Laaja DATING SPÄMMÄYS

Tällä hetkellä on menossa erittäin laaja dating-spämmäys. Roskapostit saapuvat eri ilmaisosoitteista ja
samoillakin 3D naistenkuvilla saapuu "muka" eri seurustelupalstoilta höpö, höpö teksteillä ansapostia. Tähän mennessä on saapunut jo 28 saman kaavan mukaista, liki saman näköistä ja sisältöistä spämmiä.
Kampanja on niin tuore, että sitä ei ole vielä laajemmin analysoitu verkkoturvayritysten sivuilla. Muutamakin varoitus kyllä riittää. Ainakin osa lähettäneistä koneista on merkitty mustalle listalle.

Kaivelin muutaman linkkiosoitteen taustat ja liitin kommentit kuvien alapuolelle. Näitä verkkoansoja runsaasti analysoineena ja kokemuksen kautta, voin sanoa, että kyseessä on vähintäänkin kirjautumiseen perustuva henkilötietovarkaus (joka tarkoittaa aina rahan menoa kirjautujalle) tai/ja liitteenä oleva tiedosto saattaa sisältää viruksen. Varsinkin "video" tai "chat" maininnalla olevat henkilö-"esittelyt" ovat suurella todennäköisyydellä virusten lähteitä. Videotiedostot ja varsinkin niiden ohessa tarjottavat "esitysohjelmat" (appit), ovat potentiaalisia viruslähteitä. Roskiin koko kirje klikkailematta. Jos et muuten usko, lue kuvien alapuolelta lisää.

--------------------------------------KUVAKAAPPAUKSIA---------------------------------------

Kopsasin muutamista posteista linkkiosoitteet ja mielenkiintoinen yhtäläisyys osoitteissa on "/lilly/" hakemisto. Tämä osoittaa, että kyseessä on täysin yhden organisaation takana pyörivä huijauskampanja. Organisaatiolla vaikuttaa olevan resursseja kaapata haltuunsa palvelimia. Viittaa trolliarmeijaan, joka on hankkimassa hyökkäyskoneita kyber-sotaansa varten. Kenen joukoissa seisot? Eli älä mene lankaan!

http://v8.pkserve(.)com/ShirleenPhillis/lilly/xxxxxxxxxxxxxxxx
v8.pkserve.com on autoiluun keskittynyt kuvapankki? Kone on kaapattu. Nyt domainosoite heittää (ilmeisesti indonesialaiselle) pelisivustolle https://upi-yptk.ac(.)id/?products=ladangtoto. Osoite on merkitty vaaralliseksi: "Warning: Malware Detected.  Infected with malware. Immediate action is required"

http://v8.pkserve(.)com/BreeHelaine/lilly/xxxxxxxxxxxxxxxxxx
v8.pkserve.com on autoiluun keskittynyt kuvapankki? Kone on kaapattu. Nyt domainosoite heittää ilmeisesti indonesialaiselle pelisivustolle https://upi-yptk.ac(.)id/?products=ladangtoto. Osoiten merkitty vaaralliseksi: "Warning: Malware Detected.  Infected with malware. Immediate action is required"

http://azonno(.)com/KlaraBrynn/lilly/xxxxxxxxxxxxxxxxxxxxxx
Sivustoa ei löydy verkosta ja se on luokiteltu spämmeriksi (roskapostittaja). Ilmeisesti kaappajan vuoksi palvelin on poistettu verkosta.

http://disferrg(.)com/CarylMargene/lilly/xxxxxxxxxxxxxxxxxxxxxxx
Espanjan kielinen rautakauppa-alan sivusto. Kaapattu huijareiden käyttöön. Virusskannauksessa sivu luokitellaan "eäilyttäväksi". Tarkoittaa, että pysy poissa.

http://dev.cassinolivre(.)com/GriseldaErnestine/lilly/xxxxxxxxxxx
Pelifirman sivusto. Vaikuttaa kaapatulta? Aineisto ei viittaa millään tavoin dating spämmikampanjaan, joten oletukseksi jää koneen hakkerointi (kaappaus).

http://faf3asociados(.)com/ElinaLorina/lilly/xxxxxxxxxxxxxx
Ei löydy verkkosivua lainkaan. Palvelin saattaa olla puhdistettavana kaappauksen vuoksi.

http://new.digitronixinc(.)com/KayleneLouella/lilly/xxxxxxxxxxxxxxxx
Tietokonealan firma. Outoa, että olisi kaapattu mutta sisältö ei vastaa seurustelupalstan aihepiiriä. Ilmeisesti japanilainen yritys.

13 VIRUSTORJUNTA-ALAN YRITYSTÄ VAROITTAA

Näitä samalla kaavalla rakennettuja "deitti" -palveluilmoituksia saapuu massapostituksena edelleen.
Virustorjunta-ala on tietoinen mutta verkon käyttäjät eivät. Jokainen näistä deitti-ilmoituksista on VAARALLINEN. ÄLÄ KLIKKAA LINKKEJÄ!
Näiden estäminen on tehty hankalaksi, koska lähetysosoite ja ansaan vievä linkkiosoite vaihtelee / kirje.
Voit yrittää harventaa posteja myös estämällä sanan "dating". Ainoa asia mikä näyttää säilyvän samana näissä posteissa on vaarallisen linkin viimeinen kansionimi "lilly" ja viimeisimmät 7 merkkiä "770msyy", jotka vaihtuivat 28.11.2023 muotoon  "zetrfyw" (lilly kansio säilyi osoitteissa)
Tätä linkkiversiota sisältäviä spämmejä on saapunut toistaiseksi 60 kpl.
 
Jos suodatin mahdollistaa tuon perusteella tunnistamisen, niin hyvä. Muussa tapauksessa deletoi manuaalisesti kaikki. Naisten kuvat ovat 3D malleja ja useita kuvia käytetään uudelleen eri nimien yhteydessä, eli tällaisia ihmisiä ei ole edes olemassa.
Saman kaavan mukaan tuotettuja massa DEITTIANSOJA
on saapunut kuukauden sisällä toistaiseksi 60 kappaletta.

------------------------------DEITTIANSA----------------------------

17 VIRUSTORJUNTA - FIRMAA VAROITTAA NÄISTÄ

Nyt on menossa venäläisten trollien massapostituskampanja deittailu ilmoituksilla. Kenties ansatyyppi tuottaa tulosta, onnettomien uhrien langetessa "avatar"-tyyppisiin 3D naiskuviin.
Postituksen linkkiosotteet ovat todella VAARALLISIA virustorjuntayritysten varoitusten mukaan.
Kaikki nämä DEITTAILU -postit noudattavat samaa kännynäytölle sovitettua visuaalista ja toiminnallista kaavaa. Jokainen viesti saapuu "ikäänkuin" eri deittisivustolta. Sisältö ja lähetysosoite vaihtelevat, jotta spämmi ei tarttuisi roskapostisuodattimiin.
Ylimmän ansan linkki veisi Arabi Emiirikuntien domainilla olevaan osoitteeseen. Osoite / kone on mitä ilmeisimmin trollien hallussa. Kirje on lähetetty indonesialaiselta koneelta. Postitus voi tapahtua mistä päin maailmaa tahansa. Käsiala paljastaa lähteen samaksi.
Näitä samoja ansakirjeitä on saapunut nyt 3.12. mennessä 60 kpl. 8.11. alkaen.

-------------------------------------------VIESTI--------------------------------------------
Saman kaavan mukaan tuotettuja massa DEITTIANSOJA
on saapunut kuukauden sisällä toistaiseksi 60 kappaletta. LINKIT ovat vaarallisia!

NÄMÄ SAMANKALTAISET LINKKIOSOTTEET (alla) PALJASTAVAT SYLTTYTEHTAAN
Puoli-ilmaisia Domainnimiä on generoiotu määrätön määrä edellisten huijausten rahoilla (tai Venäjän sotakassan tukemana). Osa ansakoneista on selvästi eri yritysten koneita, eli ne on kaapattu vastaavalla materiaalille. Kaapatuille koneille on linkitetty sama ansamateriaali ja homma pelittää, kun ajattelematon verkkokansa klikkailee pahvinaamoja "seurakseen". Tässä alla olevat esimerkkilinkit on "kuohittu".

dohoavocuc(.)com/GrayceIdell/lilly/7wuwe5e770msyy
gsst-int(.)com/LessieAlvina/lilly/6lipfje770msyy
zitasolutions(.)com/TimikaNatosha/lilly/tm488ne770msyy
turkiyegenelidagitim(.)com/ZoePilar/lilly/6lipfje770msyy

28.11.2023 vaihtui linkin loppuosa (Lilly kansio säilyi)
Tätä linkkiversiota on saapunut toistaiseksi 22 kpl.

bu-india(.)com/JerleneViki/lilly/h0lavotzetrfyw
menu.exhaleloungeghana(.)com/LeonaPaulene/lilly/5bs4kltzetrfyw
menu.exhaleloungeghana(.)com/MartiAsuncion/lilly/i0xm19tzetrfyw
theusedmachine(.)com/BetseyJulie/lilly/2492qotzetrfyw
acslojistik(.)com/EldaTanja/lilly/6lipfjtzetrfyw

Kun seuraa domaineja, joihin tämän scammin ansasivut on istutettu, näyttää siltä, että valtaosa koneista on hakkeroituja, eri yritysten koneita, ELI TYÖNTEKIJÄT ovat klikkailleet ansalinkkejä ja päästäneet hakkerit koneelleen viruksen avulla. Nämä ihmiset ovat tukeneet Venäjän kyberhyökkäyksiä "jakamalla edelleen" tätä verkkosaastetta.
Tämän viestin antoi F-Secure kun googlasin tuota exhaleloungeghana(.)com osoitetta.

INTIALAINEN FACEBOOK ANSA

FaceBook kommenttina ansalinkki. Intialainen linkinlyhennyspalveluntarjoaja on piilottanut tämän huijkarin osotteen. Linkistä saattaa tulla koneellesi mitä tahansa. Vaikuttaa linkin nimestä päätellen, että ainakin puhelinnumerosi urkitaan. Mahdollisesti kaikki muutkin henkilötietosi.
Pahimmassa tapauksessa linkistä saapuu koneellesi VIRUS.

--------------------------------------FB-POSTAUS---------------------------------- 

CASIO DATING ANSA

Jälleen on menossa jättimäinen deittailu-spämmäys (roskapostitus). Samankaltaisia kirjeitä saapuu useita päivässä. Tämä kirje on saapunut Gabonista, eikä tällaista deittailusivustoa löydy verkosta. TÄMÄ JA VASTAAVAT KIRJEET OVAT ANSOJA.
Kuvassa (vaikka on useita klikattavia kohtia) ei ole kuin yksi linkki joka vie yhteen ja samaan huijarin osoitteeseen. Kauniit naisenkuvat (houkutuslinnut) ovat suurimmilta osin avatar-tyyppisiä 3D tuotoksia. Osa kuvista saattaa olla varastettu muualta netistä. Missään tapauksessa näitä naisia et tule koskaan tapaamaan edes verkossa. Koska kyseessä ei ole todellinen deittailusivusto, keskustelun hoitaa robotti.
Jos annat "kirjautumisen varjolla" henkilötietojasi, tulet olemaan vaikeuksissa.
Kuvan mukana oleva liite saattaa olla myös virus, ÄLÄ AVAA liitettä.

 

Tällä spämmillä ei ole mitään tekemistä Casio kellojen, eikä minkään muunkaan laillisen toiminnan kanssa. Kyseessä on puhdas huijausyritys massapostituksena. En ole varmaankaan kovasti väärässä, jos veikkaan, että tämänkin massapostituksen takana häärää tuttu trolliarmeija tekaistune sähköposti- ja domainnimineen. Domainnimirekisterissä kaikki vastuuhenkilöiden tiedot on piiloitettu. "theusedmachine(.)com" on ilmeisesti hakkeroitu kone. Alla toinen esimerkki samasta spämmierästä. Tässäkin tapauksessa kuva on selkeästi 3D tuotos. Kirje oli lähetetty Brasiliasta tekaistusta tai varastetusta osoitteesta ja siinä on myös liite.
Kaikki tunnusmerkit viittaavat organisoituun toimintaan, eli Venäjän trollitehtaalle.

Olen varottanut näistä venäläisistä "dating" (seuranhaku) kampanjoista aikaisemminkin. Tämä on osa kyber-sotaa, jolla kaapataan ykstityistä konemassaa palvelunestohyökkäyksiin.
https://vaarallinenweb.blogspot.com/2023/11/venalaista-postia-saapuu-solkenaan.html

Deittaus kirjeet ovat 99% ansoja

Olen näistä varoittanut useasti aiemminkin. Tämä oli vain uusi kuvio joka vaikutti mielenkiintoiselta sekavuudessaan.

Tyypillinen deittaus-ansa joka paljastuu jälleen linkkien peittely-yrityksenä.
Tutkin interwecs11.com domainin taustaa ja se oli rankattu verkossa viidelletoista eri mustalle listalle. Sinne linkki oikeasti sinut veisi.

Lähetysosoite "mailbomba.com" on domainsbyproxy.com:in taakse rekisteröity godaddy.com:issa reisteröity domannimi. Godaddy.com:ia on verkon halpisdomannimikauppias. mailbomba.com sivuille ei Google tai selain pääse. domainsbyproxy.com sivua käytetään domainnimien omistajien taustojen salaamiseen. Varsinainen scammeri-kopla.

https://datingscams.cc/search/celeste@interwebs11.com

The following e-mail celeste@interwebs11.com has been checked by our team . If you have become the victim of the scammers who used his e-mail address for contacting you and trying to get the finances from you, please, use the special facilities of our site in order to get ...

Vapaasti käännettynä Googlaustulos: seuraava e-mail  "celeste@interwebs11.com" on tiimimme tarkistama. Jos olet joutunut, tätä osoitetta käyttävän roskapostin uhriksi ja tämän s-postin käyttäjän kanssa johonkin liiketoiminnallisiin yrityksiin, käytä sivustomme erikoispalveluja...

(Mitä ne sitten lienevätkään, koska tälläkin sivustolla, selaimeni turvaluokitus, kielsi vierailemasta)
Godaady kertoo: Registrant Email: DATINGSCAMS.CC@domainsbyproxy.com eli omistaja ja omistajan sähköposti on salattu. Salaus yleensä viittaa hämärähommiin.Periaatteessa deittaus sähköposteihin ei kannata vastata, se on suosituin ansatyyppi.

Vaarallinen deittipalvelu

ÄLÄ KLIKKAILE tämän tyyppisten deitti-palsta-mainosten linkkejä. Sain lyhyellä ajalla peräkkäin kolme samanlaista e-mailia ja niissä jokaisessa linkit näyttivät vievän eri palvelimille. Eli palvelimet oli mahdollisesti kaikki hakkeroituja. Tosin nämä kaikki palvelimet näyttävät domanreksiteritietojen mukaan olevan hyvin hämäräperäisiä, eli voivat myös olla ihan "omia". Palvelimia hänen pitää vaihdella juuri siksi, että kun sähköpostisuotimet plokkaavat scammerin ulos, hän tarvitsee seuraavaa palvelinta hämärä-busineksen jatkamiseksi.

Vaikka tässä e-mailissa on linkkejä "FaceBookkiin" ja "Twitteriin", linkit eivät vie sinne minne lupaavat, vaan aivan samalle palvelimelle, jonne jokainen tämän mainoksen linkki vie, eli tämä on 100% selvä ansa. Kyseessä voi olla henkilötietovarkausyritys tai sitten koneellesi istutetaan virusohjelma linkin päästä. TAI kaikkea siltä väliltä, paitsi tuskin mitään rehellistä toimintaa.