Suuri joukko tarjous - postia joiden linkit vievät huijarin sivuille

Jokaisen kirjeen linkki vie vaaralliseksi luokiteltuun verkko-osoitteeseen.
Näitä vaarallisia roskapostikirjeitä saapuu nyt tukuttain postilaatikkoon
eri otsakkeilla:

Vedenpitävät ja luistamattomat saappaat, joita et halua ottaa pois koko talvena!
Ylläpitämään nivelten ja lihasten normaalia toimintaa
Ongelmia virtsaamisen kanssa? Kokeile ProstaCarea
Aika laihtua? Kokeile MetaBurnia ilmaiseksi!
Saat -50% GreatSkin-tuotteesta raikkaalle ja notkealle iholle!
Pidä aivosi terävinä ja terveinä
Haluatko mieluummin kovia vai pehmeitä paketteja joulukuusen alle?
Haluatko saada painosi hallintaan? Kokeile Cravelessia ilmaiseksi!
Vahvemmat kynnet ja terveemmät hiukset? Kokeile Hair and Skinia ilmaiseksi!
Fenix polttaa rasvaa nopeasti ja tehokkaasti
Opi kuinka Anttgi Herlinin sijoittaa miljoonansa
Kipu lihaksissa ja nivelissä? Kokeile Collagen Vitalia ilmaiseksi!
Tuntuuko siltä, että olet menettänyt kipinäsi? Kokeile T-kompleksia ilmaiseksi
Univaikeuksia? Kokeile Melatoniini Vitalia ilmaiseksi!
Laihduta Cravelessin avulla!
Tehostettu rasvanpoltto
Nuku paljon paremmin. Kokeile 8hours 50% alennuksella nyt!
Nuku hyvin
Paremmat yöunet
Onko sinulla vatsaongelmia? Nyt voit kokeilla BioBelly ilmaiseksi!
Haluatko mieluummin kovia vai pehmeitä paketteja joulukuusen alle?
ProDiet® – Tilaa Kokeilupakkaus Vain Postikulujen Hinnalla!

Jokainen kirje saapuu huijarilta joka kerää henkilötietoja verkkorikoksiaan varten. Koska headerissa lähettäjän kohdalla näkyy eri henkilönimiä, ilmeistä myös on, että roskapostia lähtee, tai kiertää yksityishenkilöiden kaapatuilta tileiltä tai kaapatuilla postiosoitteilla. Norjalainen "prostacare.fi" näyttää esiintyvän suurimmassa osassa lähettäjänä. Uusimmissa roskaposteissa näkyy lähettäjäosoitteena "viestit@veikkausviestit.fi". (Joissakin viesteissä on scandimerkit myös hukassa). Toinen yleinen lähettäjäosoite on: 
Todellinen lähettäjäkone paikallistuu venäjälle. Lähetyksessä on käytetty Mailchimp postitusohjelmaa ja ilmeisimmin Hartwallareenan postilistaa. Mailchimpille on reklamoitu tämä laiton toiminta. MailChimp kiistää olevansa missään tekemisissä tämän huijauskampanjan kanssa, joten heidän osoitteensa (muiden muassa) on väärennetty kirjeen header-kenttään.

Linkit on piilotettu eri linkinlyhennyspalveluiden suojaan. Näin nämä palvelut tulevat avustaneeksi rikollista toimintaa. Linkki vie sivulle joka on luokiteltu vaaralliseksi.

Purin suuren joukon näitä piilo-osoitteita ja ne johtavat ainakin kahdelle vaaralliseksi luokitellulle palvelimelle: "(https:)//aksacli.servehttpXXX.com" (omistaja No-IP.com) ja "(http:)//lavetzr.serveblogXXX.net" (joka ohjataan edelliseen).  (XXX rikkoo linkin).

Olen kertonut huijaustyypistä tässä blogissa artikkelissa:
https://vaarallinenweb.blogspot.com/2021/11/ilmaista-lounasta-ei-ole-olemassa.html

UUSI spämmiansatyyppi

Tai oikeammin, ei niinkään uusi mutta nyt tätä tekniikkaa on käytetty massapostituksissa joissa kirjeen sisältö vaihtelee mutta linkkien klikkausten lopputulos vie samaan, tai saman kaltaiseen ansaan.

Tunnusomaista on, että kirjeessä oleva linkki on koko kirjeen alueella, vaikka sanoja olisi linkkivärjätty ja alleviivattu. Tässä tapauksessa kaikki on alleviivattua sinistä linkkiväriä. Linkki osoittaa yleensä vain yhteen lyhennettyyn verkko-osoitteeseen. Tässä tapauksessa "bit.do" lyhenteenä mutta usein myös "bit.ly" lyhenteenä. Muitakin lyhennyspalveluja käytetään.
Ei ole mikään vitsi, että nuo lyhennetyt osoitteet (siis lyhennelminäkin) ovat pitkä rimpsu koodia. Tämän "lyhenteen" tarkoitus on vain hämäys.

Lyhennetty osoite pitää käydä purkamassa lyhennepalvelun ohjeen mukaan. Varsinaioset osoitteet, tässä huijjaustyypissä, näyttävät vievän yleensä osoitteeseen: "aptrk10.com". Alla edelleen analysoituna, mitä tuosta osoitteesta löytyy:

Short link: http://bit.do/fcCfF....
Redirects to: https://aptrk10.com/?a=1055&oc=5679&c=15822&m=3&s1=9

Tuossa osoitteessa on selkeä vaara, koska se osoittaa ilmeisesti tietokantaosoitteeseen tai osoitteisiin, josta/joista koneellesi saattaa tulla aivan mitä tahansa. Hyvin usein virus tai tietokalastusansa (=lomake jolla johonkin keksittyyn tarkoitukseen udellaan tietojasi).

Löytyi OSOITE http://aptrk10.com

Katsoin mitä tietoa "urlscan" löytää kysesiestä osoitteesta:
https://urlscan.io/result/bfc2c64d-7c49-45ed-a380-f3e84daa30ca

SIVUSTO ON VAARALLINEN:
Verdict: Malicious (Score: 100/100)
urlscan  - Score: 100 phishing
uusi tuomio "Google Safe Browsing" olisi "syytön" eli maine olisi puhdistettu, vaikka nämä spämmit eivät ainakaan minua vakuuta.

Domain nimen omistaa ja aministroi:
Name:Domain Administrator
Organization:THE ROCKET SCIENCE GROUP LLC (sama firma omistaa "mailchimp" postitusohjelman jota käyetään paljon roskapostittukseen)
Street:675 Ponce De Leon Ave
City:Atlanta
State:Georgia
Postal Code:30308
Country:US
Phone:+1.6789990141
Fax:+1.6789990142
Email:email@contact.gandi.net

Registrar Abuse Contact Email: email@support.gandi.net

Toinen nimipalvelu kertoo erilaista totuutta:
Domain Name: aptrk10.com
Registry Domain ID: 1951124117_DOMAIN_COM-VRSN
Registrar WHOIS Server: WHOIS.ENOM.COM
Registrar URL: WWW.ENOM.COM
Updated Date: 2019-07-06T08:26:10.00Z
Creation Date: 2015-08-04T19:16:00.00Z
Registrar Registration Expiration Date: 2020-08-04T19:16:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Domain Status: clientTransferProhibited https://www.icann.org/epp#

Registrant Name: PEITETTY
Registrant Organization: PEITETTY
Registrant Street: PO Box 639
Registrant Street: C/O aptrk10.com
Registrant City: Kirkland
Registrant State/Province: WA
Registrant Postal Code: 98083
Registrant Country: US
Registrant Phone:
Registrant Phone Ext:
Registrant Fax:
Registrant Email: PEITETTY
Admin Name: PEITETTY
Admin Organization: PEITETTY
Admin Street: PO Box 639
Admin Street: C/O aptrk10.com
Admin City: Kirkland
Admin State/Province: WA
Admin Postal Code: 98083
Admin Country: US
Admin Phone:
Admin Phone Ext:
Admin Fax:
Admin Email:
Tech Name: Whois Agent
Tech Organization: PEITETTY
Tech Street: PO Box 639
Tech Street: C/O aptrk10.com
Tech City: Kirkland
Tech State/Province: WA
Tech Postal Code: 98083
Tech Country: US
Tech Phone:
Tech Phone Ext:
Tech Fax:

Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
URL of the ICANN WHOIS Data Problem Reporting System: HTTP://WDPRS.INTERNIC.NET/
>>> Last update of WHOIS database: 2019-10-13T14:59:29.00Z <<<

Tuo postin osoitekentässä näkyvä HOBO spämmi tarkoittaa vastaavaa ansaa. Eli molemmat kirjeet on toteutettu samalla kaavalla. Allaoleva kirje on vanhempaa aineistoa. Siinä tähdätään samalla viestillä samaan ansaan. Tekiikka poikkeaa hieman. Katso näkyvä linkki alamarginaalissa. Sitä ei ole peitetty vaan se vie suoraan tietokantaan. Tämän uudempi tekniikka on halunnut peittää kantalinkin, vaikka mielestäni ei mitenkään onnistunmeesti (onneksemme).