Kiinalainen juttu

Kiinassakin ollaan aktiivisia verkkorikollisuuden poluilla.
Tämän sisältöisessä kirjeessä (firmasta jonka kanssa minulla ei ole milloinkaan ollut mitään tekemistä) oli liite jonka pääte oli ".ace". Ace on pakkausohjelma jonka sisältö voi olla vaikkapa virus tai muu haittaohjelma. Kirje on saapunut osoitteesta jonka domannimi oli myynnissä ja siihen oli peilattu väärä lähettäjäosoite. Kirje on spämmiä ja liite on pommi.

----------------------------------KIRJE------------------------------------

Dear Customer
We dont have the quantity required at the moment in our company,Will we get back to you as soon as possible.
***********************************************************************
Always keep in touch, Any time at  remarkprodut@china.cn  (osoite on muutettu)
------------------------------------------------------------------------------

GZ Liitetiedostossa on virus

Olen usein varoittanut liitetiedostoissa olevista viruksista. Liitetiedostoja ei ole syytä avata jos lähettäjä on tuntematon tai lähetys on odottamaton ja vaikuttaa aiheettomalta.
Tässä tänään saapunut kirje "muka" DHL:stä. Kirje ei ole kuitenkaan sieltä lähetetty vaan aivan muualta ja liitteessä ei ole lasku tai vero, vaan mitä ilmeisimmin haittaohjelma jonka toiminta koneellasi on kaikissa tapauksissa vaarallista. Kirjeen alla olevan moton voisi kääntää muotoon "SÄÄSTÄ TIETOKONEESI - AJATTELE ENNENKUIN AVAAT LIITTEET"
Jos odotat lähetystä DHL:n kautta ole suoraan heihin yhteydessä, älä koske kirjeen liitteisiin tai vastaa tällaiseen sähköpostiin. Tämä on saapunut verkkorikolliselta.

------------------------------------KIRJE-----------------------------------

Dear Customer,

Please refer to the attached letter concerning your overdue account.
If you have any queries please do not hesitate to contact me.

Regards,
DHL EXPRESS LTD.
Customer Accounting Department

*******************************************************************
This e-mail is confidential. It may also be legally privileged.
If you are not the addressee you may not copy, forward, disclose
or use any part of it. If you have received this message in error,
please delete it and all copies from your system and notify the
sender immediately by return e-mail.

Internet communications cannot be guaranteed to be timely,
secure, error or virus-free. The sender does not accept liability
for any errors or omissions.
*******************************************************************
"SAVE PAPER - THINK BEFORE YOU PRINT!"
------------------------------------------------------------------------------
Mukana kulkee kaksi gzip pakattua liitetiedostoa jotka voivat sisältää viruksen:

"DHL Overdue-13010873412.gz"
"TAX INVOICE.gz"

Tämä kirjeen headerissa (osoitetieto) oleva "envelope" koodi osoittaa, että kirje ei tule DHL:stä. Se on vain kierrätetty DHL:n palvelimen kautta jotta osoite on sieltä saatu plokattua "lähettäjäksi". Tämä on tyypillistä rikollisten kirjeiden käytäntöä nykyään. Lähettäjäosoite ei takaa mistä lähetys on alkujaan peräisin.

Received: from amsterdam-nl-datacenter.serverpoint.com (HELO rece.com) (64.235.37.57)
  by cng.neutech.fi (envelope-from edgvn-express-fin-credit-admin@dhl.com)

DHLn nimissä tullut liiteansa

Kiinasta muka saapui DHL:n kautta jotain tärkeää???
No ei saapunut, sillä tämä on liiteansa. Jos avaat liitteen saat ilmeisesti koneellesi viruksen, sillä liite on ohjlematiedosto (.PDF.jar) jossa loppupääte ".jar" kertoo ohjelman olemassaolon liitetiedostossa.
Vaikka liitteen nimi päättyisi PDF - osuuteenkin, sen turvallisuudesta ei ole takeita. PDF saattaa sisältää ohjelman myös.

DHL:n yritysgrafiikalla "kuvitettu" pommikirje

Tällä kertaa on menty askel pidemmälle. Enää et voi päätellä suoraan lähettäjän osoitteesta, mistä kirje on peräisin. Tämä kirje on ikäänkuin lähetetty DHL:n e-mailista. MUTTA näin ei asian laita ole. Liitteenä on kaiken lisäksi VIRUS tai HAITTAOHJELMA. Älä koske liitteeseen.

Jos odotat DHL lähetystä:
1) DHL lähettää suomaliselle asiakkaalleen suomenkielisen viestin.
2) voit tarkistaa lähetyksen aitouden DHL:n sivulta tuolla lähetyskoodilla. Jos koodi ei anna hakutulosta, kirje on pommi. ÄLÄ missään tapauksessa avaa PDF liitetiedostoa.

Lue edelleen analyysi kirjeen alapuoleta (mm. kirje on kuva, eikä todellinen kirje)

Kirjeen headerin analyysiä alla:

Received: from [127.0.0.1] (port=57502 helo=ganesha.w2imailservers.net)
    by ganesha.w2imailservers.net with esmtpa (Exim 4.91)
    (envelope-from <notify@dhl.com>)

TÄMÄ KOHTA KERTOO, ETTÄ KIRJEEN DHL OSOITE ON SAATU "PEILAAMALLA" SE DHL:N PALVELIMELTA (envelope)

X-Get-Message-Sender-Via: ganesha.w2imailservers.net: authenticated_id: surbhit@mrscorporation.com
X-Authenticated-Sender: ganesha.w2imailservers.net: surbhit@mrscorporation.com
AUTENTIKOITU LÄHETTÄJÄ ON mrscorporation.com
MRS:N VERKKOSIVU KERTOO: We are presently delivering services to a portfolio of public and private sector organizations. With office in Delhi and branch associates in Ahmedabad, Bhopal, Chandigarh, etc., we are fast developing a pan-India reach. ELI KIRJEEN TODELLINEN LÄHETTÄJÄ ON JOSSAKIN PÄIN TÄTÄ ORGANISAATIOTA TAI TODENNÄKÖISEMMIN TÄMÄN ORGANISAATION JOKU KONE ON KAAPATTU

LIITETIEDOSTO "PDF" PÄÄTTEELLÄ VOI SISÄLTÄÄ HAITTAOHJELMAN
Content-Type: application/pdf;
 name=DHL_AWB#280991007.pdf

.PNG KERTOO, ETTÄ KYSEESSÄ ON KUVA. TUO YLLÄ OLEVA DHL:N KIRJE ON KUVANA. KIRJE EI SIIS OLE MYÖSKÄÄN AITO.
Content-Disposition: inline;
 filename=Dhl.png;

KOSKA LINKIT EIVÄT AKTIVOIDU KOMMENTEISSA siirrän kommentissani mainitsemat linkit tänne artikkeliin:

Aiheesta kirjoitti MikroBitti:
https://www.mikrobitti.fi/uutiset/haittaohjelma-hyokkaa-nain-tietosi-varastetaan/ff34ef99-4f66-359c-b3ba-5332ab3e9b30
IS kommentoi 8.8.2001 DigiTodayn artikkelia, joka varoittaa löytyneestä PDF viruksesta:
https://www.is.fi/digitoday/art-2000001346106.html

Seuraava pommikirje tuli heti perässä samalta hakkerilta

Myös tämän kirjeen liite on todemman näköisesti "pommi" eli virus tai muu haittaohjelma.
En vaivautunut edes selvittämään asiaa sen kummemmin. Tilanne on sen verran ilmeinen.
Puhutaan "odottelevasta maksusta" jolla houkutellaan avaamaan liite. 100% pommikirje joka on saapunut samalta "poistetulta" palvelimelta "murphioncvs.com", kuin edellinen mutta peilattu "Diversified Computer Supplies" firman postiosoitteen kautta.

----------------------------------KIRJE------------------------------------------------------

Subject: OUTSTANDING PAYMENT
To: Recipients <sales@trendsupplies.com>
From: "Trend Supplies Co., Ltd" <sales@trendsupplies.com>

Good morning,
I sincerely apologize for the late response.
We are ready to remit payment of due invoices.
Kindly confirm account details in attached invoice as requested by our financial department.
Best Regards.
Ming Yao
Sales Manager.

(mukana oli liite "PI.doc" jonka tuhosin.)
-------------------------------------------------------------------------------------------------

 

Virustarkistettu liite joka on VIRUS

Saapui tällainen portugalin kielinen viesti, sekä PDF liite. En kehoita koskemaan liitteeseen.

Esta mensagem foi verificada pelo sistema de antivнrus e
 acredita-se estar livre de perigo.

Google kääntäjän tulos: 

Virustentorjuntajärjestelmä on tarkistanut tämän viestin ja
 sen uskotaan olevan vapaa vaarasta.

Liitteen nimi on: "Mega Internationals.pdf"

Heitä kaikki vastaavat kirjeet roskiin vaarallisina. Tuo viesti on spämmerin kirjoittama hämäys.

Valetilaus jossa on liitepommi

Jos PK-yritys (tai mikä tahansa yritys) saa tällasen kirjeen, se on ilmeinen ansa.
Ansasta kertoo jo "undisclosed recipiets" teksti vastaanottajan sähköpostin tilalla. Se on lähetetty spämmilistalla useille onnettomille roskapostin saajille. Sitäpaitsi, minulla ei ole ainuttakaan tuotetta myytävänä verkkosivuillani.

Liittenä oleva Excell tiedosto sisältää mitä varmimmin haittaohjelman. Sitä ei tule avata. Excell sisältää makro-ohjelmia joita voi rakentaa myös toimimaan haittaohjelmina.

TILAUS joka sisältää kirjepommin

Tällaisen kirjeen liitettä EI SAA AUKAISTA. Tämä on ilmiselvä VIRUS-paketti.
Vaikka firmasi olisi kuinka kipeästi tilauksia vailla, tämä tilaus tekee firmasi koneista mitä uskottavimmin entiset tai/ja levittää Excell tiedostojesi kautta edelleen tätä virusta. Muitakin kauhuskenaarioita voi olla luvassa.

Verkko kertoo, että XLAM päätteinen tiedosto on Excell tiedosto joka sisältää mahdollisesti makroja ja makro tarkoittaa yhtä kuin ohjelma, joka voi olla myös virus.

"A file with the XLAM file extension is an Excel Macro-Enabled Add-In file that's used to add new functions to Excel. Similar to other spreadsheet file formats"

MS on koodannut oman viruksen etsintä- ja esto ohjelman mutta se ei takaa sitä, että juuri tämä virus pystytään tunnistamaan ja tuhoamaan.

Firma josta tämä e-mail on saapunut on "prolabscientific" joka on Kanadalainen ja jonka sähköposti on hakkeroitu. Allekirjoitus on "Autogenhocas, Lda" ja Patricia käyttää nimessään kyrillisiä kirjaimia.Haku - Autogenhocas Lda - ei vastaa yhtään sivua verkossa. Mikään ei täsmää rehellisen firman toimintaan, eli kyseessä on tyypillinen ansaposti.

LIITEANSA älä avaa liitettä

Tällaisten ja kaikkien muidenkin "epämääräisten" sähköpostien liitteitä EI kannata avata, mikäli ei nyt ihan välttämättä halua virusta, tai muuta haittaohjelmaa koneelleen..

DOC - Laskuliite on ANSA

Kun saat tällaisen e-mailin jossa on laskuliite (tai mikä tahansa liite oudolta lähettäjltä), ole hyvin tarkka mistä se on tulossa ja keneltä.
Tässa e-mailissa halutaan harhauttaa vastaanottajaa aivan tosissaan. Laskun lähettäjä on 
"Patricia Crowe" <accounting@silikaus.com>. http://www.silikaus.com/ on nettikauppa mutta tämä on hämäystä. Lähettäjänimeksi jne. voidaan e-mailiin kirjoittaa mitä tahansa. Viesti ei ole myöskään järkevä, sen on tarkoitus hämätä vastaanottajaa.
Lasku on kuitenkin tullut ikäänkuin väärään osoitteeseen (osoitteeseen joka ei ole sinun):
juha.joku@elisanet.fi

Tämä ei ole mahdollista kuin huijjausposteissa. Osoite on "dummy" eli ei ole todellinen vastaanottaja. ÄLÄ MENE LANKAAN ja lähetä e-mailia takaisin tai Juha Jokulle (nimi muutettu), vaan heitä se roskikseen. ÄLÄ missään tapauksessa koske liitteeseen, se on ANSA.

Ansa saattaa olla vain manoskirje MUTTA DOC tiedosto saattaa sisältää myös ns. macro-ohjelmia jotka voivat toimia haittaohjelmina koneellasi.

E-mailissa esiintyvä redtech.com on Washingtonissa toimiva Redmond Technology Partners verkkomainontaa suunnitteleva ja tuottava toimisto. Jos tämä olisi heidän tekosiaan, en povaa pitkää tulevaisuutta heidän toiminnalleen verkossa.

Frieda Forbes Courier Service liite-VIRUS

ÄLKÄÄ koskeko liitteeseen jos saatte tämän tapaisen lähettipalveluilmoituksen.
Liite on ZIP (lasku) tiedosto, joka voi sisältää ja sisältää todennäköisesti viruksen.
"invoice_copy_98959032.zip"
Näitä virusliitteitä saattaa tulla myös muilla yritysnimillä. Ottakaa yhteys lähettifirmaan josta odotatte lähetystä, älkää missään tapauksessa avatko liitteitä.

Tämän nimistä lähettifirmaa en pikahakuna edes löydä verkosta.

-----------------------------------------------------------------------------------------------

Dear Customer

Your invoice appears below. Please remit payment at your earliest convenience.

Thank you for your business - we appreciate it very much.

Sincerely,
Frieda Forbes Courier Service
------------------------------------------------------------------------------------------------

Kaksi uutta DOC - liitetiedostohyökkäysyritystä. LogMeIn ja Washington, DC

Epäilyttävä e-mail LogMeIn nimellä lähetettynä.

Windows WORD DOC tiedosto saattaa sisältää makro-ohjelmia joilla voidaan koneellasi saada pahoja aikaan.

En ole asiaks, enkä ole muutenkaan ollut tekemisisssä LogMeIn palvelun kanssa.
JA tässä e-mailin mukana on Windows DOC muotoinen liite, joka herättää vankan epäilyksen kirjeen asiallisuudesta, aitoudesta ja todellisesta lähettäjästä.
On syytä muistaa, että e-mail-osoite josta kirje "on ikäänkuin lähetetty" EI tarvitse olla sen yrityksen tai henkilön osoite joka todella on kirjeen lähettänyt.

ÄLÄ avaa tuota liite dokumenttia. Jos olet kiinnostunut LogMeIn:in palveluista ota suoraan heihin yhteys virallisen verkkosivun kautta.

LogMeiIn hyökkäysvaroitus verkossa: https://techhelplist.com/index.php/spam-list/775-easter-discount-30-off-any-logmein-purchase-malware

------e-mail - varsinainen hyökkäys tehdään DOC liitteellä joka on tästä poistettu-------

Dear customer,

LogMeIn is offering a 30% Easter discount for any purchase made on the our website in the next 5 days.
This is a limited time offer and it includes purchases , upgrades and subscription changes.
To claim the discount, enter the coupon code on the LogMeIn billing page, when finishing an order.
The coupon code can be found in the attached document.
Please note that the coupon code is unique for each LogMeIn account and can only be used once.


Thank you for choosing LogMeIn

--------------------------------------------------------------------------------------------------

Toinen hyökkäysyritys liite-DOC tiedoston kautta. Ilmeisesti kyseessä on sama hyökkääjä.

Tämä huijaus osuu kovin huonosti suomalaisille ellei sitten uhri sattumalta ole ollut Washingtosissa duunissa.
Linkiit vievän kyllä U.S.A.:n verovisrastoon mutta se ei poista liitteessä olevaa ansaa. Teksti ja todelliset linkit ovat hämäystä.
ÄLÄ avaa liitettä jos saat tällaisen kirjeen.

Näistä scammeista varoitetaan U.S. veroviraston virallisilla sivuilla lisää.
http://www.irs.gov/uac/Report-Phishing


-------toinen e-mail ja hyökkäys DOC liitteellä (joka on poistettu tästä). ---------

Dear taxpayer,

You are receiving this notification because your tax refund request has been processed.
Please find attached a copy of the approved 1040A form you have submitted, containing your personal information and signature.
On the last page, you can also find the wire transfer confirmation from the bank.

Transaction type : Tax Refund
Payment method : Wire transfer
Amount : $7592
Status : Processed
Form : 1040A

Additional information regarding tax refunds can be found on our website: http://www.irs.gov/Refunds.
Please note that IRS will never ask you to disclose personal or payment information in an email.


Regards,
Internal Revenue Service
Address: 1111 Constitution Avenue, NW Washington, DC 20224
Website: http://www.irs.gov
Phone: 1-800-829-1040

LIITEANSA canadapost.ca nimellä. ÄLÄ avaa liitetiedostoa!

Vastaavia postipakettiansoja on tässäkin blogissa aikaisempia mutta tämä on hieman erilainen. Liitteenä on Word DOC tiedosto joka todennäköisesti sisältää haittaohjelman (viruksen?) makro-ohjelmakoodina. Canada Post kertoo sivuillaan, että he eivät lähetä sähköpostihuomautuksia epäonnistuneista lähetyksistä vaan jättävät postilaatikkoon tai ovelle, paperilapulla tarpeellisen tiedon lähetyksestä.

Canada Post varoittaa näistä spämmeistä verkkosivuillaan:
http://www.canadapost.ca/cpo/mc/personal/support/helpcentre/others/suspicious_email.jsf?LOCALE=en

--------------------------e-mail------------------
Dear client,  

A delivery attempt was made for your parcel, today, 19th March 2015.
The delivery status has changed to "Missed", because no person was present at your postal address.
More information about this delivery can be found in the enclosed Delivery Notice Card.

Label/Tracking Number: 19286398782122
Delivery Date: March 19th, 2015 
Status: Failed 
Reason: No person at the delivery address
Delivery Notice Card: electronic copy sent ( see attachement )

The parcel can be picked up or scheduled for a new delivery, by visiting the nearest Canada Post office, with a printed copy of the Delivery Notice Card.
The shipment will be canceled and the parcel returned to the sender, if a new delivery is not scheduled within 48 hours. 


Thank you


© 2015 Canada Post Corporation
*** Do not reply, this email has been automatically generated ***

---------------------------------------------

Tuntematon e-Fax Venäjältä ei innosta avaamaan liitettä

Fax on tullut suuntanumerosta 493 = Kaliningrad, Venäjä.
Kannattaa tarkistaa aina numero mistä "e-Faxit" saapuvat. Jos lähettäjän e-Fax numero ei ole liikekumppaniesi tai tuttujesi, en kehoita avaamaan missään tapauksessa liitettä.
Voit aina lähettää olettamallesi asiakkaalle tai ystävälle erillisen kysymys e-mailin (EI tätä e-mailia forwardina) jossa voit tarkistaa, onko FAX tosiasiallisesti häneltä ja sen liite turvallinen.

Tässä e-mailissa liite on Officen .doc muotoa, joten se saattaa sisältää makro-ohjelmia jotka voivat saastuttaa koneesi haittaohjelmilla ja levitä asiakas/ystääväpiiriisi edelleen. Myös mikä tahansa  liitelinkki saattaa viedä sinut aivan muualle kuin liitteeseen, esimerkiksi palvelimelle, joka lähettää koneellesi viruksen.

Useita muitakaan tiedostomuotoja ei kannata liitteinä availla, jos lähettäjä ei ole tuttu ja varmasti liitteen lähettäjä. Näitä huijjauttuja lähettäjänmiäkin on, eli joku spämmeri tai verkkokonna on varastanut e-mailosoitteen ja käyttää sitä troijalaisena tunkeutuakseen koneellesi ystäväsi nimellä. Näitä tapauksia on tässä blokissani useita. "Odottamaton" e-mail on aina epäilyttävä.

eFax- Spämmiansasta kerrotaan myös sivulla:
http://www.spamstopshere.com/blog/anti-spam/efax-spam-email-malware-alert