Näytetään tekstit, joissa on tunniste googleusercontent. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste googleusercontent. Näytä kaikki tekstit

keskiviikko 7. tammikuuta 2026

VAROITUS GOOGLEUSERCONTENT PALVELUN NIMISSÄ SAAPUVASTA POSTISTA

GOOGLEUSERCONTENT - lähetysosoiteaihetta olen käsitellyt aiemmin useassa artikkelissani mutta kertaus on opintojen äiti.
Tämän asian tiedostaminen on nyt erittäin tärkeää, koska venäläiset trollit ovat ottaneet tämän lähetysosoitemuodon käyttöönsä ja pyrkivät kaappaamaan koneita hallintaansa onnettomilta sähköpostilinkkien klikkailijoilta. 

GOOGLEN NEUVONTAPALSTALTA TIETOA:

"Tässä on yleistä tietoa: älä koskaan anna salasanaasi sähköpostitse lähetettyihin pyyntöihin. Kaikkien Googlelta tulevien sähköpostien on **päätyttävä** google. com-sivustoon (eli esimerkiksi tämä voi olla myös oikea scoutcamp.bounces.google. com ja tämäkin gaia.bounces.google. com). Mutta vaikka päättäisikin, napsauta näytä tiedot -nuolta ja varmista, että "lähettäjä"- tai "allekirjoittanut"-rivien vieressä näkyvä verkkotunnus vastaa lähettäjän sähköpostiosoitetta. Jos näet viestejä, jotka väittävät olevansa google.com-sivustolta, mutta joita ei ole oikein todennettu google.com-sivustolta tuleviksi, ne ovat tietojenkalasteluviestejä. Google ei koskaan kysy salasanaasi (muuten kuin tavallisissa kirjautumisnäytöissään jne.). Jos saat joskus sähköpostin, jossa kysytään salasanaasi, voit olla varma, että se ei ole Googlelta."

MUISTA TARKISTAA, ETTÄ OLET GOOGLEN KIRJAUTUESSASI GOOGLEN SIVULLA (selaimen osoitekentässä osoitteessa on oltava viimeisenä = google. com)

Tässä muutama artikkeli, jossa olen kertonut samasta aiheesta erilaisten ansapostien yhteydessä.

https://vaarallinenweb.blogspot.com/2025/10/mouseplanet-huijaus-jatkuu.html

TÄSSÄ ON TYYPILLINEN LÄHETYSOSOITE KIRJEEN HEADEROSUUDESTA KOPIOTUNA "X-Original-Sender: info@mouseplanet. com

Received: from mouseplanet. com (173.16.93. 34.bc.googleusercontent. com [34.93.16. 173])

Palvelin IP 34.93.16. 173 osoittaa Mumbayhin Googlen palvelimelle. Mouseplanet. com kone IP 173.16.93. 34 osoittaa Jacksonville, Illinois, United States. Mediacom Communications Corp:n koneelle, jonka DNS (verkkotunnus) on mustalla listalla

https://vaarallinenweb.blogspot.com/2025/10/googleusercontent-com-koneita-huijarin.html

GOOGLAUKSEN AI VASTAUS

"bc.googleusercontent. com ei itsessään ole huijaus, mutta se on verkkotunnus, jota huijarit käyttävät usein tietojenkalasteluhyökkäyksiin, koska se on julkinen isäntänimi Google Cloud Platform (GCP) -virtuaalikoneille. Tämä tarkoittaa, että Googlen pilvipalveluiden lailliset käyttäjät voivat isännöidä sovelluksia tällä verkkotunnuksella, mutta haitalliset toimijat voivat myös käyttää samoja palveluita sähköpostien lähettämiseen tai verkkosivustojen kaapimiseen, joten se voi vaikuttaa lailliselta mutta vaaralliselta lähteeltä."

Kuinka tunnistaa, onko kyseessä huijaus?

Tarkista lähettäjän sähköpostiosoite: Tarkista aina koko lähettäjän sähköpostiosoite, äläkä vain nimeä, sillä hyökkääjät voivat helposti väärentää näyttönimen.

Vie hiiri (osoitin) linkkien päälle: Ennen kuin napsautat linkkejä, vie hiiri niiden päälle nähdäksesi todellisen URL-osoitteen, johon ne osoittavat."  Näkyviin kirjoitettu "osoite" voi olla aivan mikä tahansa teksti.

Venäläisten huijauskirjeiden sarja (eri otsakkein ja kirjesisällöin) saapuu nyt osoitteesta: "X-Original-Sender: info@werkenpgb. nl Received: from werkenpgb. nl (79.165.196.35.bc.googleusercontent. com"
Tuo werkenpgb. nl osuus saattaa vaihdella, koska virussuodattimet pyrkivät poistamaan roskapostiksi havaitut kirjeet lähettäjänimien mukaan.
"X-Original-Sender:" löytyy kaikkien kirjeiden header-osuudesta, jos osaat ottaa kirjeen löhdekoodin esille.



Lähettänyt klo Ei kommentteja:
Tunnisteet: , , ,

SAMA LÄHETTÄJÄ ERILAISET HUIJAUS - KIRJEET

Lähettäjän osoitteen seuraaminen on hyvä tietoturvatakuu.
HUOM. Kaikkiin esimerkkiosoitteisiin on lisätty tyhjä väli ennen maatunnusta, turvallisuussyistä. Näin linkki ei toimi, joten tyhjä väli on poistettava, jos käyttää osoitetta selaimen osoitekentässä.

MISTÄ ON SYYTÄ HUOLESTUA
  
1) Kun sisältö ei vastaa lähetysosoitetta.
Kaikki luotettavat toimijat lähettävät viestinsä omasta domainosoitteestaan (firman nimi). Esim: pankkien nimet kuten S-Pankki. fi, nordea. fi, danskebank. fi, op. fi tai osuuspankki. fi.
Samoin kaikki viranomaistahot kuten: suomi. fi, maisa. fi, poliisi. fi, jne.
Juuri äsken saapui kirje osoitteella "Suomi. fi  <conterecte@ggrhcoex.popdocmp. com>", joka ei siis saavu suoimi. fi palvelusta, vaan "ggrhcoex.popdocmp. com" osoitteesta rikolliselta. Oleellinen osoite on tuossa @ merkin jälkeen. Sekin voidaan kirjoittaa esim. muotoon "@suomifi.ggrhcoex.popdocmp. com", jolloin kirje saapuisi edelleenkin rikollisen osoitteesta. 

JOS olet vähääkään epävarma kirjeen lähettäjän osoitteen oikeellisuudesta - ÄLÄ AVAA KIRJETTÄ, ÄLÄKÄ KLIKKAA MISSÄÄN TAPAUKSESSA LINKKEJÄ.

2) lähetysosoitteen "domain maatunnus- se viimeinen osa" (esim: domain."fi") ei täsmää firman kotimaahan, vaikka domainnimi olisi firman nimi.
Tai jos perässä on ilmaisosoitteen tunnus (esim: "gmail.com"). Kaikki luotettavat toimijat käyttävät oman fimalle ostettua ja rekisteröityä osoitetta domainnimenään. Domainnimi on postiosoitteen jälkiosa vaikkapa esimerkiksi "viestinta@nordea. fi" EI  "nordea.@gmail. com" tai  "nordea@ "nordea.jokunimi. com"

3) Kannattaa lähteä myös olettamuksesta, että JOS kirje on kiertänyt googleusercontent - osoitteen kautta, niin kyseessä on huijaus. Googleusercontent osoitteen kautta saattaa tulla myös laillisia kirjeitä MUTTA osoite on käytännössä saastutettu huijauskirjeillä, koska osoite mahdollistaa rikollisia hyödyntävän toiminnon, jos uhri erehtyy lähettämään paluupostia.
Nämä esimerkkikirjeet ovat kaikki saapuneen googleusercontent osoitteen kautta. 
"X-Original-Sender: info@werkenpgb. nl Received: from werkenpgb. nl (79.165.196.35.bc.googleusercontent. com"

Nämä esimerkkikirjeet tunnistaa toistuvasta vieraasta domainnimestä ja siitä, että vastaanottajan osoite on sama, kuin lähettäjä. Tämä huijari on varastanut osoitteen, jota se käyttää, niin kauan, kunnes spämmissuotimet sen estävät.
Otsakkeet vaihtelevat mutta lähettäjä on sama. 

LINKKI vie vietnamilaiselle koneelle ja kirjeiden taustatoimijoina ovat venäläiset trollit.
Näiden kirjeiden tarkoituksena on lähettä koneellesi VIRUS (päivityspyyntö), jolla koneen saan kaapattua Venäjän verkkohyökkäyksiä varten. Myös, todennäköistä on, että henkilötietosi urkitaan ja pankkitilisi tyhjennetään (Hyväksyntä: text/html,ohjelma/xhtml+xml) XHTML ja XML on kieli, jolla voidaan koodata ohjelma.

-----------------------------------------KIRJE 1----------------------------------------

-----------------------------------------KIRJE 2----------------------------------------


NÄITÄ McAFEEN NIMISSÄ LÄHTETTYJÄ ANSAKIRJEITÄ ON NYT LIIKKEELLÄ
ERITTÄIN RUNSAASTI - KYMMENITTÄIN. SAMOIN ERILAISIA PELIANSOJA

-----------------------------------------KIRJE 3----------------------------------------



Kirjeitä on saapunut kymmenittäin ja saapuu varmasti enemmänkin. Nämä ovat vain varoittavia esimerkkejä.
Tämä allaoleva kirje on McAFEEN nimissä saapunut huijauskirje, jonka olen kuvakaapannut HTML tilassa, jolloin se nayttää koko sisällön. Edelliset ovat TXT tilassa, ja niissä ei näy sisältöä.
Vastaavia kirjeitä vastaavista osoitteista saapuu myös "seurustelupalsta" -teemalla sadoittain.

-----------------------------------------KIRJE 4----------------------------------------






Lähettänyt klo Ei kommentteja:
Tunnisteet: , , ,

torstai 4. joulukuuta 2025

SISUSTUSLIIKE ON HUOLISSAAN GOOGLEN PILVITILASTA

 Jälleen kerran: KATSOKAA MISTÄ VIESTI SAAPUU! Google ei lähetä viestejä, kuin omasta osoitteestaan "google. com"  Varoituksissa saattaa olla tuon osoitteen edessä ns. alidomain osoite kuten "esimerkiksi "workspace.google. com" tai "one.google. com". Oleellista on, mihin sanaan osoite päättyy. "thingsthatmatter. be" osoite kuuluu belgialaiselle sisustusalan firmalle, jonka nimen taakse huijari piilottautuu.

VAROKAA! Todellinen linkin osoite vie vietnamilaiselle koneelle, ei Googlen palvelimelle.
Eksoottista alkuperään viittaa myös ÄÄKKÖSTEN taitamattomuus. Google kyllä osaisi.

Lähetysosoite on katalasti kierrätetty "googleusercontent"- palvelun kautta, jotta posti näyttäisi saapuvan, ikäänkuin Googlelta. Tätä nykyään tekevät muutkin huijarit peittääkseen oman osoitteensa.

Olen kirjoittanut tästä huijauteksniikasta artikkelin: https://vaarallinenweb.blogspot.com/2025/10/googleusercontent-com-koneita-huijarin.html

---------------------------------------KIRJE---------------------------------------------

TXT muodossa kirje on tyhjä mutta HTML muodossa näkyy suurinpiirtein seuraava ilme.



Lähettänyt klo Ei kommentteja:
Tunnisteet: , ,

tiistai 28. lokakuuta 2025

ANSA PELAAJILLE

Tämän kirjeen linkkien klikkailu on vaarallista.
Jos pelihimo iskee, mene turvallisemmille pelisivuille, sillä tämä on ANSA.

Valokuvaaja Piotr Marcińskin sähköpostitiliä on käytetty luvatta tämän kirjeen lähettämiseen. Hänen sähköpostinsa on varastettu vastaavalla ansakirjeellä. Näin voi käydä sinullekin.
Tämä kirje kuuluu sarjaan, jossa se kierrätetään: "bc.googleusercontent. com":n kautta.
Tästä olen kirjoittanut: https://vaarallinenweb.blogspot.com/2025/10/googleusercontent-com-koneita-huijarin.html

Kirjeen toistuva linkki vie samaan ANSAAN. "Voit peruuttaa sähköpostit" -linkki vie samaan vaaralliseen osoitteeseen. Näin on kaikissa muissakin ansakirjeissä, joten sitäkään linkkiä EI SAA KÄYTTÄÄ.

Virustorjuntaohjelmat varoittavat linkistä:

"VIPRE" kertoo: "Malicious (100%)" linkki on todettu vaaralliseksi 
FALCON SANDBOX raportoi::"Malicious domain detected"
Details: CONTACTED DOMAIN: "trkemail-hub. com" has been identified as malicious, CONTACTED DOMAIN: "gtly. io" has been identified as malicious                                                                                             
Linkin päästä löytyy useampiakin vaarallisisa osoitteita, joten klikkailu ei ole mikään terveysmatka sinulle, eikä laitteellesi. Lue kirjekopion alapuolelta lisää ansan laadusta.

--------------------------------KIRJE-------------------------------


FALCON SANDBOXIN raportista löytyy myös MITRE ATT&CKin varoitus mahdollisista viruksen aiheuttamista seuraamuksista:

MITRE ATT&CK varoittaa:

https://attack.mitre. org/techniques/T1114/

"Hyökkääjät voivat kohdistaa hyökkäyksiä käyttäjien sähköposteihin kerätäkseen arkaluonteisia tietoja. Sähköpostit voivat sisältää arkaluonteisia tietoja, kuten liikesalaisuuksia tai henkilötietoja, jotka voivat osoittautua arvokkaiksi hyökkääjille. Sähköpostit voivat myös sisältää tietoja meneillään olevista tapahtumien torjuntatoimista, joiden avulla hyökkääjät voivat mukauttaa tekniikoitaan pysyäkseen sinnikkäänä tai välttääkseen puolustuskeinot.[1][2] Hyökkääjät voivat kerätä tai välittää sähköpostia sähköpostipalvelimilta tai asiakkailta."



 

Lähettänyt klo Ei kommentteja:
Tunnisteet: , , , ,
Tilaa: Kommentit (Atom)