Näytetään tekstit, joissa on tunniste Venäjä. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste Venäjä. Näytä kaikki tekstit

lauantai 4. heinäkuuta 2026

VENÄJÄLTÄ ANSAPOSTIA MICROSOFT NIMEN VARJOLLA

 Nyt on saapunut runsaammin suoraan venäläisillä maatunnuksilla operoivia ansakirjeitä.

OLKAA TARKKANA. Jos linkki alkaa osoitteella, jonka maapidennys on ".ru", kirje on venäläinen ansa. "googx. ru" osoitteella ei ole mitään tekemistä Googlen tai Microsoftin kanssa. Tämä on ANSA.
"https://gogx. ru/mvn#4NDaLh14864XquV41hkqpxrtdou67HYWR,,, jne"

-----------------------------------KIRJE----------------------------------------


SAMA KIRJE HTML ESITYSMUODOSSA

Varoitukset ovat ihan oikeaa asiaa MUTTA LINKKI VIE kuitenkin varoittamaansa ANSAAN.
Jos epäilet tilisi suojauksessa ongelmia, mene tarkistamaan asia suoraan oman Microsoft tilisi osoitteesta, jonka kirjoitat itse selaimen osoitekenttään.
Tämä'n kirjeen linkki varastaa MS-tilitunnuksesi ja mahdollisesti myös pankkitunnuksesi.


Venäläiset hakkerit ovat nyt Ukrainan sodan aikana olleet erittäin tuotteliaita ansanrakentajia, koska Netti on yksi hybriidisotarintama Ukrainan puolella toimivia NATOMAITA vastaan.



perjantai 3. heinäkuuta 2026

ELISAN ASIAKKAISIIN KOHDISTETTU VENÄLÄINEN ANSA

TÄSSÄ MYYDÄÄN OLEMATONTA PALVELINTILAA ja anastetaan Elisan asiakkaan pankkitiedot ja mahdolliseti myös Elisan sähköpostipalvelun asiakaskirjautumistiedot.
Kirje EI tule Elisasta, vaan osoitteesta "
auvilightrentalconcept. nl", joka on luokiteltu verkossa turvattomaksi osoitteeksi.

Tyypillinen"palvelintilasi on lopussa" - huijaus, ÄLÄ koskaan mene vastaavan ilmoituksen linkeistä palveluntarjoajasi sivuille, vaan kirjoita selaimen osoitekenttään palveluntarjoajasi todellinen osoite omin käsin.
Kirjeessä oli viisi linkitettyä, eri tekstiosuutta,sekä tuo "+ päivitä tallennustila", joissa oli sama linkkiosoite riippumatta tekstistä. Huijari halusi varmistaa, että joku teksti varmaankin houkuttelee jonkun ansaan.
LINKKI vie VENÄLÄISELLE KONEELLE!

---------------------------------------KIRJE HTML muodossa------------------------------------------



KIRJE TXT MUODOSSA
HUOMATKAA, että Kirje EI tule Elisasta, vaan huijarin koneelta.
Elisan kuluttajille tarjoama pilvitallennuspalvelu on nimeltään
Elisa Pilvilinna, ei Elisa Cloud Drive.








perjantai 12. kesäkuuta 2026

TERVEISIÄ VENÄJÄLTÄ

Venäläisillä huijareilla on onneksi vaikeuksia scandeissa (ääkköset), joten huijauskirjeen lähtömaa ja ikävät aikeet selviää ilman syvällisempää tutkintaakin.  Kirjeen sisältö on riittävän outoa ja epäloogista, kertoakseen kirjeen epäterveellisistä tavoitteista..

Ajoin kirjeessä olevan linkkiosoitteen kuitenkin virustarkistuksen läpi ja sain odottamiani vastauksia.
Esiin kaivettu linkki: "hxxps://tr11.patriotsedition. com/?xtl=kxh0..."  ja sen takaa piilosta vielä jatkolinkki "cardioclear7. com" molemmat todettiin epäilyttäviksi. ÄLÄ KLIKKAA! 

Osoitetta toistetaan eri tekstien yhteyksissä samanlaisena, eli ihan sama mihin linkkiin klikkaisit, päätyisit aina samaan ansaan. tr11.patriotsedition. com ei vaikuta rehelliseltä toimijalta, vaan se on erittäin suurella todennäköisyydellä huijaussivusto.

FALCON SANDBOX virustorjunta kertoo: Suspicious domain detected. Details: Input URL or Contacted Domain: "cardioclear7. com" has been identified as suspicious 

Linkin päässä oleva osoite johtaa edelleen uuteen osoitteeseen: Suspicious Redirect (Delayed Redirect):

Se varsinainen vaara: "Adversaries may communicate using application layer protocols associated with web traffic to avoid detection/network filtering by blending in with existing traffic"
Tämä tarkoittaa, että viattomalta vaikuttavan dataliikenteen seassa voidaan ujuttaa koneellesi vaikkapa virus.
"An adversary may rely upon specific actions by a user in order to gain execution".
Google käännös: "Vastustaja voi luottaa käyttäjän tiettyihin toimiin saadakseen suorituksen".
Tämä voidaan tulkita, että huijari voi harhauttaa kirjeen lukijan antamaan arkoja tietoja, esim. pankkikirjautumisen ja/tai henkilötietojaan.

Tämankaltaista materiaalia voidaan uittaa koneellesi vaikkapa videoksi naamioidulla tiedostolla, tai videon esitys-appilla, kuten kirjeen teksteistä voisi päätellä.

-------------------------------------------KIRJE-----------------------------------------------


GOOGLE kertoo osoitteesta lisää: "Verkkosivustoa tr11.patriotsedition. com käytetään "Trump 2024 TRB11 Patriots Coin" -kolikon markkinointiin."

Tämä kirje ei ole kuitenkaan lähtöisin Amerikasta tai Trumpin organisaatioista. Osoitetta käytetään naamioimaan venäläinen huijausyritys.




perjantai 10. huhtikuuta 2026

VARO VENÄLÄISTÄ POSTIA

Tämä kirje saapui Venäjältä (.SU) ja linkki vie Venäjälle (.RU).
Näin sota-aikaan ei ole mitään syytä klikkailla tämän kaltaisen postin linkkeihin. Näitä saapuu runsaasti eri osotteista ja eri sisällöillä. Linkin .RU tunnus on VAROTUS..
Vipre virustorjunta kertoo, että osote on vaarallinen: URL Score Malicious (100%)

Falcon Sandbox virustorjunta kertoo myös vaarasta: Malicious domain detected. Details: CONTACTED DOMAIN: "allyouneedis0062. ru" has been identified as malicious. CONTACTED DOMAIN: "allyouneedis0062. online" has been identified as malicious

Tekstissä viitataan myös "appiin" eli "seurusteluohjelmaan", joka roskposteissa on aina vaaran merkki, koska tuo APPI on todennäköisimmin VIRUS. Kuvan alapuolella on seuraava venäläinen ansa.

--------------------------------------KIRJE------------------------------------------


"KLIKKAA HULLU" ON OTSAKE KÄÄNNETTYNÄ.

Vain hullu klikkaa tällaisen postin linkkejä. Siinä suhteessa otsake on paikallaan.
Kirje on postitettu egyptiläisellä kansallistunnuksella.
Postiosoite kuuluu egyptiläiselle eläinlääketieteen "oppilaitokselle" (Beni Suefin yliopiston eläinlääketieteellinen tiedekunta), eli osoite on varastettu huijauskäyttöön
LINKKI veisi ennestään tutulle venäläiselle ansasivulle.
Falcon Sandbox virustorjunta varottaa osotteesta: "Malicious domain detected. Details: CONTACTED DOMAIN: "allyouneedis0062.ru" has been identified as malicious
CONTACTED DOMAIN: "allyouneedis0062.online" has been identified as malicious

-----------------------------------------KIRJE---------------------------------------------



tiistai 24. maaliskuuta 2026

HUIJARI SIMONOVSKA AHKERANA

Simonovskan osotteesta näyttää saapuvan nyt useampiakin haittaposteja.
Tässä jälleen yksi näyte. Simonovska ei ole edelleenkään oppinut koodaamaan skandeja oikein.
Nyt sentään molemmat esitysmuodot kirjeestä, kertovat samaa asiaa.
Kirjekopioiden alla on lisää Simovskajalta saapunutta postia.

Kirje on VAARALLINEN, kuten edellinenkin. FALCON SANDBOX kertoo: "Malicious domain detected. Details: CONTACTED DOMAIN: "dealzmadetoday. com" has been identified as malicious".
VAARALLINEN osoite löytyy linkin takaa.

---------------------------------TXT-------------------------------------


Kirje selaimen esttämässä (HTML) muodossa. 


"Eksklusiivinen", kielitoimiston sanakirja antaa sille merkityksiä: äärimmäisen vaativa, valikoiva, hieno, poissulkeva. Sana tulee latinan sanasta excludere (sulkea ulos, estää), joka puolestaan sisältää osat ex (ulkona, ulos) ja claudere (sulkea). 
Näistä merkityksistä kannattaa valita tuo "poissulkeva" ja heittää kirje roskikseen.

LISÄÄ SIMONOVSKAN HAITTAPOSTIA

Tervetuliaisbonus 200 % jopa 1 000 Euro asti
JOKlCASlNO (vanha tuttu roskapostien allekirjoittaja uusiokäytössä)
<info@simonovska-health. nl>
23.3.2026 18.32
Vastaanottaja  info@simonovska-health. nl  

SANO HYVÄSTIT UNIVAIKEUKSILLE
Melatonin Vital  (vanha tuttu roskapostien tuotemerkki uusiokäytössä)
<info@simonovska-health. nl>
23.3.2026 16.46
Vastaanottaja  info@simonovska-health. nl 

Toinen lähettäjänimi kalskahtaa edelleenkin naapurimaaltamme. Osoitteen maatunnus on Latvian:

LAHJOITUSTEN MAALISKUUN ERÄN VOITTAJA
Sandra Dundule
<sandra.dundule@jelgavasnovads. lv>
22.3.2026 06.39
Vastaa  mrs.kristinewellenstein@outlook. com 

Samoin tämä kolmas lähettäjä. ACLJ on vanha tuttu huijauspostien "allekirjoittaja". Tämä kirjainlyhenne kannattaa pistää muistiin ja tuhota kaikki sen nimissä saapuvat kirjeet.
Tästä ansasta kerron myös osotteessa: https://vaarallinenweb.blogspot.com/2026/03/latviastako-palkinto.html

MASSIVE DEATH TOLL
ACLJ Jordan Sekulow
<jordan.sekulow@email.aclj. org>
23.3.2026 16.51
Vastaanottaja  hannu.kuukkanen@xxxxxxxxx  Vastaa  The ACLJ



ELISALTA MENEE MUISTI

Tämä kirje on sikäli merkillinen (ja vaarallinen), että sen sisältö näyttää täysin poikkeavalta, kun sitä katsoo TXT (teksti) - taikka HTML (selain) muodoissaan. 

Kannatta seurata myös lähettäjäosotteiden maatunnuksia (tässä .nl, eli alankomaat). Alankomaissa rekisteröidään jatkuvasti suuria määriä huijareiden valeosotteita.  Simonovska nimi viittaa Itäiseen naapuriimme, joka taas kertoo lisää kirjeen alkuperästä.

LINKKI on VAARALLINEN! FALCON SANDBOX virustorjunta varoittaa linkin päästä löytyvästä kolmesta, ennestäänkin tutusta osotteesta: Malicious domain detected. Details:    CONTACTED DOMAIN: "paramatise. com" has been identified as malicious, CONTACTED DOMAIN: "daily-chirp. com" has been identified as malicious CONTACTED DOMAIN: "true-joys. com" has been identified as malicious 

Lähetysosoitteessa piilee myös mahdollinen dataliikenteen sekaan piiloitettu haitta:
FALCON SANDBOX virustorjunta kertoo: "Hyökkääjät voivat kommunikoida käyttämällä verkkoliikenteeseen liittyviä sovelluskerroksen protokollia välttääkseen havaitsemisen/verkon suodatuksen sulautumalla olemassa olevaan liikenteeseen." Tämä haitta on erittäin yleinen  venäläisissä ansaposteissa.

---------------------------TXT MUODOSSA KIRJE NÄYTTÄÄ TÄLTÄ -------------------


JA HTML (selaimella) muodossa kirje on ihan erilainen ja kertoo eri asiaa. Kirjeen ilmiasu muistuttaa myös aikaisempia Venäjältä saapuneita haittaposteja. Mm. skandi - kirjaimet (ääkköset) on väärin koodattu.


 


sunnuntai 22. maaliskuuta 2026

SEURUSTELUANSA - VENÄLÄINEN VERSIO

 Kirje on postitettu Amsterdamista (DNS osote on mustalla listalla) Outlook postin kautta. Peiteosotteena on käyetty italialaista poliba. it - Barissa olevan oppilaitoksen osoittetta ja linkki veisi venäläiselle palvelimelle "b.academycom. ru", josta Scam Advicer virustorjunta kertoo tietoja jotka ovat tyypillisiä verkkorikollisille: 

"- Verkkosivuston omistaja piilottaa henkilöllisyytensä WHOIS-tiedoissa maksullisen palvelun avulla.
- Tällä verkkosivustolla ei ole paljon kävijöitä.
- Toinen verkkosivusto käyttää tätä verkkosivustoa iframe-kehyksenä. (lopullinen osoite ei ole tiedossa)
- Emme voineet analysoida sivuston sisältöä."

Lisäksi Falcon Sandbox virustorjunta kertoo linkstä: "Hyökkääjät voivat kommunikoida käyttämällä verkkoliikenteeseen liittyviä sovelluskerroksen protokollia välttääkseen havaitsemisen/verkon suodatuksen sulautumalla olemassa olevaan liikenteeseen.". Tämä tarkoitta, että virustorjunta/roskapostisuodatus ei havaitse mahdollisen haittaohjelman toimintaa.

Laitoin kirjeen tekstin kääntäjään. Se on sekakielinen (tyypillistä huijausposteille) ja edelleen julkaisun kieltävä. Koska julkaisen sen, odotan sanktioita mielenkiinnolla. Käännös on kuvan alapuolella.

---------------------------------------------KIRJE----------------------------------------


KIRJEEN TEKSTI ON SEKAVA JA OSIN KAKSIKIELINEN
"Heti pölyn laskeuduttua en halunnut löytää uusia ihmisiä – silti joku näytti minulle maksuttoman sovelluksen ja tapasi Dianan, 31, ja hän paljasti luonnollisen tunnelmani, jos kiinnostuin http://b.academycom. ru/?k=823f05xxxxx." 

Tietosuojakäytäntö - Asetuksen (EU) 2016/679 mukaisesti huomioithan, että tämän viestin tiedot ovat luottamuksellisia ja tarkoitettu vain vastaanottajan käyttöön (olen vastaanottaja, koska sain kirjeen). Jos olet saanut tämän viestin erehdyksessä (spämmeri saa vastata siitä, koska varastettua sähköpostiosoitettani on käyetty luvatta), poista se kopioimatta sitä äläkä lähetä sitä edelleen kolmansille osapuolille. Kerrothan meille ystävällisesti. Kiitos. (reply postaus olisi yhtä varma ansa, kuin tämän kirjeen linkki).
Tietosuojatiedot - Tämä viesti saattaa asetuksen (EU) 2016/679 mukaisesti sisältää luottamuksellisia ja/tai suojattuja tietoja. Jos et ole vastaanottaja tai et ole valtuutettu vastaanottamaan tätä viestiä vastaanottajan puolesta, et saa käyttää, kopioida, paljastaa tai ryhtyä mihinkään toimiin tämän viestin tai sen sisältämien tietojen perusteella. (huijari varmistelee, että en paljasta huijausta). Jos olet vastaanottanut tämän viestin virheellisesti, ilmoita siitä lähettäjälle välittömästi vastaussähköpostilla ja poista tämä viesti. Kiitos yhteistyöstäs. (eipä kestä)

Näitä uhkauksia on hyvin usein näissä haittaposteissa. Olisin lusinut jo pitkään, jos huijareiden uhkauksilla olisi minkäänlaista katetta.


perjantai 13. maaliskuuta 2026

DERILA-tyynyt nimissä hujataan myös FaceBookissa

Kilometrin mittainen nyyhkytarina tyttären kertomana, isästä, jolla oli uniapnea ja kaikki päin p***että.
Kun sitten lomamatkalla nukkui hyvin, löytyi ansioksi tietysti "Derilla-tyyny".
Tämä stoori oli maksettu ilmoitus, joka lukee kyllä (mutta hyvin pienellä) vasemmassa yläkulmassa.
Yllättävää, että FaceBook ei tutki paremmin maksettua mainontaansa?

Piiloon kryptatun linkin analyysina, FALCON SANDBOX virustorjunta antoi tulokseksi:
Malicious domain detected. Details: CONTACTED DOMAIN: "recognisess. com" has been identified as malicious         
Samoin vaaralliseksi todettiin osoite
"derila- ergo. com" -osoite. ÄLÄ KLIKKAA!                                                                  
                  

En ota kantaa auttaako tuo tyyny todella ketään mutta tämän FaceBook-mainoksen piiloon kryptatun LINKIN VAARALLISUUS saisi ainakin minulta yöunet kaikkoamaan, mikäli en varottaisi muita.
Vaarallisia Derila- tai Derilla tyynymainoksia on saapunut runsaasti myös sähköpostitse ja sinne ne saapuvat pääasiassa Venäjältä.
https://vaarallinenweb.blogspot.com/2026/01/tuttu-derilla-tyyny-ansa.html

Muita Derilla - tyynyn nimissä saapuneita ansakirjeitä:
https://vaarallinenweb.blogspot.com/2025/12/derilla-tyyny-ansa.html
https://vaarallinenweb.blogspot.com/2025/12/vaarallinen-derilla-tyyny.html
https://vaarallinenweb.blogspot.com/2024/05/kaksi-venajalta-saapunutta.html
https://vaarallinenweb.blogspot.com/2022/09/venalainen-ansapostikampanja-jatkuu.html

keskiviikko 4. helmikuuta 2026

COLLAXAN ANSA VIETNAMISTA

Tämän kirjeen linkki vie vietnamilaiselle koneelle joka on ollut erittäin ahkera vaarallisten kirjeiden roskapostittaja. Tässäkin kyse on HUIJAUKSESTA!
Tässä blogissa olen analysoinnut useita vastaavia ansoja ja useimman jäljet päättyvät Venäjälle.

Osoite on piiloonkoodattu kone-IP, joten sitä on hankala jäljittää virustorjuntaohjelmilla mutta IP aukeaa kyllä varoitusten kera:

(vain piiloon koodattu IP-osa ): "784984225841168541212 54411521415452@0x6752c16d"
Siitä löytyy koodattu IP "103.82.193.109" .... joka vie Vietnamiin.

Google AI kertoo osoitteesta: "Kyseinen linkki ei näytä johtavan julkiseen tai tunnettuun verkkosivustoon. IP-osoite 103.82.193.109 on rekisteröity APNIC-alueelle (Aasia-Tyynenmeren alue).

Tämän tyyppiset osoitteet ja polut viittaavat usein:

- Epäilyttävään sisältöön: Jos sait linkin odottamatta, se voi olla osa tietojenkalastelua tai haittaohjelmien levitystä. 

Suositus: Älä syötä henkilökohtaisia tietoja tai lataa tiedostoja kyseiseltä sivulta, elleit ole täysin varma sen alkuperästä.

--------------------------------------------KIRJE----------------------------------------------



 


sunnuntai 25. tammikuuta 2026

PATRIOTSEDITION JÄLLEEN LIIKKEELLÄ

TÄMÄ KIRJE ON VARSINAINEN ROSVOJEN PESÄ

Lähetysosotteena "altrosguardo. com". Virustorjuntaohjelmisto Norton-luokitus. VAROITUS: Norton Safe Web on analysoinut sivuston altrosguardo. com turvallisuus- ja tietoturvaongelmien osalta.
Patriotsedition. com osoite on todettu jo useampaankin kertaan vaaralliseksi osoitteeksi.

Kirje noudattaa peruskuvioltaan vanhaa linjaa. Otsake ja aihe on vain vaihtunut. Linkit vievät tuttuun verkkorikollisten osoitteeseen: "tr11.patriotsedition. com" myös "Unsubscribe Here" -linkki. Eli ÄLÄ KLIKKAA EDES SITÄ.

Kirjeestä löytyy lisäksi linkki "hrciowa. com" jonka virustorjuntaohjelma Falcon Sandbox kertoo sisältävän kaksi eteenpäin vievää osoitetta, jotka se luokittelee VAARALLISIKSI. "Malicious domain detected. Details:
CONTACTED DOMAIN: "seekangels. com" has been identified as malicious
CONTACTED DOMAIN: "bragabruz. com" has been identified as malicious 

Kirjeen osoitekentässä näkyy myös kaksi kyrillisin aakkosin korvattua skandiaakkosten kirjainta. Todennäköisimmin "terveisiä Venäjältä".

---------------------------------------------KIRJE--------------------------------------------



DERILLA - tyynyt SAMA ANSA, uudet ulottuvuudet

Sama ansa, samat rosvot, eri osotteesta.

Tulipa DERILLA:n nimissä mitä tahansa, on syytä olla kirjeiden kanssa lähtökohtaisesti varuillaan.
Saman brändin takaa pyritään huijaamaan onnettomia niskakipuisia uhreja.

Ajoin lähetysosoitteen virustorjuntaohjelmiston kautta. Norton-luokitus: "VAROITUS. Norton Safe Web on analysoinut sivuston more-gift.pics turvallisuus- ja tietoturvaongelmien osalta".
ÄLÄ koske myöskään LIITTEESEEN!

wds .fi
on markkinointitoimisto mutta sillä ei ole mitään tekemistä tämän huijauskirjeen kanssa (toivottavasti). Muussa tapauksessa virkavalta saattaa koputtaa ovelle.

"Unsubscribe" -linkki vie venäläiselle koneelle: https://xs.cloud-base. ru/GVlOSQ/
ÄLÄ KLIKKAA! Domain on uusi: 
Suspicious Indicators: Recently registered domain detected details: Recently Registered domain detected: "cloud-base. ru" (26 days old). Commonly seen with phishing or other suspicious domains                                                                                              

-------------------------------KUVA-----------------------------------


SAMA VENÄLÄINEN ANSAPOSTITUS JATKUU





perjantai 23. tammikuuta 2026

VIETNAMILAISELLE KONEELLE PESITYNYT ROSVOKOPLA

Vastaavia e-maileja saapuu jatkuvana nauhana. Aiheet ja lähtöosoite vaihtelee (tosin tässä lähetysosoitekin on usein käytetty "yoga. nl") mutta LINKIT VIEVÄT SAMAAN VIETNAMILAISEEN OSOITTEESEEN, joka viittaa Venäjän trolleihin. Se, että tarjoukset maltillistuvat, ei tarkoita, että vaara vähenee.

-------------------------------------------KIRJE------------------------------------



-----------------------------------------HTMLeditorissa-------------------------------------------

Epälooginen mainos tarjoaa ensin 10t / 39$ , seuraavassa vaiheessa tila on rajoittamaton ja sitä seuraavassa vaiheessa kirjeestä löytyy iso joukko kalliita vaihtoehtoja (jotka eivät vielä näy tässä kuvakaappauksessa). Epäloogisuus viittaa vahvasti huijaukseen, jonka LINKIN VIRUSTARKISTUS myös osoittaa. 

Kun viet kohdistimen linkin päälle (ÄLÄ KLIKKAA), näet numerosarjalla alkavan osoitteen. Se osoite on VAARALLINEN ja sitä käytetään, tällä hetkellä erittäin monessa hujauskirjeessä. 
http://125454568885@0x67522xxx/ - Selkokielelle käännettynä kyseessä on konetunnus "103.82.38.xxx201" (rikottu turvallisuussyistä). Tunnus vie vietnamiin ja sen kautta venäläiselle trollitehtaalle. Tämä tarkoittaa, että venäläiset keräävät Suomesta ja Euroopasta orjakoneita kyberhyökkäyksiinsä.

Olen kieltänyt sähköpostiselaimessani kuvat, koska niitä käytetään myös virusohjelmien kuljetukseen. Suosittelen kaikille tätä käytäntöä. Mieluiten kannattaa selata sähköposteja tekstimuodossa (TXT). 




torstai 22. tammikuuta 2026

American Center for Law and Justice (ACLJ) myy tyynyjä?

Onko American Center for Law and Justice - nimisellä organisaatiolla mitään tekemistä tämän huijauskirjeen, hyvien yöunien kanssa? Kyllä, kyllä. Heidän nimissään on hienoa lähettää huijauskirjeitä, eikä kukaan estä sitä. Myös huijarin ansa näyttäisi olevan turvassa  linkin kiertäessä ACLJ:n palvelimen aliosoitteen kautta. Näin tapahtuu useammassakin roskapostissa.

Huijauskirjeiden epäloogisuudet ovat paras tunnistuskeino.
Kirjeen tekstimuodossa, kirjeestä löytyy runsas määrä linkkejä, jotka osoittavat samalle palvelimelle.
Valtaosa tekstistä on englanninkielistä, eikä se liity mitenkään kirjeen aiheeseen.

--------------------------------------------KIRJE_TXT muodossa-----------------------------------------


 Yksi erikoismerkki osoitteessa (musta vinoneliö, jossa on kysymysmerkki) ennen jatko-osoitetta, estää linkin nopean tulkinnan, eikä pelkkä osoitteen kaappaus vie minnekään, ilman, että tuo merkki vaihdetaan oikeaan koodimuotoon. Kun muutos on tehty, VIRUSTORJUNTA kertoo osoitteen olevan vaarallisen.

Falcon Sandbox virustorjunta varoittaa linkistä: "Hyökkääjät voivat kommunikoida käyttämällä verkkoliikenteeseen liittyviä sovelluskerroksen protokollia välttääkseen havaitsemisen/verkon suodatuksen, sulautumalla olemassa olevaan liikenteeseen". Tämä tarkoittaa, että dataa voidaan välittää piilossa ja poissa virussuodattimien ulottumattomissa.
ÄLKÄÄ KLIKATKO AINUTTAKAAN LINKKIÄ. Niitä on tässä kirjeessä useita mutta näyttävät vievän kaikki samaan ansaan.  Edellinen artikkelini osoittaa, että tämän tekniikan hyödyntäminen on nyt laajasti huijjarien käytössä ja se yleensä kertoo organisoituneesta toimijasta, joka viittaa itänaapurin suuntaan, ei suikaan USA:han. Tällä tekniikalla saadaan kybersodan pakkaa sekoitettua.

EDELLINEN TYYNYKIRJE, JONKA JÄLJET PÄÄTTYIVÄT VENÄJÄLLE

MUILLA AIHEILLA LÖYTYY LISÄÄ TÄLLÄ TEKNIIKALLA TUOTETTUJA ANSOJA

------------------------------------------KIRJE TXT muodossa-----------------------------------



keskiviikko 7. tammikuuta 2026

VAROITUS GOOGLEUSERCONTENT PALVELUN NIMISSÄ SAAPUVASTA POSTISTA

GOOGLEUSERCONTENT - lähetysosoiteaihetta olen käsitellyt aiemmin useassa artikkelissani mutta kertaus on opintojen äiti.
Tämän asian tiedostaminen on nyt erittäin tärkeää, koska venäläiset trollit ovat ottaneet tämän lähetysosoitemuodon käyttöönsä ja pyrkivät kaappaamaan koneita hallintaansa onnettomilta sähköpostilinkkien klikkailijoilta. 

GOOGLEN NEUVONTAPALSTALTA TIETOA:

"Tässä on yleistä tietoa: älä koskaan anna salasanaasi sähköpostitse lähetettyihin pyyntöihin. Kaikkien Googlelta tulevien sähköpostien on **päätyttävä** google. com-sivustoon (eli esimerkiksi tämä voi olla myös oikea scoutcamp.bounces.google. com ja tämäkin gaia.bounces.google. com). Mutta vaikka päättäisikin, napsauta näytä tiedot -nuolta ja varmista, että "lähettäjä"- tai "allekirjoittanut"-rivien vieressä näkyvä verkkotunnus vastaa lähettäjän sähköpostiosoitetta. Jos näet viestejä, jotka väittävät olevansa google.com-sivustolta, mutta joita ei ole oikein todennettu google.com-sivustolta tuleviksi, ne ovat tietojenkalasteluviestejä. Google ei koskaan kysy salasanaasi (muuten kuin tavallisissa kirjautumisnäytöissään jne.). Jos saat joskus sähköpostin, jossa kysytään salasanaasi, voit olla varma, että se ei ole Googlelta."

MUISTA TARKISTAA, ETTÄ OLET GOOGLEN KIRJAUTUESSASI GOOGLEN SIVULLA (selaimen osoitekentässä osoitteessa on oltava viimeisenä = google. com)

Tässä muutama artikkeli, jossa olen kertonut samasta aiheesta erilaisten ansapostien yhteydessä.

https://vaarallinenweb.blogspot.com/2025/10/mouseplanet-huijaus-jatkuu.html

TÄSSÄ ON TYYPILLINEN LÄHETYSOSOITE KIRJEEN HEADEROSUUDESTA KOPIOTUNA "X-Original-Sender: info@mouseplanet. com

Received: from mouseplanet. com (173.16.93. 34.bc.googleusercontent. com [34.93.16. 173])

Palvelin IP 34.93.16. 173 osoittaa Mumbayhin Googlen palvelimelle. Mouseplanet. com kone IP 173.16.93. 34 osoittaa Jacksonville, Illinois, United States. Mediacom Communications Corp:n koneelle, jonka DNS (verkkotunnus) on mustalla listalla

https://vaarallinenweb.blogspot.com/2025/10/googleusercontent-com-koneita-huijarin.html

GOOGLAUKSEN AI VASTAUS

"bc.googleusercontent. com ei itsessään ole huijaus, mutta se on verkkotunnus, jota huijarit käyttävät usein tietojenkalasteluhyökkäyksiin, koska se on julkinen isäntänimi Google Cloud Platform (GCP) -virtuaalikoneille. Tämä tarkoittaa, että Googlen pilvipalveluiden lailliset käyttäjät voivat isännöidä sovelluksia tällä verkkotunnuksella, mutta haitalliset toimijat voivat myös käyttää samoja palveluita sähköpostien lähettämiseen tai verkkosivustojen kaapimiseen, joten se voi vaikuttaa lailliselta mutta vaaralliselta lähteeltä."

Kuinka tunnistaa, onko kyseessä huijaus?

Tarkista lähettäjän sähköpostiosoite: Tarkista aina koko lähettäjän sähköpostiosoite, äläkä vain nimeä, sillä hyökkääjät voivat helposti väärentää näyttönimen.

Vie hiiri (osoitin) linkkien päälle: Ennen kuin napsautat linkkejä, vie hiiri niiden päälle nähdäksesi todellisen URL-osoitteen, johon ne osoittavat."  Näkyviin kirjoitettu "osoite" voi olla aivan mikä tahansa teksti.

Venäläisten huijauskirjeiden sarja (eri otsakkein ja kirjesisällöin) saapuu nyt osoitteesta: "X-Original-Sender: info@werkenpgb. nl Received: from werkenpgb. nl (79.165.196.35.bc.googleusercontent. com"
Tuo werkenpgb. nl osuus saattaa vaihdella, koska virussuodattimet pyrkivät poistamaan roskapostiksi havaitut kirjeet lähettäjänimien mukaan.
"X-Original-Sender:" löytyy kaikkien kirjeiden header-osuudesta, jos osaat ottaa kirjeen löhdekoodin esille.



maanantai 5. tammikuuta 2026

ONKO ELISA MUUTTANUT VIETNAMIIN?

Tuskimpa vaan. Linkin takaa löytyy TUTTU - vaaralliseksi scannattu vietnamilainen kone.
Tätä konetta ovat käyttäneet venäläiset trollit, joten ilman virusanalyysiäkin voin sanoa, että LINKKIon VAARALLINEN.

Lähetysosoite kertoo myös ennestään tutusta huijarin käsialasta: "Received: from bbdesk. nl (198.206.189. 35.bc.googleusercontent.com [35.189.206. 198])". Hollantilainen osoite kulkee jälleen ".googleusercontent" comin linkin kautta, jälkiä peitelläkseen ja ikäänkuin kirje saapuisi Googlelta?

Elisan logo on varastettu Elisan verkkosivuilta.

--------------------------------KIRJE-------------------------------------------


SAMA KIRJE HTML MUODOSSA


Saman huijarin edellisiä posteja on analysoitu artikkelissani: https://vaarallinenweb.blogspot.com/2025/12/lkaiskan-hakkerin-peliansa.html

Kerroin tästä samasta huijarista jo edellisessä McAfee huijauspostauksessani: https://vaarallinenweb.blogspot.com/2025/12/mcafee-huijausyritys.html

Samoin löytyy tästä "kuusikauppiaasta" (ikoni tunnus) varoituksia:

Kirjeiden yhtäläisyydet osoittavat, että kyseessä on järjestelmällinen toiminta. 
Vaarallisin vaihtoehto huijarille on Venäjän trolliarmeija, joita riittää ja jotka käyttävät viruksilla haltuunottamiaan koneita ja anonyymejä, tai varastettuja postiosoitteita vältääkseen kiinnijäämisen.


perjantai 5. joulukuuta 2025

DERILLA TYYNY ANSA

DERILLA nimissä yritetään jälleen huiputtaa.

Linkin osoite on virustorjunta Falcon Tesbed raportissa todettu VAARALLISEKSI.
Huijauskirjeissä kiire on tyypillistä.
Aikaisempi artikkelini tästä venäläisestä ansasta: https://vaarallinenweb.blogspot.com/2024/05/kaksi-venajalta-saapunutta.html

-------------------------------------KIRJE-----------------------------------------------


LISÄÄ TIETOA VENÄLÄISISTÄ ANSAPOSTEISTA

Falcon Tesbed raporti linkin osoitteesta "jsjwl. com":
Malicious domain detected. Details: CONTACTED DOMAIN: "allseasclear. com" has been identified as malicious. CONTACTED DOMAIN: "get-derila-ergo. com" has been identified as malicious                                                                                             


keskiviikko 26. marraskuuta 2025

iCLOUD ANSA

Olen ainakin kerran aikaisemmin varoittanut näistä "pilvi" - huijauksista (linkki alinna).
Nostan tämän esiin siksi, että linkki johtaa Venäjälle. Sylttytehdas on Pietarissa (rekisteröity), kone on Moskovassa. Linkki on yritetty kryptata numerosymboolien taaksen mutta kone IP:n saa esiin tarpeen tullen.

Lähetysosoite osoittaa myös Moskovaan. Domainin takaa ei löydy verkkosivua.

Kirjeen lupaamalla 0,99 € kuukausivuokralla et saa 50 GB palvelintilaa, vaan menetät maksukirjautumistietosi ja tilisi tyhjennetään.
Viestin alkuperä huomioiden, saatat saada myös koneellesi VIRUKSEN, jonka kautta koneesi valjastetaan cyberhyökkäykseen Suomea vastaan.

Jo se, ettei minulla ole iCLOUD pilvitilaa, tai Applen koneita käytössäni, osoittaa, että kirje on huijausta, ja lähettäjä on verkkorikollinen. Samaa kertovat myös linkkiosoitteen virustarkistuksen analyysit.

--------------------------------------KIRJE-----------------------------------------


EDELLINEN PILVITILA _ HUIJAUS









sunnuntai 16. marraskuuta 2025

LISÄÄ MOSKOVALAISIA TYYNYJÄ

Tähän kirjeeseen pätee samat varoitukset, kuin edelliseen. Ihan samaan venäläiseen ansaan linkki vie.
https://vaarallinenweb.blogspot.com/2025/11/tyyny-moskovasta.html

VIPER virustorjunta kertoo linkin olevan VAARALLISEN.

Falcon Sandbox kertoo linkistä löytyvästä vaarallisesta osoitteesta: Malicious domain detected. Ddetails CONTACTED DOMAIN: "mailcaptcha.digitalhas been identified as malicious   

--------------------------------------KIRJE---------------------------------------



TYYNY JA KIRJEITÄ MOSKOVASTA?

Näin sota-aikaan ei ole mitään syytä klikkaila Moskovaan osoittavia linkkejä.
Venäjältä saapuu jatkuvasti erilaisia ansaposteja, joiden tarkoituksena on putsata asiakkaan pankkitili varastamillaan kirjautumistunnuksilla. Lisäarvona, tai vaihtoehtona, voit saada koneellesi myös VIRUKSEN. Koneesi on sen jälkeen Venäjän verkkohyökkäyskäytössä.

VIPER
virustorjunta kertoo linkin olevan VAARALLISEN.

Falcon Sandbox kertoo linkistä löytyvästä vaarallisesta osoitteesta: Malicious domain detected. Ddetails CONTACTED DOMAIN: "mailcaptcha.digital" has been identified as malicious   
                                                                                 
--------------------------------------KIRJE--------------------------------------



HUOMATKAA, että tämä sama robotintunnistuslinkki / ohjelma, on useammissa muissakin ansakirjeissä SE vaarallinen osuus. Se on piilossa FWD linkin osan takana, joten ette sitä suoraan näe.
Varokaa siis kaikkia kirjeiden linkkien päästä löytyviä CAPTCHA linkkejä, jokainen saattaa olla ansaohjelma. Tämä on yksi tapa tunnistaa venäläinen ansaposti ja heittää ne roskikseen koskematta.    


LISÄÄ VENÄJÄLLE VIEVÄÄ ANSAPOSTIA
https://vaarallinenweb.blogspot.com/2025/02/venalainen-paketti.html

LISÄÄ VENÄLÄISIÄ HAITTAPOSTEJA
https://vaarallinenweb.blogspot.com/2023/03/venalaista-cyberhyokkayksen-valmistelua.html

SÄHKÖPOSTIEN KAUHUKABINETTI 

Olen kirjoittanut useita artikkeleita sähköpostiansoista, joiden jäljet päättyvät Venäjälle. Näistä valtaosa on todellisia cyberhyökkäystä valmistelevia, virusohjelmien levitykseen tarkoitettuja ansoja.
Pieni osa lienee tavallisten venäläisten verkkorikollisten tuotoksia mutta en lähtisi arpomaan, koska lopputulos on vaarallinen kaikissa tapauksissa. Kannattaa käydä tutustumassa kirjepommivalikoimaan ihan maanpuolustukselliselta kannalta ottaen. (Tämä on vakava varoitus)

https://vaarallinenweb.blogspot.com/2023/03/suomi-pannaan-polvilleen.html

https://vaarallinenweb.blogspot.com/2022/08/venajan-kyberhyokkaysten-valmistelua.html

https://vaarallinenweb.blogspot.com/2022/02/uusi-roskapostitustyyli.html

https://vaarallinenweb.blogspot.com/2022/05/seurusteluansoja-venajalta.html

https://vaarallinenweb.blogspot.com/2022/09/5-sekunnin-aamukahvihack.html


https://vaarallinenweb.blogspot.com/2019/06/kehotan-boikotoimaan-kaikkea-e-mail.html


https://vaarallinenweb.blogspot.com/2022/09/ukrainalaisia-naisia-kaupataan-jalleen.html

https://vaarallinenweb.blogspot.com/2022/10/vaarallinen-ehdotus.html

https://vaarallinenweb.blogspot.com/2022/05/torkea-kiimaflirtti-ansa.html

https://vaarallinenweb.blogspot.com/2022/03/venalaista-laihdutusta-virusposteilla.html

https://vaarallinenweb.blogspot.com/2022/02/uusi-venalainen-spammeriosoite.html

https://vaarallinenweb.blogspot.com/2022/05/roskapostitulva-yltyy-natojasenyyden.html

Tällä hetkellä emaileissa on erittäin runsaasti seurusteluansoja, jotka vaikuttavat tulevan samasta lähteestä. Vankka epäilys on, että piiloitettu toimija on venäläinen Trollitehdas, tai toimija saa rahoituksen venäjältä.







sunnuntai 12. lokakuuta 2025

HYVÄ YÖUNET VENÄJÄLTÄ?

Linkkiosoitteessa toistuva koodisarja edustaa IP osoitetta, jonka olen kertaalleen jo jäljittänyt Venäjälle. KIRJE ON HUIJAUS, jossa pyritään saamaan uhrilta kirjautuminen jollekin maksuvälineelle, joka kirjautuminen sitten käytetään tuon maksuvälineen tilin tyhjentämiseen.
Onko Putinin sotakassa niin tyhjä, että pitää haalia varustelurahaa nettirikoksilla?

Toinen mahdollisuus on, että joko linkistä, tai LIITTEESTÄ voi koneellesi saapua VIRUS joka ottaa laitteesi haltuun ja käyttää sitä palvelunestohyökkäyksiin suomalaisia viranomais- ja liiketoimintapalveluja estääkseen. Molempi pahempi tai molemmat samalla kertaa.

Huijarin tunnistaa mm. siitä, että linkin alkuosa (IP) on koodattu ja jokainen linkki vie samalle koneelle.
Linkki on analysoitu postauksessani: https://vaarallinenweb.blogspot.com/2025/10/venalainen-laina-tulee-kalliiksi.html

-----------------------------------------KIRJE----------------------------------------