LIITE - TIEDOSTO - ANSAT

"Verkon vaarat” – sivulla muistutettiin liiteansoista, joten otan myös tässä blogissa aiheen uudelleen esille.

Jokainen verkossa liikkuva liitetiedosto on potentiaalinen virus. On syytä suhtautua varauksella MYÖS liitetiedostoissa esiintyviin linkkeihin. Vaikka liite saapuisi kaverisi osoitteesta, liite voi olla vaarallinen, koska kaverisi osoite, tai verkkoprofiili, saattaa olla ”lainattu” = varastettu, rikolliseen käyttöön.

Viruksia (haittaohjelmia) saattaa olla kaikissa liitetiedostoissa, jotka pystyvät pitämään sisällään toimivia tai aktivoitavissa olevia ohjelmia.
Sellaisia ovat mm.: PDF, WORD,EXCELL,ZIP, EXE (EXE on kaikista vaarallisin liite, koska se on yhdellä klikkauksella aukeava ohjelma = ilmeinen virus).
Erilaisia tiedostonpakkausversioita ovat myös RAR-, 7z- ja CAB – tiedostonimipidenteillä varustetut liitteet.

JOS haluat varmistaa, että et itse jaa viruksia liitetiedostoissasi, käytä esimerkiksi asiakirjoissa TXT tai RTF tekstimuotoja, jotka eivät sisällä ohjelmia. PDF tiedoston voi korvata JPG kuvatiedostolla, tai suojata PDF:n omilla suojaustavoilla (lue suojausohjeet Adoben sivulta https://helpx.adobe.com/fi/acrobat/using/choosing-security-method-pdfs.html). EXCELL taulukoita voit myös muuttaa kuviksi, jos niitä ei tarvitse käsitellä edelleen.

KAIKISSA TAPAUKSISSA on syytä skannata virustorjuntaohjelmalla jokainen koneellesi saapuva liitetiedosto (tulivatpa ne kavereiltasi tai eivät). Yleisimmillä virustorjuntaohjelmilla skannaus toimii osoittamalla kohdistimella liitetiedostokuvaketta, jolloin oikealla hiirinäppäimellä (PC) aukeaa valikko josta klikkaat ”tallenna kohde levylle”. Tallenna tiedosto kansioon, josta löydät sen ja kansiossa osoita liitekuvaketta kohdistimella, klikkaa oikeaa näppäintä (PC) ja valitse ilmestyvästä valikosta ”tarkista virusten varalta”. Virustorjuntaohjelmilla saattaa olla aukeavassa valikossa myös oma linkki virustarkastukseen. Mm. MalwareBytes ilmoittaa omalla nimellään virusskannauksen.

VAROITUS! Kannattaa myös päivittää kaikki ohjelmansa ja laiteajurit VAIN luotettavista verkko-osoitteista.
Ponnahdusikkunoiden linkit voivat viedä hakkerin virusvarastolle.
Erilaisia ”ajureita” saatetaan vaatia asennettaviksi tai päivitettäviksi esim. videotiedostojen ja kuvatiedostojen latauksen yhteydessä. Näitä kehotuksia ei tule noudattaa. Kyseessä saattaa olla viruksella saastutettu ohjelma tai itse virus. Virus saatta olla nimetty "lähes" oikean ajurin nimellä.

Liiteansakuvaus:
https://vaarallinenweb.blogspot.com/2019/02/tassa-kirjeessa-on-liiteansa.html
Toinen vastaava:
https://vaarallinenweb.blogspot.com/2015/04/kaksi-uutta-doc-liitetiedostohyokkaysyr.html
Kolmas esimerkki:
https://vaarallinenweb.blogspot.com/2019/01/seuraava-pommikirje-tuli-heti-perassa.html
DHL pakettiansa liitteellä:
https://vaarallinenweb.blogspot.com/2018/03/dhl-spammeja-jallen-liikkeella.html
Toinen DHL:n nimissä saapunut ansa:
https://vaarallinenweb.blogspot.com/2019/08/dhln-nimissa-tullut-kavala-ansa.html
Ja pommi-Faxi liitteenä:
https://vaarallinenweb.blogspot.com/2015/03/tuntematon-e-fax-venajalta-ei-innosta.html
Mm. käytännön ohjeita miten tunnistaa kirjeen alkuperä helposti:
https://vaarallinenweb.blogspot.com/2016/08/dhl-liite-sisaltaa-viruksen.html
WORD liiteansa:
https://vaarallinenweb.blogspot.com/2015/07/word-liiteansa-tuotteesta-jota-ei-ole.html
Virustarkistusteksti kirjeessä on hämäystä:
https://vaarallinenweb.blogspot.com/2018/02/virustarkistettu-liite-joka-on-virus.html
ZIP liite-virus:
https://vaarallinenweb.blogspot.com/2015/12/frieda-forbes-courier-service-liite.html
PDF liite tiedonkeruuansa:
https://vaarallinenweb.blogspot.com/2018/09/epaluotettava-yritystietojen-keraaja.html
Maksuhuomautusliite joka on virus:
https://vaarallinenweb.blogspot.com/2021/08/maksuhuomautuksen-liitteessa-on-virus.html
HTML liite voi sisältää linkitettyjä tai automaattisia ohjelmakutsuja (myös viruksia):
https://vaarallinenweb.blogspot.com/2022/05/one-drive-liiteansa-joka-ei-ole-lasku.html

Kuvatiedosto ei normaalisti voi sisältää virusta mutta sekin olisi mahdollista.

Iltalehti kertoi vuonna 2016 sosiaalisen median ystävän nimellä saapuvasta viruksesta kuvatiedostossa: "Viesti sisältää svg-kuvatiedoston, mikä ei kuitenkaan ole ihan perinteinen kuva. Svg-muoto nimittäin mahdollistaa koodinpätkän lisäämisen kuvaan. Näin ollen kuvan avaaja ajaa samalla myös haitallisen koodinpätkän."
https://www.iltalehti.fi/digi/a/201611212200030142

Vanhoja spämmejä uusilla osoitteilla

Spämmitehtailija on laajentanut domain nimipalettiaan. Nyt samoja vanhoja ansakirjeitä saapuu domain nimistä jotka päättyvät: .PRO, .CLUB, .HOST. Nämä kaikki kirjeet ovat tullet perille jo kertaalleen doman nimistä jotka päättyvät pidennykseen .ICU.

Näiden ansakirjeiden yhteisenä nimittäjänä on tuo vaihtuva "halpis" domannimi, sekä se, että jokaisessa kirjeessä on yleensä linkkejä jotka johtavat saman, keksityn doman nimen, tietokantaan.
Jos linkkiä ei ole, ansan asettaja odottaa "replyä" eli vastausta tuohon e-mailosoitteeseensa, tai johonkin antamaansa ilmais-email-osoitteeseen. Kaikki tiet päättyvät rahan menetykseen.

Ansakirjeiden otsakkeissa ja sisällössä, käytetään usein myös erikoismerkkejä jotka selain osaa muuntaa kirjaimeksi (tai ei osaa). Niitä käytetään spämmisuodattimien hämäämiseksi. Kun avainsanat kirjoitetaan koodaamalla, niitä ei kirjeestä suodattimet löydä.

Ilmeisesti edelleenkin näihin ansoihin on menty, koska tämä spämmäys kannattaa. Halpis-domainnimet eivät maksa paljon ja ilmaista palvelintilaakin on runsaasti tarjolla. Ainut iso kustannuserä on spämmääjän oma aika ja sitä tällä / näillä veikoilla näyttää olevan ja ilmeisen kustannustehokkaasti käytettynä.

Olen raportoinnut tällä hetkellä yli 600 erilaista generoitua spämmeriosoitetta. Niitä poistetaan sitä mukaa, kun uusia generoidaan. Tämä on taistelua tuulimyllyjä vastaan mutta parempi niin, kuin vain deletoida spämmit. Minusta sellainen olisi välinpitämättömyyttä nettiturvallisuuden suuntaan.
Anut ratkaisu olisi kiristää domain nimien rekisteröintikäytäntöjä ja valvontaa domain nimikauppiaiden omasta toimesta mutta sitähän nämä eivät tee. Verkossa toimintaa tai välinpitämättömyyttä nettiturvallisuudesta, perustellaan lasueella "jos minä myyn aseen, en tarkoita, että sillä tapetaan ihminen". Se on mitä suurinta moraalittomuutta joka näkyy ampumatapaustilastoissa, varsinkin niissä maissa, joissa aseenhankinta on heikosti kontrolloitua tai kontrollia ei ole lainkaan. Ikävää nähdä, että sama, moraaliton, business-vetoinen asenne leviää verkkoon.

Spämmikirjeiden sisältöinä on perinteinen aihekirjo, lisättynä joilakin aivan tavallisislla myyntituotteilla: seksi, potenssi, sairaudet, lääkkeet, pillerit, ilmastointi, droonit, verkkoyhteydet, ...

Nyt pinnalla näyttää jälleen kerran olevan "tinnitys" ja pillerit.

Ihan pomminvarma tapa suojautua näiltä kirjeiltä, on heittää roskikseen kaikki "myyntikirjeet", "palkintokirjeet", "perintökirjeet" sekä "lainatarjoukset". Lue ainoastaan sellaista postia joka tulee tutultasi ja sitäkin kriittisellä silmällä, koska e-mailin lähettäjänimi voidaan muuttaa tai sähköpostiosoite varastaa rikolliseen käyttöön.  Lähde siitä, että jokainen kirje saattaa olla ansa. Tämä koskee myös matkapuhelinviestejä ja myyntipuheluita.

ÄLÄ KOSKE LINKKEIHIN, ÄLÄKÄ VASTAA LÄHETTÄJÄLLE!