLÄISTÄ POSTIA

Tämä kirje saapui Venäjältä (.SU) ja linkki vie Venäjälle (.RU).
Näin sota-aikaan ei ole mitään syytä klikkailla tämän kaltaisen postin linkkeihin. Näitä saapuu runsaasti eri osotteista ja eri sisällöillä. Linkin .RU tunnus on VAROTUS..
Vipre virustorjunta kertoo, että osote on vaarallinen: URL Score Malicious (100%)

Falcon Sandbox virustorjunta kertoo myös vaarasta: Malicious domain detected. Details: CONTACTED DOMAIN: "allyouneedis0062. ru" has been identified as malicious. CONTACTED DOMAIN: "allyouneedis0062. online" has been identified as malicious

Tekstissä viitataan myös "appiin" eli "seurusteluohjelmaan", joka roskposteissa on aina vaaran merkki, koska tuo APPI on todennäköisimmin VIRUS. Kuvan alapuolella on seuraava venäläinen ansa.

--------------------------------------KIRJE------------------------------------------

"KLIKKAA HULLU" ON OTSAKE KÄÄNNETTYNÄ.

Vain hullu klikkaa tällaisen postin linkkejä. Siinä suhteessa otsake on paikallaan.
Kirje on postitettu egyptiläisellä kansallistunnuksella.
Postiosoite kuuluu egyptiläiselle eläinlääketieteen "oppilaitokselle" (Beni Suefin yliopiston eläinlääketieteellinen tiedekunta), eli osoite on varastettu huijauskäyttöön. 
LINKKI veisi ennestään tutulle venäläiselle ansasivulle.

Falcon Sandbox virustorjunta varottaa osotteesta: "Malicious domain detected. Details: CONTACTED DOMAIN: "allyouneedis0062.ru" has been identified as malicious

CONTACTED DOMAIN: "allyouneedis0062.online" has been identified as malicious" 

-----------------------------------------KIRJE---------------------------------------------

KELA EI LÄHETÄ KIRJEITÄ KREIKASTA

Tai kreikkalaisilla maatunnuksilla. Näitä saapuu runsaasti eri lähettäjäosotteista, joten olkaa tarkkana!
"undisclosed-recipients" tarkoittaa ryhmäpostia, joten posti ei ole edes sinulle henkilökohtaisesti lähetetty, kuten Kelan posti, hakemuksesi käsittelystä olisi.

Kirjeessä on joukko "...suomi.fi" - domainiin viittavia aliosotteita, jotka ovat hämäystä, eivätkä vie onneksi minnekään.  Varsinainen linkkiosote "siirry asiakirjaan" on se ANSA! 
Falcon Sandbox virustorjunta kertoo vaarasta: Malicious domain detected. Details: SUBMITTED URL: "https://siumio.mc-contact. info/JHDFH" contacted related malicious domain: "mc-contact. info" 

https://vaarallinenweb.blogspot.com/2026/03/kelan-nimissa-jatkuvaa-vaarallista.html

-------------------------------------KIRJE------------------------------------

 

ELISA, VAIKO SUOMI FI? VEROTUSTIEDON VARJOLLA

Tökerö viritelmä, jossa vakuuttavuutta on yritetty hankkia elisan osotteiden kautta (alareunassa).
Kuitenkin varsinainen ansalinkki on kirjeen keskivaiheilla ja se on analysoitu virustorjunnassa VAARALLISEKSI, Lähettäjäosotteen maatunnus vie Saksaan ja linkki vie eestiläiselle koneelle.
Falcon Sandbox kertoo linkistä: Malicious domain detected. Details CONTACTED DOMAIN: "hyomabartho. de" has been identified as malicious.       

Url Scan IO Analysis toteaa linkistä: Malicious (100%), eli EHDOTTOMAN VAARALLINEN.       

Vakuuttavuutta on yritetty hankkia viranomaistahojen nimiä luettelemalla.

-------------------------------------KIRJE--------------------------------------

ROSKAPOSTIEN POHJASAKKAA

Onneksi osa roskaposteista kertoo jo itse sisällöllään, mistä on kysymys.

1) taitamaton roskapostittaja ei hallitse scandeja (ääkköset)
2) roskapostittaja "uhkailee" erilaisilla auktoriteeteilla (esim. oikeusministeriö, ulosottolaitos. poliisi, jne.)
3) lähetysosote on omalaatuinen. Tässä tapauksessa osote näyttäisi aluksi viittaavan DanskeBankkiin ja loppupidenne, kertoo osotteen olevan Kyprokselta
4) viesti väittää olevansa turvallinen mutta sisältää kirjautumislinkin pankkiin, jota pankit eivät enää tee kirjeissään, koska linkin osoitetta ei voida valvoa roskaposteissa. Tämäkin linkki on vaarallinen.

---------------------------------KIRJE------------------------------

KAVALA ELISA - ANSA

 ELISAN nimissä saapunut linkin sisältävä sähköposti on ANSA!
Vaikka lähettäjäosotteeksi on laitettu "elisanet. fi" osotteen omalaatuinen alkuosa "xyz10" on jo viite huijauksesta. Henkilötietosi ja Elisa tilisi yritetään varastaa.

Linkin takaa löytyy vaarallinen sivu josta Falcon Sandbox virustorjunta kertoo seuraavaa:
links.truthsocial. com/link/116371637996535179 (links.truthsocial. com osotteesta linkitettyä osoitetta pidetään virustorjuntayritysten taholla aina arveluttavana, eikä ainoastaan siksi, että se on Trumpin oma sosialisenmedian kanava)
"Detected CAPTCHA functionality hosted on suspicious or malicious domain"
Kuvan alapuolella on selvitys linkin vaarallisuudesta yksityiskohtaisemmin.

Scam Advicer virustorjunta kertoo myös linkin olevan vaarallinen.
ScamAdviser: Domain Scam Score Malicious (91%)

-----------------------------------KIRJE-----------------------------------

Havaittu CAPTCHA-toiminto, joka on isännöity epäilyttävällä tai haitallisella verkkotunnuksella tiedot Väärennetty
CAPTCHA-uhka havaittu: haitallinen verkkotunnus
 Tunnistusmenetelmä: Verkkosivuanalyysi
Havaitut verkkotunnukset: "sinureomareomin. com" (haitallinen) "links.truthsocial. com" (kohde)
 Tässä esimerkissä käytetään haitallisella verkkotunnuksella isännöityä CAPTCHA-toimintoa, mikä on vahva osoitus aktiivisesta tietojenkalastelukampanjasta. Hyökkääjät käyttävät laillisen näköisiä CAPTCHA-haasteita: -> Luodakseen väärän turvallisuuden ja oikeellisuuden tunteen -> Ohittaakseen automatisoidut tietoturvatarkistustyökalut -> Suodattaakseen pois tietoturvatutkijat ja botit

TAPIOLAN NIMISSÄ HUIJAUSPOSTIA

ÄLÄ KLIKKAA LINKKIÄ!

Kirje ei saavu "Lähi Tapiolasta". Suomalainen firma käyttäisi ääkkösiä ja lähettäisi virallisesta "lahitapiola. fi" osoitteestaan postin. Varo myös "re:" alkuisilla otsakkeilla varustettuja kirjeitä, jos et itse ole ollut kirjeenvaihdossa kyseisen firman kanssa, eikä kirje vastaa keskusteluasi.
Jos klikkaat tämän kirjeen linkkiä ja kirjaudut huijarin sivulla menetät henkilötietosi ja pankkitietosi huijarille. Sen jälkeen tilisi tyhjennetään.

Myös tuo puhelinnumero on haitallinen. 0300 0800 ei löytynyt suoraa tietoa tai käyttäjäraportteja.
0300-alkuiset numerot ovat usein yritysten maksullisia palvelunumeroita.

Falcon Sandbox virustorjunta löysi linkin päästä vaarallista materiaalia.
Malicious domain detected. Details: CONTACTED DOMAIN: "lahitapiola. site" has been identified as malicious                                                                                              

------------------------------------------KIRJE------------------------------------

 

VASTAAVIA ANSOJA TAPIOLAN NIMISSÄ:

https://vaarallinenweb.blogspot.com/2026/02/lahitapiolan-nimissa-henkilotietovarkaus.html

https://vaarallinenweb.blogspot.com/2025/11/tapiola-nimissa-huijaus.html

OMAKANTA - ILMOITUKSEN VARJOLLA HUIJATAAN

Katala huijaus piiloutuu "omakanta" palvelun taakse.

Moni ikääntyvä odottelee reseptiä ja saakin huijauskirjeen, jonka avulla hänen pankkitilinsä tyhjennetään.

TÄMÄ KIRJE EI SAAPUNUT OMAKANNASTA! Katso punaisella alleviivattu lähetysosote! Katso jokaisesta kirjeestä lähettäjän osote. Jos se ei täsmää kirjeen sisältöön, kyseessä on HUIJAUS.
Myös vastaanottajanimen kohdalla pitäisi olla sinun sähköpostiosoitteesi.

OMAKANTA. FI ei laita kirjeisiinsä kirjautumislinkkejä näiden huijauskirjeiden takia.
Mene aina omakantaan VAIN "omakanta. fi" osotteen kautta. Osote on kirjoitettava itse selaimen osoitekenttään.

Loppuosa kirjeestä on Verkkokaupan mainostekstiä ja linkkejä. Yksi (kirjautumislinkki) vie huijarin sivustolle, jossa kirjautumisesi varastetaan.

-----------------------------------------KIRJE--------------------------------------

KELAN NIMISSÄ JATKUVAA VAARALLISTA HAITTAPOSTIA

Katso jälleen kerran, kuka on viestin lähettänyt! 
Alleviivattu osa kertoo osotteen, joka tässä tapauksessa viittaa Kanadaan.

Tässä huijauskirjeessä kerrotaan suoraan, mikä on huijarin tarkoitus.
Kela ei laita kirjautumislinkkiä omiin kirjeisiinsä. 
Koska Kelaan tarvitaan vahva kirjautuminen, tämän kirjeen linkin kautta luovutat pankkitunnuksesi ja henkilötietosi verkkorikolliselle.  Sama koskee "kanta. fi", "omakanta. fi", vero. fi" ja jokaista pankkien nimissä saapuvaa viestiä.

-----------------------------------------KIRJE------------------------------------------

Kirjeen alaosan englanninkielinen teksti on tarpeeton suomenkieliselle asiakkaalle ja kertoo myös viestin rikollisesta tarkoituksesta.

HUIJARI SISLEY BRÄNDIN TAKANA

Vaikka kärsisit huonosta muistista ÄLÄ OSTA TÄTÄ TUOTETTA HUIJARILTA! Huijarin tunnistaa ainakin HTML koodin kryptatusta linkkiosotteesta, base64 krypratusta HTML koodista  ja selaimen näyttötilassa (HTML verkkoselain) näkyvistä scandi-virheistä.

Posti saapuu myös huijareiden suosimasta "bc.googleusercontent. com" osotteesta, joka piilottaa lähettäjän.

Huomio kannattaa kiinnittää myös tuon valelähetysosotteen ".nl" päätteeseen. Huijareilla on tapana rekisteröidä Alankomaissa näitä rikollisesti käytettäviä peiteosotteita. Rekisterinylläpitäjä ei ilmeisesti kontrolloi, kuka osotteita rekisteröi ja onko huijarilla brändin nimeen käyttöoikeus. Sisley on meikki- ja muotialan toimija.

----------------------------------KIRJE-TXT näkymänä----------------------------------

----------------------------------KIRJE-HTML näkymänä----------------------------------

SAMA HUIJARI; SAMA TYYLI ERI AIHE

Tässä ansassa puhutaan laitteesi muistista. Huono juttu jos sekä käyttäjältä, että koneelta menee muisti.
Apua ei kuitenkaan löydy tältä HUIJARILTA. Edellinen viritys oli konemuistin suunnalla.

https://vaarallinenweb.blogspot.com/2026/03/elisalta-menee-muisti.html

HUIJARI SIMONOVSKA AHKERANA

Simonovskan osotteesta näyttää saapuvan nyt useampiakin haittaposteja.
Tässä jälleen yksi näyte. Simonovska ei ole edelleenkään oppinut koodaamaan skandeja oikein.
Nyt sentään molemmat esitysmuodot kirjeestä, kertovat samaa asiaa.
Kirjekopioiden alla on lisää Simovskajalta saapunutta postia.

Kirje on VAARALLINEN, kuten edellinenkin. FALCON SANDBOX kertoo: "Malicious domain detected. Details: CONTACTED DOMAIN: "dealzmadetoday. com" has been identified as malicious".
VAARALLINEN osoite löytyy linkin takaa.

---------------------------------TXT-------------------------------------

Kirje selaimen esttämässä (HTML) muodossa. 

"Eksklusiivinen", kielitoimiston sanakirja antaa sille merkityksiä: äärimmäisen vaativa, valikoiva, hieno, poissulkeva. Sana tulee latinan sanasta excludere (sulkea ulos, estää), joka puolestaan sisältää osat ex (ulkona, ulos) ja claudere (sulkea). 
Näistä merkityksistä kannattaa valita tuo "poissulkeva" ja heittää kirje roskikseen.

LISÄÄ SIMONOVSKAN HAITTAPOSTIA

Tervetuliaisbonus 200 % jopa 1 000 Euro asti
JOKlCASlNO (vanha tuttu roskapostien allekirjoittaja uusiokäytössä)
<info@simonovska-health. nl>
23.3.2026 18.32
Vastaanottaja  info@simonovska-health. nl  

SANO HYVÄSTIT UNIVAIKEUKSILLE
Melatonin Vital  (vanha tuttu roskapostien tuotemerkki uusiokäytössä)
<info@simonovska-health. nl>
23.3.2026 16.46
Vastaanottaja  info@simonovska-health. nl 

Toinen lähettäjänimi kalskahtaa edelleenkin naapurimaaltamme. Osoitteen maatunnus on Latvian:

LAHJOITUSTEN MAALISKUUN ERÄN VOITTAJA
Sandra Dundule
<sandra.dundule@jelgavasnovads. lv>
22.3.2026 06.39
Vastaa  mrs.kristinewellenstein@outlook. com 

Samoin tämä kolmas lähettäjä. ACLJ on vanha tuttu huijauspostien "allekirjoittaja". Tämä kirjainlyhenne kannattaa pistää muistiin ja tuhota kaikki sen nimissä saapuvat kirjeet.
Tästä ansasta kerron myös osotteessa: https://vaarallinenweb.blogspot.com/2026/03/latviastako-palkinto.html

MASSIVE DEATH TOLL
ACLJ Jordan Sekulow
<jordan.sekulow@email.aclj. org>
23.3.2026 16.51
Vastaanottaja  hannu.kuukkanen@xxxxxxxxx  Vastaa  The ACLJ

ELISALTA MENEE MUISTI

Tämä kirje on sikäli merkillinen (ja vaarallinen), että sen sisältö näyttää täysin poikkeavalta, kun sitä katsoo TXT (teksti) - taikka HTML (selain) muodoissaan. 

Kannatta seurata myös lähettäjäosotteiden maatunnuksia (tässä .nl, eli alankomaat). Alankomaissa rekisteröidään jatkuvasti suuria määriä huijareiden valeosotteita.  Simonovska nimi viittaa Itäiseen naapuriimme, joka taas kertoo lisää kirjeen alkuperästä.

LINKKI on VAARALLINEN! FALCON SANDBOX virustorjunta varoittaa linkin päästä löytyvästä kolmesta, ennestäänkin tutusta osotteesta: Malicious domain detected. Details:    CONTACTED DOMAIN: "paramatise. com" has been identified as malicious, CONTACTED DOMAIN: "daily-chirp. com" has been identified as malicious CONTACTED DOMAIN: "true-joys. com" has been identified as malicious 

Lähetysosoitteessa piilee myös mahdollinen dataliikenteen sekaan piiloitettu haitta:
FALCON SANDBOX virustorjunta kertoo: "Hyökkääjät voivat kommunikoida käyttämällä verkkoliikenteeseen liittyviä sovelluskerroksen protokollia välttääkseen havaitsemisen/verkon suodatuksen sulautumalla olemassa olevaan liikenteeseen." Tämä haitta on erittäin yleinen  venäläisissä ansaposteissa.

---------------------------TXT MUODOSSA KIRJE NÄYTTÄÄ TÄLTÄ -------------------

JA HTML (selaimella) muodossa kirje on ihan erilainen ja kertoo eri asiaa. Kirjeen ilmiasu muistuttaa myös aikaisempia Venäjältä saapuneita haittaposteja. Mm. skandi - kirjaimet (ääkköset) on väärin koodattu.

 

OUTO KIRJE FACEBOOKIN NIMISSÄ

Kirje näyttäisi lailliselta linkkeineen. Ainoastaan yksi linkki herättää huomiota:

"schema. org/Organization" Tästä osoitteesta Google AI kertoo seuraavaa: ”Schema. org” voidaan käyttää myös väärin.  Se tarkoittaa strukturoidun datan (JSON-LD, mikrodata) tarkoitukselliseen manipulointiin hakukoneiden huijaamiseksi näyttämään rikkaita tuloksia – kuten väärennettyjä 5 tähden arvioita, vääriä tuotehintoja tai epäolennaisia ​​usein kysyttyjen kysymysten katkelmia – klikkausprosentin (C-through) parantamiseksi. Vaikka schema.org itsessään on laillinen, avoimen lähdekoodin sanasto strukturoidulle datalle, huijarit käyttävät sitä "täyttääkseen" tai väärentääkseen tietoja yrityksestä tai tuotteesta.

Myös kirjeen kirjoitusvirheet (pisteitä puuttuu samoin tyhjiä lausevälejä puuttuu). Kirjoitusvirheet paljastavat huijauskirjeen. Samoin lause "Tämä viesti lähetettiin pyynnöstäsi" ei pidä paikkansa.

ÄLÄ KLIKKAA MIHINKÄÄN TÄMÄN KIRJEEN LINKKIIN! Jatka lukemista kuvan alapuolella olevaan ohjeeseen.

Jos haluat tarkistaa mikä on FaceBook tilisi tilanne:

"1. Tilin tilan tarkistaminen (Tietoturva)

Voit tarkistaa, onko tilisi hakkeroitu, tai onko tililläsi rajoituksia tai ongelmia:

Tarkista, onko tilisi hakkeroitu. https://www.facebook.com/help/hacked?locale=fi_FI

 

2. Kirjautumisten tarkistus (Kuka muu käyttää tiliäsi?)

Jos epäilet, että joku muu on kirjautunut tilillesi:

Mene Asetukset ja yksityisyys > Toimintaloki:  https://www.facebook.com/help/search?helpref=search&query=toimintaloki&locale=fi_FI  Kohteet, joissa olet kirjautuneena sisään.

Näet listan laitteista ja sijainneista. Jos tunnistat vieraan laitteen, voit kirjautua ulos kyseisestä laitteesta. 

Facebook

3. Henkilöllisyyden vahvistaminen (Meta-tili)

Jos Facebook pyytää vahvistamaan henkilöllisyyden (esim. epäilyttävän toiminnan vuoksi), sinua saatetaan pyytää lähettämään kuva henkilötodistuksesta. 

www.meta.com (TÄMÄ OHJE ON VAARALLINEN. En lähettäisi henkilökorttikuvaani kenellekään e-mailitse - varsinkaan minkään kirjeen linkin kautta). 

Tärkeä huomautus: Facebook ei tarjoa työkalua nähdä, kuka on katsonut profiiliasi. Varo sovelluksia, jotka lupaavat tämän, sillä ne voivat olla huijauksia. 

Kirjastot.fi

Suosittelemme aina käyttämään kaksivaiheista todennusta tilin asetuksista turvallisuuden parantamiseksi."

LATVIASTAKO PALKINTO

 Ei kannata klikkaila tämän kaltaisen kirjeen linkkejä. Näitä erilaisia, älyttömiä palkintoja on jaeltu koko internetin ajan. Tämä taitaa olla vanhin ansatyyppi.

Kirje on lähetetty latvialaisesta ilmaisosoitteesta. Lähettänyt kone ei ole edes Internetin osoiterekisterissä.

---------------------------------------KIRJE----------------------------------------

SEURUSTELUANSA - VENÄLÄINEN VERSIO

 Kirje on postitettu Amsterdamista (DNS osote on mustalla listalla) Outlook postin kautta. Peiteosotteena on käyetty italialaista poliba. it - Barissa olevan oppilaitoksen osoittetta ja linkki veisi venäläiselle palvelimelle "b.academycom. ru", josta Scam Advicer virustorjunta kertoo tietoja jotka ovat tyypillisiä verkkorikollisille: 

"- Verkkosivuston omistaja piilottaa henkilöllisyytensä WHOIS-tiedoissa maksullisen palvelun avulla.
- Tällä verkkosivustolla ei ole paljon kävijöitä.
- Toinen verkkosivusto käyttää tätä verkkosivustoa iframe-kehyksenä. (lopullinen osoite ei ole tiedossa)
- Emme voineet analysoida sivuston sisältöä."

Lisäksi Falcon Sandbox virustorjunta kertoo linkstä: "Hyökkääjät voivat kommunikoida käyttämällä verkkoliikenteeseen liittyviä sovelluskerroksen protokollia välttääkseen havaitsemisen/verkon suodatuksen sulautumalla olemassa olevaan liikenteeseen.". Tämä tarkoitta, että virustorjunta/roskapostisuodatus ei havaitse mahdollisen haittaohjelman toimintaa.

Laitoin kirjeen tekstin kääntäjään. Se on sekakielinen (tyypillistä huijausposteille) ja edelleen julkaisun kieltävä. Koska julkaisen sen, odotan sanktioita mielenkiinnolla. Käännös on kuvan alapuolella.

---------------------------------------------KIRJE----------------------------------------

KIRJEEN TEKSTI ON SEKAVA JA OSIN KAKSIKIELINEN

"Heti pölyn laskeuduttua en halunnut löytää uusia ihmisiä – silti joku näytti minulle maksuttoman sovelluksen ja tapasi Dianan, 31, ja hän paljasti luonnollisen tunnelmani, jos kiinnostuin http://b.academycom. ru/?k=823f05xxxxx." 

Tietosuojakäytäntö - Asetuksen (EU) 2016/679 mukaisesti huomioithan, että tämän viestin tiedot ovat luottamuksellisia ja tarkoitettu vain vastaanottajan käyttöön (olen vastaanottaja, koska sain kirjeen). Jos olet saanut tämän viestin erehdyksessä (spämmeri saa vastata siitä, koska varastettua sähköpostiosoitettani on käyetty luvatta), poista se kopioimatta sitä äläkä lähetä sitä edelleen kolmansille osapuolille. Kerrothan meille ystävällisesti. Kiitos. (reply postaus olisi yhtä varma ansa, kuin tämän kirjeen linkki).
Tietosuojatiedot - Tämä viesti saattaa asetuksen (EU) 2016/679 mukaisesti sisältää luottamuksellisia ja/tai suojattuja tietoja. Jos et ole vastaanottaja tai et ole valtuutettu vastaanottamaan tätä viestiä vastaanottajan puolesta, et saa käyttää, kopioida, paljastaa tai ryhtyä mihinkään toimiin tämän viestin tai sen sisältämien tietojen perusteella. (huijari varmistelee, että en paljasta huijausta). Jos olet vastaanottanut tämän viestin virheellisesti, ilmoita siitä lähettäjälle välittömästi vastaussähköpostilla ja poista tämä viesti. Kiitos yhteistyöstäs. (eipä kestä)

Näitä uhkauksia on hyvin usein näissä haittaposteissa. Olisin lusinut jo pitkään, jos huijareiden uhkauksilla olisi minkäänlaista katetta.

S-PANKKI JA DANSKEBANK MENEVÄT SEKAISIN TÄSSÄ HUIJAUKSESSA

Huijareiden lipsahduksista on helppo havaita, että kyseessä on ansakirje.
Tässäkin kirjeessä "lähettäjä" on ikäänkuin S-Pankki mutta kirjeen tekstissä puhutaan S-Pankista sekä Danskebankista.

Myös lähettäjän osoite saapuu Saksasta, eikä kuulu kummallekaan pankille.

Linkki ei vie kumpaankaan pankkiin, vaan huijarin rakentamille näköissivuille, joiden virusanalyysi paljastaa useita vaarallisia, huijauskirjeille kuuluvia, ominaisuuksia.

-----------------------------------------KIRJE-----------------------------------------

LINKKI peitetään amazonnaws. com osotteen taakse.

https://s3.eu-central-1.amazonaws. com/ewrwefowjd-sopak4/fwefewamd.html?id=o7zrd6P2
GOOGLE AI KERTOO:

*.amazonaws. com-verkkotunnukset ovat Amazon Web Servicesin (AWS) laillisia päätepisteitä, joita miljoonat verkkosivustot ja sovellukset käyttävät ylläpitoon, tallennukseen ja pilvipalveluihin. Nämä aliverkkotunnukset, kuten s3.amazonaws. com tai compute-1.amazonaws. com, tarjoavat tyypillisesti kuvia, sovellustietoja tai sisältöä, mutta niitä voidaan joskus käyttää haitallisten tiedostojen tallentamiseen.

Katsotaan mitä seuraa, kun suomalaisia viranomaistietoja talletetaan Amazonin palvelimelle.

ELISAN NIMISSÄ ANSAPOSTIA

 Pari erilaista ELISAn nimissä saapunutta ansapostia. Molemmat tunnistettavissa saman verkkorikollisen käsialaksi. HTML katselussa scandikirjaimet esitetään väärin.  Tämän rosvon käsialaan kuuluu "BASE64" koodattu lähdekoodi. Tarkoituksena on vaikeuttaa spammisuodattimien toimintaa.
LÄHETTÄJÄ: "unify-co. nl", ei ole elisan osoite. Tarkastakaa aina ensin lähettäjä.

FALCON SANDBOX virustorjunta löysi lyhennekryptatun linkin päästä kolme vaarallista osoitetta:
"Malicious domain detected. Details

CONTACTED DOMAIN: "paramatise. com" has been identified as malicious
CONTACTED DOMAIN: "daily-chirp. com" has been identified as malicious
CONTACTED DOMAIN: "true-joys. com" has been identified as malicious  "                                    

--------------------------------KIRJE TXT muodossa----------------------------------------

KIRJE HTML MUODOSSA KAAPATTUNA

SEURAAVA SPÄMMI SAAPUI OTSAKKEELLA "Tietoturvasi on vaarantunut" - sama verkkorikollinen kokeilee toista lähestymistapaa ja kertaa "VAARAN" tunteen vastaanottajalle.

Todellinen vaara on klikkailla näiden haittapostien linkkejä.