PRISMAN NIMISSÄ ANSAPOSTIA

Kaupparyhmittymän nimissä saapuu huijauskirje pitkästä aikaa.
Et tule saamaan iPhonea (kuten en minäkään) mutta pankkitilisi saatetaan tyhjentää.
Kirje saapuu tekaistusta osoitteesta Englannista (mailins204.74.251.54.makkers.co(.)uk).
Reply menisi kaapatulle koneelle (WCYWO@kauneushoitolamerikaisla(.)fi)
Linkin kryptattu osoite veisi Kanadaan erittäin epämääräiselle koneelle (https://quinolsboat(.)com/0/0/0/98add0073b5020236d69c00dc0ceaa9a/4/37909_39/246_5647_5127_550380_md)

------------------------------------KIRJE-------------------------------------------

ANSAPOSTIRYPÄS SAMA KAAVA, SAMA VAARA

 Tämä on ERITTÄIN KAVALA ANSA. Tämä versio saapui Prisman nimissä.
Kirje on kulkenut Microsoftin palvelimen kautta ilmeisimmin Outlook postina. "...xxx@US07MS.onmicrosoft.com". Tällaiselle osoitteelle ei löydy sivustoa. Haku osoitteella antaa tulokseksi ilmoituksen vale e-mail generaattorista. Tällaista osoitetta ei ole olemassa:

Alla olevan kirjeen LINKKI on todettu virustorjuntayrityksen sivuilla VAARALLISEKSI henkilötietokalastelijaksi. Henkilötiedoillasi voidaan tehdä verkko-ostoksia tai palveluhankintoja sinun laskuusi.
"servicesupport2023.github(.)io/0012800/Prisma.html#DJw...."
Kun kuvat on selaimessa kielletty, saapuu vain yksi teksti ja tämä vaarallinen linkki:

 

Kuitenkin tässä (suoralinkillä hakemassani) kuvana olleessa mainoksessa ollaan vasta osallistumassa kisaan. Tämä tarkoittaa kaikissa tapauksissa, että sinulta URKITAAN HENKILÖTIETOJA tai / ja muita kirjautumistunnuksia. TÄMÄ ON ANSA.

 Kirjeestä löytyy myös linkki OnSIP äänipalveluun (puhelinta vastava):
https://www.onsip(.)com
OnSIP cloud hosted PBX is a complete phone system replacement. Work from home with desktop and mobile apps, video conferencing, and access to expert ...
Tämä ilmeisimmin tarkoittaa, että sinuun haluttaisiin myös keskusteluyhteys "lisäurkintaa" varten.
Tämä linkki on vaarallinen varsinkin jos kirje saapuu kännyysi.

SEURAAVA YHTÄ VAARALLINEN SPÄMMI TULI TÄNÄÄN TÄYSIN SAMALLA KAAVALLA. Vastaavasta generoidusta valeosoitteesta. Alla kaapattu kuva suoralinkin näyttämästä e-mailin kuvasta, (jonka olin myös selaimeltani kieltänyt). Kuva saapuu kuvapankin kaltaisilta sivuilta. Tämä varmasti siksi, ettei rikollisen palvelin paljastuisi. LINKKI VIE VAARALLISEKSI luokitellulle palvelimelle. Koodista löytyy myös sama "onsip(.)com" "puhelinpalvelin" osoite.

Seuraava täysin samanlainen spämmi tarjoaa tuota vanhaa "Olet voittanut tuotteen Apple Mystery Box" tuotetta minulle, PC käyttäjälle. Yhtä vaarallinen linkki kuin edellisissä.
Spämmi on käsitelty artikkelissa: https://vaarallinenweb.blogspot.com/search?q=apple+mystery+box

Prisman lahjakortti -ansan uusi versio

Sama huijari, kuin iPhone 14 Pro ansassa yrittää myös PRISMAN nimissä kalastella uhreja.
Kuvassa on linkki, joka vie huijarin palvelimelle.

Arvomme 1000€:N Prisman Lahjakortti!

From     Prisma  (lähettäjä: pushpate(@)lx2019a.hostrs.com)
To     hannu.kuukkanen@xxxxxxxx
Reply-To     pushpatravels234(@)gmail.com
Date     Fri 17:30

Reply-osotte on useissa spämmeissä sama:  pushpatravels234(@)gmail.com, joka on intialainen matkatoimisto.

Venäjän kyberhyökkäysten valmistelua

Et voi olla koskaan liian varovainen.
Venäjän palkkaamat Trollitehtaat ovat nyt erittäin aktiivisia.
Troillien virittelemiä ansoja löytyy kaikista sosiaalisen median välineistä, sekä e-mail-kirjeistä.

Venäjä tarvitsee yksityishenkilöiden koneita kyberhyökkäyksiään varten.
Mm. tänään on raportoitu useita palvelunestohyökkäyksiä suomalaisia tärkeitä verkkotoimijoita vastaan, mukaan lukien ministeriöiden verkkosivut, Wärtsilä, sekä Osuuspankki.
Mitä enemmän "orjakoneita" Trollit saavat haltuunsa huolimattomilta tietoteknisten laitteiden käyttäjiltä, sitä laajempia ja tehokkaampia palvelunestohyökkäykset ovat.

Suomen tietotoimiston tietomurto tehtiin tietojärjestelmään istutetun viruksen avulla.
Virus on saattanut saapua (esim. kirjeen liitteenä) jollekin käyttäjän työkoneelle tai kotikoneelle ja sittemmin kulkeutua työkoneelle aineiston mukana. https://www.iltalehti.fi/kotimaa/a/d3d0d7b2-6516-4059-84f2-72860c89469e

E-maileissa jatkuvasti esiintyviä ansatyyppejä ja otsikoita:

1000€:n lahjakortti Tokmanni!
Uteliaisiin, pikavoittoja etsiviin tähdätty ansa (erittäin vaaralliseksi todettu osoite)

Rekisteröidy tänään ja saat upean tervetuliaisbonuksen!
Peliriippuvaisiin tähdätty ansa (linkki uudelleen ohjattu vaaralliseksi luokitellulle koneelle)

Hei kulta, älä missaa tätä ja hyödynnä tilaisuutesi!
Irtosuhteita etsiviin tähdätty ansa (erittäin vaaralliseksi todettu linkki)

VOITA ITSELLESI 1000€:N LAHJAKORTTI K-MARKET!
Pelureihin vetoava ansa (erittäin vaaralliseksi todettu linkki)

Arvomme 1000€:N Prisman Lahjakortti!
Pelureihin vetoava ansa (erittäin vaaralliseksi todettu linkki)

Loma aktivoitu! Voita 500 € SAS-lahjakortti!
Pelureihin ja seikkailijoihin vetoaa tämäkin ansa. (Linkin domainnimi on poistettu verkosta - onneksi)

Varastollamme on (1) pakettia odottamassa kuljatusta sinulle.
Verkkokauppojen asiakkaisiin tähdätty ansa. Pakettiansoja on usean eri kuljetusfirman nimissä.

VAROITUS!!! Järjestelmä on havainnut (13) virusta tietokoneellasi....
Links: osoite kertoo, että "crazytulip.com | 521: Web server is down", joka taas on ilmeistä, koska verkkopalvelutarjoaja on havainnut rikollisen sivuston ja plokannut palvelimen ulos verkosta.
Tekaistuja VIRUSVAROITUKSIA saapuu usean virustorjuntaohjelman nimillä. Tämä saapui "Norton Allert" - nimellä ratsastaen. Virus olisi, tässä tapauksessa, vasta tulossa linkin kautta.
Kun hankit tai päivität virustorjuntaohjelman, tee se ohjelman virallisislta sivuilta tai, jos olet apävarma tietotekniikan käyttäjä, mieluiten oman palveluntarjoajasi kautta.

- Vegaaninen ja sokeriton painonhallinta? Kokeile Morya ilmaiseksi
Virustorjuntaohjelmistosivujen VAROITUS: "pishing, malicious" eli linkkiosoite on vaarallinen.
Omien yhteystietojen antaminen verkkorikolliselle tulee sinulle kalliiksi.

Kilpailuta lainasi nyt edullisemmalla korolla
http://www.laselection(.)net/redir.php3?cat=ach&url=0x334BBFE5/cl/16698_md/1/483/668/187/27036
Useat ansalinkit ohjaavat "redir.php3" (tai vastaavalla) ohjelmalla uteliaan uudelle sivulle. Linkkiosoite saadaan näyttämään puhtaalta, koska ensimmäinen linkki osoittaa laillisen toimijan domainiin. Et huomaa linkin muuttumista selaimessasi, ellet osaa olla tarpeeksi varovainen.
Mm. linkkejä on osoitettu usein sivulle info@nazar.fi/... josta ne ohjataan edelleen rikollisen palvelinosoitteeseen.

Aiheesta lisää tässä blogissa:
https://vaarallinenweb.blogspot.com/2022/08/vaarallisen-sylttytehtaan-tuotantoa.html

PRISMAn ja LIDLin nimellä jälleen huijauspostia

Ainakin näistä kuudesta eri osoitteesta on saapunut sama huijauskirje otsakkeella "3 lukematonta viestiä":
info@canvazoo.com
info@zigml.nl
info@kmailer.nl
info@mtsender.nl
info@mlawo.nl
info@cloudzio.nl (näitä saapuu jatkuvasti lisää eri osoitteista)

Prisman tai LIDLin kanssa ei kirjeillä ole mitään tekemistä. Tämä vaikuttaa phishing-ansalta, eli henkilötietosi varastetaan.

Lahjakortti olisi ikäänkuin tulossa Prismasta mutta allekirjoituksena on LIDL.
Alankomaiden palvelimet taitavat vuotaa pahasti spämmipopstia. Lähes jokainen osoite päättyy alankomaiden tunnukseen. Rekisteröijän tietoja ei nl tunnuksissa ole näkyvillä. Anonymiteetti suojelee verkkorikollisia.

Sensijaan .com osoitten omistajan kotimaa on tiedossa. Jäljet päättyvät jälleen Panamaan.
Reseller: NAMECHEAP INC (tämä toimija tarjoaa lähes ilmaisia tunnuksia ja ilmaista verkkotilaa spämmereiden iloksi ja uhrien harmiksi, tarjoaa hakkereiden suosima, cloudflare.com).
Registry Registrant ID: (rekisteröijän tietoja ei ole, relkisteröijän kotimaata lukuunnottamatta)
Registrant Name: WhoisGuard Protected (WhoisGuard tarjoaa myös verkkohuijareille tiedonpiiloituspalveluja)
Registrant Street: P.O. Box 0823-03411 (P.O.Box osoite on "postilaatikkofirman" osoite)
Registrant City: Panama (ja kotimaa Pananma)

Pelisivuston "lähettämä" ansa

From: Prisma <notifications_MYlXX1@gamemania.eu> (ei saavu Prismasta vaan pelisivustolta)

Postin lähettjä tuskin on tuo pelifirmakaan, vaikka sen domainnimi esiintyy lähettäjänä. Prismasta se ei ainakaan saapunut. Postitus on tapahtunut mailchimp postitussivuilta. Todellista lähettäjää tuskin saadaan selville.

"bigpond.site" (tähän osoitteeseen koko sivun kattava linkki veisi uteliaan)
Tällaiselle domannimelle ei löydy omistajaa, eikä se ole ilmeisesti enää edes toiminnassa (onneksi).
Linkit ovat hämäystä, koko teksti oli yhtä linkkiä, eli koskipa mihin kohtaa kirjettä tahansa, aina linkki olisi mennyt samaan osoitteeseen. Tästä tekstistä linkki on poistettu.

Unsubscribe linkki veisi: list-manage.com osoitteeseen joka on mailchimpin ja jonka omistaa THE ROCKET SCIENCE GROUP LLC
Mailchimpin kautta kulkee runsaasti roskapostia, jota omistaja ei kykene hallitsemaan tai estämään. Ilmeisesti minkäänlaista haluakaan toiminnan estämiseksi ei näytä olevan. "Aloittelijoille" tarjotaan ilmainen postitusmahdollisuus joten spämmereitä sen kautta riittää.

---------------------------------------------KIRJE---------------------------------------------
- Tärkeä viesti sinulle! -

Paljon onnea, hannu.kuukkanen!!

Sinut on valittu mahdolliseksi voittajaksi!
On ilomme ilmoittaa, että sinut on otettu mukaan arvontaan jossa pääpalkintona on:

1.000 euron arvoinen ostoslahjakortti valitsemaasi lähikauppaan!

hannu.kuukkanen, osallistu heti ja voit voittaa valitsemasi huippupalkinnon.

Onnea matkaan,
Lahjakorttikilpailun tiimi

» Osallistu tästä
Click to unsubscribe

-------------------------------------------------------------------------------------------------------

Erilainen PRISMA-ansa Panamasta

Tämäkään kirje ei tule Prismasta ja on ansa. Poistin linkin vaarallisena.

----------------------------KIRJE-------------------------------

Tarvitsemme palautetta Tarvitsemme palautetta jotta voimme parantaa kauppoja, kiitokseksi voit valita (1) ilmaisen lahjan valikoimastamme, säästä jopa 95%

Lunasta lahja

----------------------------------------------------------------

Lähettäjän e-mailosoite vie jälleen Panamaan.
Samoin tuo poistettu linkki olisi mennyt samaan maahan.

Prisma-lahjakorttihuijjaus iskee jälleen

Siitä on aikaa kun näitä kierteli. Silloin FaceBookin kautta. Nyt kun tämä toimija on estetty FB:ssä, hän lähettelee samoja lahjakorttikirjeitä e-maileina "postinhinnat.com" domainista Arizonasta. Kirje on kuitenkin lähtenyt Saksasta sillä lähetys on kiertänyt sakasalisen palvelimen kautta: eximiussystem.com. Osoite on voitu ottaa lähettäjäkäyttöön vaikkapa itse kirjoittamalla se lähettäjäosoitteeksi. Myös ns. osoitteen peilaamista käytetään luotettavan lähettäjäosoitteen saamiseksi kirjeeseen.

Linkki vie "postihinnat.com" palvelimelle, joten se on, joka tapauksessa,  hakkeroitu konnan käyttöön.
"postihinnat.com" domannimi on perustettu jo vuonna 2012. Sen taustatoimija on hämärän peitossa, lukuunottamatta osoitetta ja puhelinnumeroa. "Privat" viittaa yksityishenkilöön, eli ei olisi sen mukaan rekisteröity yritys.

Tämän kirjeen hämäys perustuu illuusioon, että posti ei ole "pystynyt" tavoittamaan SINUA ja tarvitsee mahdollisesti henkilötietojasi. Luultavimmin urkitaan myös tilinumerosi, eli kyseessä on ID (henkilötieto) varkausyritys eli suomeksi sanottuna ANSA ja rikoksen yritys. Rahaa ei ole tulossa, vaan menossa.

Tämä kirje on mennyt postituslistalla, eli vastaanottajia on Suomessa runsaasti.

----------------------------KIRJE----------------------------------------------

Hei ,

Huomasimme, että 6500 euron arvoinen
Prisma-lahjakorttisi vanhenee pian!

Lahjakortin voi käyttää mihin tahansa haluamaasi tuotteeseen.

Sinulla on 48 tuntia aikaa vahvistaa, oletko kiinnostunut käyttämään lahjakorttisi.

KLIKKAA TÄSTÄ!

----------------------------DOMANNIMIKYSELY------------------------------


Domain Name: POSTIHINNAT.COM
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC
Registrant Street: DomainsByProxy.com
Registrant Street: 14455 N. Hayden Road
Registrant City: Scottsdale
Registrant State/Province: Arizona
Registrant Postal Code: 85260
Registrant Country: US

Domain Name: eximiussystem.com  (osoite johtaa Saksaan internetpalveluntarjoajan koneelle)

Registrar URL: https://joker.com
Updated Date: 2018-11-25T21:03:55Z
Creation Date: 2017-10-29T21:12:42Z

Registrar: CSL Computer Service Langenbach GmbH d/b/a joker.com
Registrar IANA ID: 113
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone: 
Registrant Name: Host Master
Registrant Organization: THT Innovators International Ltd.
Registrant Street: c/o IDPS International Domain Privacy Services GmbH
Registrant Street: Hansaallee 191
Registrant City: Duesseldorf
Registrant Postal Code: 40549
Registrant Country: DE

Prisma-lahjakortteja pukkaa eri muodoissaan

E-mail spämminä ropisee erilaisia Prisma- ja muiden kaupparyhmittymien lahjakortteja ym. ansapostia saapuu haitaksi asti. Nämä lahjakortit eivät ole lähtöisin näistä kauppaketjuista vaan spämmeriltä. Ne ovat katalia ansoja joilla pyritään pahaa-aavistamaton sähköpostin lukija sitomaan kiinteisiin maksullisiin sopimuksiin jotka sitten lypsävät rahaa kuukausittain tililtä.

Tämä ansatyyppi on kuvailtu usealla eri verkkosivulla joten kuvauksia voi käydä lukemassa tarkemmin esimerkiksi:

https://www.is.fi/digitoday/tietoturva/art-2000005383417.html
Sekä:
https://www.tivi.fi/Kaikki_uutiset/ksml-sahkopostiisi-tullut-1000-euron-ostoslahjakortti-on-huijaus-6500261
Sekä tässä Blogissa samaa asiaa löytyy:
http://vaarallinenweb.blogspot.com/2018/03/k-marketko-huijjaisi-sinua.html

Tämän sähköpostin linkkien domannimien omistajat on peitetty huolella, eli vastuutahoa on melko hankala selvittää.

Domain Name: VIPSUOMI.COM
Registry Registrant ID: Not Available From Registry
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC
Registrant Street: DomainsByProxy.com
Registrant Street: 14455 N. Hayden Road
Registrant City: Scottsdale
Registrant State/Province: Arizona
Registrant Postal Code: 85260
Registrant Country: US
Registrant Phone: +1.4806242599
Registrant Phone Ext:
Registrant Fax: +1.4806242598
Registrant Fax Ext:
Registrant Email: VIPSUOMI.COM@domainsbyproxy.com

"Domains by Proxy (DBP) is an Internet company owned by GoDaddy founder Bob Parsons. It offers domain privacy services through partner domain registrars such as Go Daddy and Wild West Domains."
Eli suomeksi: todellisen domannimen todellisen omistajan tiedot piiloitetaan.
Tästä domannimestä "VIPSUOMI.COM" ei edes löydy asiakastietoja. Haku tuo esille vain rekisteröineen palveluntarjoajan nimen ja yhteystiedot.

"Namecheap - Official Site | Buy Domains for $0.48 & Save?
Free Privacy Protection Forever. Create Your Pro Web Presence In No Time. Guarantee of Quality. Free WHOISGuard. Easy To Use. Real 24/7 Support. Services: Domain Names, Website Hosting, SSL Certificates, Web Apps, Private Email."

Suomeksi: "Namecheap" tarjoaa edullisia domannimiä spämmereille ja omistajatiedot piiloitetaan ilmaiseksi. Voisihan tuohon sähköpostiosoitteeseen valittaa spämmistä mutta tuskimpa mitään tapahtuu, koska ansa on rakennettu siten, että asiakkaan tarkkaavaisuus on ainoastaan hämärretty ja voidaan osoittaa, että asiakas ei ole perehtynyt sitoomukseen riittävällä huolella. Väärän firman nimen käytöstä kenties voisi joutua ID varkausvastuuseen JOS vastuutaho löytyisi.

Domain Name: CMPGNS.NET
Registry Domain ID: 2278614219_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2018-06-24T10:14:37Z
Creation Date: 2018-06-24T10:14:34Z
Registry Expiry Date: 2019-06-24T10:14:34Z
Registrar: NameCheap Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107

FaceBook Groupeista saapuvan TILAUS-ansan kuvaus

Kiinnostuneille tiedoksi. IS on kertonut artikkelissaan hyvin havainnollisesti mitä tapahtuu jos klikkaat PRISMA-ansan linkkiä. Näitä saapuu mm. jonkin liittymäsi FB-groupin nimissä.

https://www.is.fi/digitoday/art-2000005560765.html

Lopputuloksena on jatkuva maksullinen tilaus palveluun, jota ei ole ja et ole suinkaan ollut tilaamassa ja samalla kirjautumistietojasi saatetaan edelleen väärinkäyttää muissa verkkorikoksissa. Tulos on sama useassa muussakin "tilausansassa", eli ÄLÄ TILAA MITÄÄN sähköpostissa saapuneen mainoksen tuotetta. JOS haluat nimeomaan tuon tuotteen, kirjaudu asianomaisen tuotteen virallisille sivuille, virallisen verkko-osoitteen kautta ja tarkista sieltä oikeat tiedot ja linkit joista todellinen tuotetilaus voidaan sitten tehdä turvallisesti, asiaankuluvasti suojatun verkkokaupan kautta.

Tällaisia vaarallisia tilausansoja on tullut sähköpostissa runsaasti. Tässä blogissa on niitä muutamia esitelty ja lisää on tulossa, koska aina löytyy joku varomaton "höynäytettävä" ja rikos kannattaa.
Houkuttimena saattaa olla muukin kuin "tilaus".

- erilaisia lahjakortteja
- tuotetilauksia
- lehtitilauksia
- arpajaisvoittoja
- pelisivustojen palkintoja
- erilaisten tilien perustamispyyntöjä
- ym. ym.

BIT.LY peittää myös rikollisen

Älkää koskaan menkö klikkaamaan mihinkään bit.ly domannimen alle piiloon "koodattuun" osoitteeseen. Osoite saattaa viedä aivan minne tahansa. Linkin päästä koneellesi (esimerkiksi) on mahdollista saapua virus, tai siellä kalastetaan henkilötietosi rikolliseen tarkoitukseen. 
Rehelliset yritykset käyttävät ja käyttäkää aukikirjoitettuja, rehellisiä osoitteita. Osoitteen "lyhentäminen" = "piilottaminen" bit.ly palvelun avulla sattaa yrityksenne epäilyttävään valoon ja aivan aiheesta.

Tämä alla oleva tilanne on yksi osoitus lyhennetyn osoitteen väärinkäytöstä.
FaceBookin kautta oli lähetetty päivitys (käyttämilleni sivuille) ja moderaattori (tai Administrator) oli  ehtinyt poistaa luvattoman ja vaarallisen mainoksen kyseisiltä sivuilta kiitettävän nopeasti TAI jossain tapauksessa koko e-mail on tekaistu ja tuota todellista FaceBook postausta ei ole koskaan ollutkaan. E-mailissa on jo tuo ansaksi tarkoitettu vaarallinen linkki.  En aijo testata mitä linkin päässä on, älkää tekään sitä tehkö jos vastaava e-maili teille saapuu. Prismalla ei ole tämän "mainoksen" kanssa mitään tekemistä.

FaceBook maileihin on syytä suhtautua erittäin kriittisesti. Se on erinomainen alusta huijjauksille. Posti saattaa näyttää tulleen FB kaveriltasi vaikka näin ei asia todellisuudessa ole. Tässä tapauksessa "Mella Villbergiltä" ei edes löydy profiilia FaceBookista, eikä postaus ole Mellan tekemä missään tapauksessa, vaikka hänellä olisi profiili joskus ollutkin.

Tämä ansa on ollut levityksessä jo vuodesta 2010 (ainakin) ja kulkee vaihtelevilla nimillä ja vaihtelevilla sivustonimillä:
http://www.is.fi/taloussanomat/art-2000001688688.html