Varokaa KAAPPARIMAINOSTA

MALADVERTISING käännösehdotukseni on:

KAAPPARIMAINOS (artikkeli on käännös Malwarebyte:n sivuilta, linkki alkuperäiseen artikkeliin on tekstin lopussa)

Kaapparimainos on verkkomainoksessa piileskelevä kaappariohjelma, joka on vaikeasti havaittavissa ja sen vahinkotoiminta on hankalasti estettävissä.

Jokainen mainosbanneri, pop-upikkunamainos tai vastaava ohjelmoitu mainos on uhkapotentiaali, riippumatta siitä, kuinka luotettavalla sivustolla se on. Mainoksia ei välttämättä ole asennusvaiheessa tarkistettu viruksen varalta JA mainoksen asennusvaiheessa siinä kenties ei vielä ole kaappariohjelmaa, kaappariohjelma voidaan asentaa mainospäivityksenä.

Kaapparimainos saattaa sisältää näkymättömän linkkialueen (joka peittää mainoksen tai ulottuu jopa varsinaiselle selattavalle verkkosivulle). Kaapparimainos saattaa näyttää samanlaiselta kuin jokin muu, luotettavan suuren brändin mainos.

Näkymätön linkki vie sinut kaapparisivulle, joka saattaa ulkoasultaan olla aivan sen sivun näköinen jossa luulit klikkaavasi sivun omaa linkkiä.  Tämä uusi kaapparisivu lähettää koneellesi hyökkäysohjelman joka varsinaisesti saastuttaa koneesi.

Kaapparimainos voi olla vaikea havaita edes ohjelmilla, koska se saattaa olla osa kiertävää mainossykliä, joten jokainen mainoskuva ei sisällä kaapparikoodia.

Sinua ei pelasta sivun WOT (web of trust)  analyysi tai suositus, koska ansa ei ole itse sivulla vaan sen erillisessä mainoskomponentissa.

Cyber rikolliset voivat myös asettaa kaappariohjelmistolle aikalaukaisijan joka käynnistää laajan kaapparimainosjakelun useammalle verkkosivustolle yhtaikaa ja odottamattomasti. Minuutti sitten ei ollut ja ”nyt” on. Kaappariohjelma voidaan myös asettaa laukeavaksi tietyissä käyttöolosuhteissa.

Miten voit suojautua näin kavalaa ansaa vastaan?

-         estä selainasetuksissa Pop-up ikkunat (selain ilmoittaa yleensä estäneensä sivulla aukeavan ikkuna kun tämä on toiminnassa)

-         estä selainasetuksissa automaattinen siirtyminen ”toiselle sivulle” (selain ilmoittaa estäneensä siirtymisen kun tämä on toiminnassa)

-         Jos et halua/osaa puuttua selainasetuksiin tai kenties niiden lisäksi haluat varmistaa asian, Pop-up-blogger ja AD blogger-ohjelmia on saatavilla (hanki luotettavalta toimittajalta tai kaupasta). (Malware tarjoaa käyttöösi melko viisaan ohjelman ilmaiseksi)

-         asenna hyvä ja luotettava palomuuri (Windowsin oma palomuuri ei sellainen välttämättä ole)

-         asenna hyvä ja luotettava virustorjuntaohjelma ja huolehdi, että sen virustietokanta on joka päivä tuore (jos se ei itse päivitä kantaa automaattisesti). Myös vaikka se sen lupaisi tehdä, voit tarkistaa aika-ajoin onko kanta tuore torjuntaohjelman tilanne-ikkunasta (status).

-         hyvä turvalisä on ”Sandbox” ohjelma jolla voidaan luoda virtuaalikansioita (näennäiskansio) verkkolatausta varten, tai asettaa FlashPlayer ja PDF viewer toimimaan virtualisesti. Se tarkoittaa, että ohjelmat eivät löydä sellaisille levyosoille joihin mahdolliset haittaohjelmat voisivat asentua toimiviksi.

Lisätietoa saat englanninkieliseltä sivulta: https://blog.malwarebytes.org/malvertising-2/2015/02/what-is-malvertising/

OP varoittaa verkkosivuillaan tapahtuvasta hyökkäyksestä

OP pankki varoittaa tunnuskaappauksesta

OP:n verkkosivu ja HS 02.12.2014 varoittavat Osuuspankin verkkosivuilla asioiville ilmestyvästä kaappariohjelmasta.

Mikäli alla olevan näköinen ylimääräinen sivu ilmestyy verkkopankkiin kirjautuessasi, sulje selainikkuna ja selain välittömästi. Käynnistä selain uudelleen ja poista selaimesi evästeet alla olevan ohjeen mukaisesti.

ÄLÄ missään tapauksessa kirjoita ylimääräiselle sivulle tunnuksiasi tai tietojasi.

Jos ylimääräisen sivun ilmestyminen toistuu selaimen puhdistuksen ja asetusten muutoksen jälkeen (ks. ohjeet alla), vie kone puhdistettavaksi asiantuntijalle. Turvallisinta on irroittaa kone kokonaan verkosta. Sitä ei tule liittää verkkoon ennen sen puhdistusta (oman tietoturvasi vuoksi).

Tärkein asia on, että koneesi turvaohjelma on toiminnassa ja ajan tasalla.

Selaimen voi myös turvata usealla asetuksella vastaavanlaista hyökkäystä vastaan (nämäkään keinot eivät välttämättä tuo 100% turvaa mutta parantavat selainturvallisuutta huomattavasti).

Verkkosivuilla saivarrellaan, että turvariski koskee vain Windows koneita MUTTA kuka takaa, että asia on juuri näin. Kaikkiin selainriskeihin kannattaa suhtautua vakavasti joka koneella. Jos ylimääräistä ponnahdusikkunaa ei näy, olet ilmeisesti turvassa ainakin toistaiseksi. Koneisiin voidaan ujuttaa näppäimistökaappareita monella eri tavalla jos koneen tietoturva pettää.
Näillä blogisivuillani vierailevat näyttävät käyttävän yleisimmin Linuxia ja Chromea. Linux koneet ovat vallalla yliopistoissa ja oppilaitoksissa ja esim. valtion hallinnossa joka on erittäin todellinen ja vakava vakoiluohjelmien maali.

Alla ohjeet kahdelle suosituimmalle selaimelle

GOOGLE CHROME

1)    Chromen oikeassa ylänurkassa on kolme viivaa sisältävä neliö. Siitä aukeaa asetusvalikko. Valitse ”History” ja siitä aukeavasta valikosta ”Clear browsing data”  ja asetus ”the beginning of time” (aikojen alusta = kaikki). Listassa on vakiona ruksattu kaikki poistettavaksi mutta jos katsot tarvitsevasi jotain selaushistoriaa, jätä ruksi (poistettavat) ainakin kohtiin ”Coocies and other site and plug-in data”, ”Cached images and files” ”Passwords”, ”Hosted app data” , ”Content licenses”. Nämä tiedot poistamalla saavutat melko hyvän suojan konellesi mahdollisesti selaimen kautta tapahtuneissa hyökkäyksissä.

     2)   ”Settings” –sivulla voit määritellä perusturva-asetuksia. ”Content settings” 

Use a web service to help resolve navigation errors

Use a prediction service to help complete searches and URLs typed in the address bar or the app launcher search box

Predict network actions to improve page load performance

Automatically report details of possible security incidents to Google

Enable phishing and malware protection

Use a web service to help resolve spelling errors

Automatically send usage statistics and crash reports to Google

Send a "Do Not Track" request with your browsing traffic

Enable "Ok Google" to start a voice search

Passwords and forms

Enable Autofill to fill out web forms in a single click. Manage Autofill settings

Offer to save your web passwords. Manage passwords

3)    ”Settings” –sivulla voit määritellä lisää perusturva-asetuksia. ”Content settings” painikkeen alta. Listaan kannattaa muuttaa rukseja kohtaan ”Cookies” .Turvallisinta on kieltää kaikki Cookiet mutta osa sivustoista voi vaatia Cookien asettamista sivujen käytön ehdoksi. Täysturvan siis tuo ruksi kohtaan ”Block sites from setting any data. Jos sinulle tärkeät luotettavat sivustot eivät tämän jälkeen toimi, poikkeuksia estoihin voit myös asentaa ”Manage exceptions” buttonin alta. Jos se vaikuttaa hankalalta voit lieventää asetusta ”Content settings” valikossa  ”Cookies” kohtaan ” Allow local data only until you quit your browser + lisäruksi kohtaan Block third-party cookies and site data.  Kun asetukset on tehty, klikkaa alakulmasta “Done”.

FIREFOX

1)      Firefox selaimen ”Työkalut” valikon ”Asetukset” –lehdeltä ”Tietosuoja” valikossa ”Seurantatiedot” ruksi kohtaan ”Ilmoita sivustoille, etten halua niiden seuraavan minua”

2)      Samassa ”Tietosuoja” valikossa on kohta ”Firefox säilyttää: Täydelliset historiatiedot”. Tämä on vakioasetus mutta sen voi muuttaa tästä valikosta ” Valitut historiatiedot” alta aukeavaan listaan haluamasi historiatiedot. Poista ainakin kohta ”Sivustot saavat asettaa evästeitä” . Jotkut sivustot voivat vaatia sinua käyttämään evästeitä mutta harkitse mieluummin erikseen joka sivulla, luotatko sivustoon ja onko mahdollista, että evästepyyntö tulee muualta kuin itse sivustolta (esim. ylimääräinen ponnahdusikkuna). Ponnahdusikkunatkin voidaan estää selaimessa.

3)      Estä ponnahdusikkunat. ”Asetukset” valikon kohdassa ”Sisältö” ruksaa kohta ”Estä ponnahdusikkunat”.

4)      ”Turvallisuus” asetukset ”Asetukset” valikossa. Täällä voit ruksata kohdat ”Varoita, kun sivustot yrittävät asentaa lisäosia” sekä ”Estä hyökkäyssivustoiksi ilmoitetut sivustot” sekä ”Estä huijaussivustoiksi ilmoitetut sivustot” POSTA ruksit (jos niitä on) kohdista ”Tallenna sivustojen salasanat” ja ”Käytä pääsalasanaa”. Tärkeää on, että vain sinä pystyt kirjautumaan suojatuille sivuille, ei kukaan muu. Näin voit taata tämän turvan ainakin selaimen osalta.

Jäikö jokin turva-asetus huomiotta? Kerro ihmeessä jos jäi. 

Tärkeintä on tuon selaimen muistitiedon puhdistus ensiapu toimenpiteenä.

Kiinalainen kirjepommi

Varsinkin PK yritys, joka on yrittänyt ottaa yhteyttä Kiinan markkinoihin saattaisi langeta tällaiseen ansaan. Muilla kellot soivat kyllä. Pommi sijaitsee ilmeisesti juuri noissa liitteissä. Niitä EI kannata edes ladata koneelle.

”Euroopassa otettiin kiinni 15 tietokonekaapparia”

HS 22.11.2014 Laura Helminen
Hyvä.

Artikkelissa kerrottiin, että voit peittää tietokoneen kameranlinssin laastarilla.
En suosittele. Jos laastarin liimapinta osuu pieneen linssiin, kuvasi saattaa sen jälkeen olla suttuinen seuraavassa videoistunnossasi. Linssi on hankala puhdistaa liimasta vioittamatta linssiä tai sen ympäristöä. 

Oleellista on, että laitat (ripustat) linssin eteen jonkun esteen jos et muuten ole satavarma, että konettasi ei ole kaapattu kameroineen. Teippi lähtee koneen muusta muovipinnasta paremmin.
Läppärissä kannen voi sulkea, koska kamera on näytön suunnassa, eli jää pimentoon kannen alle. 

Jos sinulla on pientäkään epäilystä, että koneellasi on kaappariohjelma, vie se huoltoon ja kerro epäilyksesi. Kone saattaa käyttäytyä tällöin omituisesti. Esimerkiksi kameran merkkivalo syttyy tai palaa vaikka et sitä itse käytä. Tai jos "nukkuva" kone herää toimintaan yllättäen, vaikka itse et ole sitä aktivoinnut käyttöön.

Kiinalaista oppimateriaalia jota ei kannata avata

Jaahas. Tällainenkin yritys on nyt sitten nähty.

Tämä tosin saa jokaisen varpailleen, nähtyään liitetiedoston nimen kiinankieliset kirjainmerkit.
DOC tiedostot voivat sisältää pieniä ohjelmia joita kutsutaan makroiksi. Niilläkin voidaan saada pahaa aikaan tietokoneellasi. ÄLÄ koskaan avaa sellaisia DOC tai muita Office tiedostoja joiden lähettäjä ei ole ehdottomasti luotettava.
Käytä myös itse mieluiten RTF tallennusmuotoa dokumenteissa, joita jaat asiakkaillesi tai tuttavillesi, koska siinä ei ole makrija ja se on standardi tiedostomuoto jonka pystyy avaamaan kaikissa merkittävissä tekstinkäsittelyohjelmissa varmasti ja turvallisesti.

TAUSTAA yritykselle: ply-o.com

Domainnimen ply-o.com omistaa kiinalainen yritys ja siitä kerrotaan seuraavaa:
FLY-O (Industrial) Co., Ltd., located in Guangzhou,China, is specially line with such product as gloves , hats, bags,casual sport clothes and other fashional sporting accessories . Oweing to its design team elite , our company has been continusly put innovation masterpiece into market, by means of quality and design combined with integration of fashion and taste,also coupled with excellent craftsmanship, to creat a distinctive charm of sporting products to meet people"s demand among all ages in times of skiing, outdoors,travel and casual activities ...

SE että yritys "vaikuttaa" rehelliseltä, EI tarkoita, että sen nimissä lähetettyihin viesteihin tai niiden liitetiedostoihin kannattaa luotta. Suomessa on saatu erinomaisia oppitunteja: Postin, Veroviraston, Poliisin ym. "ikäänkuin" lähettämistä viesteistä, jotka ovat olleet spämmejä ja saattaneet sisältää viruksen tai identiteettikaappausyrityksen.

FLY-O (Industrial) Co., Ltd tyyppinen yritys ei oikeasti lähetä hakuammunnalla tällaisia pyntöjä Eurooppaan. Kyllä se tietää mistä oppimateriaalia on saatavissa jos se sellaista tarvitsee.

JA Domainreksiteritiedoista kiinnostuneille. Huomaa rekisteröijän mielenkiintoiset fax- ja puhelinnumerot +86.755123456:

Reseller:
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: admin admin
Registrant Organization: FLY-O(INDUSTRIAL)CO.,LIMITED
Registrant Street: guangdongshengshenzhenshi
Registrant City: shenzhen
Registrant State/Province: guangdong
Registrant Postal Code: 518000
Registrant Country: CN
Registrant Phone: +86.755123456
Registrant Phone Ext:
Registrant Fax: +86.755123456
Registrant Fax Ext:
Registrant Email: kf@ply-o.com

Unelma hyppysissäsi. Green Cardeja USA:n tarjolla

Uskaltaisitko hankkia Green Cardin USA:n tältä toimijalta?
Kehoitukseni on: "Älä uskalla". Kyseessä on vähintäänkin identiteettivarkausyritys.

Alla harmaassa pinnassa oleva harmaa teksti kertoo perättömän tiedon:
"You’re receiving this email because you signed up on our websites, attended one of our previous events or bought one of our products. To manage your email preferences please click here."

En ole ollut koskaan, missään tekemisissä kyseisen firman kanssa. Firmaa tuskin on ollut olemassa muutamaa päivää kauempaa, domainin rekisteröintitiedoista päätellen.

"argosteel.net" johon linkit minut/sinut veisivät, on täysin tuntematon ja rankkaamaton domainnimi joka sijaitsee Israelissa.
Domainnimi-rekisteritiedot kertovat taustaksi seuraavaa:

Aluksi hyvin epämääräinen rekisteröintitieto jonka mukaan domainnimi erääntyy toukokuussa 2015:

Updated Date: 2014-05-18 10:37:37Z

Creation Date: 2014-05-01 06:56:00Z

Registrar Registration Expiration Date: 2015-05-01 06:56:00Z

Yhteydenotto hyppäsi kuitenkin vieraaseen osoitteeseen.

Admin Name: DUSTIN LATIMER
Admin Organization: DIGITAL CAMPAIGN
Admin Street: POB 61481
Admin City: TEL AVIV
Admin State/Province: IL
Admin Postal Code: 48131
Admin Country: IL
Admin Phone: +972.579321412
Admin Phone Ext:
Admin Fax: +972.579321412


Viesti oli lähetetty ilmeisestä robotti-osoitteesta:
noreply@adepttraffic.com

Joka viittaa siis domainiin "adepttraffic.com"
Jonka tausta on yhtä hämärä ja "tyhjä", jollei hämärämpikin kuin edellinen.
Sijainti Panama on sentään lähes oikean mantereen puolella jos se jotakuta USA:n Green Cardin puutteessa olevaa kiinnostaa. Minua ei tämä tieto vakuuta lainkaan.

Updated Date: 2014-09-15 01:42:49Z
Creation Date: 2014-09-15 08:42:00Z
Registrar Registration Expiration Date: 2015-09-15 08:42:00Z


Tämä osoite erääntyy syyskuussa 2015. Kokeilin yhteyttä domainiin onnistumatta. Älkää ottako yhteyttä edes tuohon "whoisguard.com". Domainnimeen ei ole ainuttakaan paluulinkkiä vuoden 2011 kesäkuun jälkeen. Eli sekin on käytännöllisesti katsoen "kuollut". Olen muuttanut hieman email-osoitetta, jotta ette edes vahingossa joudu tekemisiin lafkan kanssa.

Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 00000
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: E74XXDA99747838C0CCD885332C2C0.PROTECT@WHOSIGUARD.COM

Miten lopetan SkillPages Spammi-pommituksen e-maileissani

Hyvät ystävät ja verkkotuttavat. SkillPages on Spämmeri-sivusto. Sinne ei kannata kirjautua tai liittyä. Varoituksia löytyy verkosta useita mutta tämä alla olevan linkin sivusto kertoo asiasta aika yksityiskohtaisesti, tosin englanniksi.
 http://levynewsnetwork.wordpress.com/2013/03/21/skillpages-virus-spam-email-invites/

SkillPages käyttää sinne kirjautuneen ystäväpiiriä häikäilemättä spämmipostitukseensa.

Miten SkillPages menettelee?

Uhri kirjautui SkillPages-sivuille Google tilillään. SkillPages pyysi kirjautumaan uudeleen Facebook tunnuksilla. Näitä molempia sivustoja (ainakin) SkillPages hyödyntää ystäväpiirien e-mail-osoitteiden keräämiseen ja niillä edelleen spämmäämiseen, saadakseen uusia viattomia uhreja sivuilleen.

SkillPages vaikuttaa ennenkaikkea tuollaiselta "hittikeräily" sivustolta jonka "arvoa" kasvatetaan näillä luvattomilla osoiteryöstöillä.

SkillPages esiintyy ikäänkuin ystäväsi kutsuisi sinut SkillPages jäseneksi. En missään tapauksessa suosittele sen jäseneksi ryhtymistä näiden kierojen menetelmien vuoksi, vaikka vahinko ei olisi tämän suurempi. Ainakin se tulee kiusaamaan ystäväpiiriäsi loputtomilla spämmeillään.
En luota edes mailista löytyvään "unsubscribe" linkkiin, enkä muihinkaan spämmin linkkeihin. Kuvatunlaisia hämärämenetelmiä käyttävään sivustoon ei tule luottaa millään tasolla.

Miten sitten estän SkillPagesin toiminnan?

Kun robotti on kerran varastanut sähköpostiosoitteesi, et mahda sille enää muuta kuin estämällä sähköpostin saapumisen tai muuttamalla sähköpostiosoitteesi (en suosittele, koska se saattaa aiheuttaa sinulle muuta harmia). Jos olet ennättänyt kirjautumaan SkillPages sivuille, et mahda sielläkään tälle spämmi-asialle mitään. Robotti on jo ystäviesi osoitteet kerännyt.

Suosittelen lisäämään sähköpostisuodattimeesi SkillPages:n postin ohjautumaan deletointiin tai roskakoriin:
skillpages ja SkillPages
(kirjoitustavalla on väliä, eli varmuuden vuoksi molemmat)

Alla on ThunderBird sähköpostiohjelman viestisuodattimen asetus. Suodatin asetukset ovat aika lailla samanlaisia eri sähköpostiohjelmissa.

Suodatusasetukset löytyvät yleensä yläpalkin kohdasta "Työkalut"




Kirjoita kuvaava suodattimen nimi - esim. "skillpages" ja kirjoita suodatettava termi - tässä lähettäjänimi "skillpages". 

Valitse esim. lähettäjäsuodatus ja aihesuodatus. Nämä kannattaa molemmat tehdä varmuuden vuoksi. Myös tuon nimenkirjoituksen tapa on syytä tehdä kaikilla viestistä ja lähettäjänimistä löytyvillä tavoilla. Aina uutena suodatnehtona tämän saman suodattimen alle + merkillä saat lisää tyhjiä suodatinkenttiä.

Muista asettaa myös tuo "Suoritus" eli mitä viesteille tehdään. JOS viesti saattaa sittenkin olla sinulle tärkeä jossain rajatapauksessa, älä deletoi vaan siirrä se esim. roskaposteihin, joista voit sen tarkastettuasi sitten heittää roskikseen. Tässä asetan "Poista viesti" toiminnon päälle, valitsemalla sen valikosta.

Amazon.com lähettäjänimellä saapunut vaarallinen e-mail-ansa

Ihmeteltäväkseni, väärällä postiosoitteella, saapui Amazonilta
"Payment confirmation for Order# 46280537196"
jota siis en ole tilannut koskaan, saati maksanut, enkä ole Harri Lindroth.

Joku hoppuhousu, avulias tai utelias henkilö saattaisi rynnätä selvittelemään väärällä nimellä saapunutta tilausta klikkailemalla linkkejä tai avaamalla (todennäköisen pommin) eli tuon liitteenä olevan ZIP failin. Se sisältää ilmeisesti viruksen tai hyökkäysohjelman. Eli EI kannata KLIKKAILLA, eikä avata liittettä.

Amazon pyytää ilmoittamaan nimellään saapuvista, epäilyttävistä e-maileista. Ilmoituksen voi lähettää osoitteella: stop-spoofing@amazon.com

Bank Slip ZIP liitepommi

Tämä houkuttelukirje sisältää liitteenään todennäköisen ZIP pommin.
Tuota "bank slip" *****-pdf.zip tiedostoa ei tule avata missään tapauksessa.
"recipien list not shown" teksti kertoo myös, että tämä pommikirje on lähtenyt lukuisalle määrälle muita mahdollisia uhreja. Tökerö yritys jäljitellä henkilökohtaista kirjettä.

Tänään saapui "Nolla-ansa" Zekistä

Otsake lupaa miljoonat muille ja minulle nollan. Ei kovin myyvää tekstiä.
Ilmeinen virhe postitusohjelmistossa.

Kirje sen sijaan lupaa 70 taalaa joka minuutti.
Kiirettäkin pitäisi pitää muuten tarjous raukeaa.
ÄLÄ KUITENKAAN KLIKKAA LINKKEJÄ.
Olen vakuuttunut, että suuri joukko lankeaa tähänkin vipuun. Helpolla rahalla on vankka vetovoima.
Mielenkiintoista ansassa on se, että vastaanottajan paikalla pitäisi lukea minun nimeni mutta sinä lukeekin zmnui@vus.no? Eli ilmeisesti jonkun robotin osoite jonka kautta ja peitenimen alla on lähtenyt massapostitus.
Linkki vie myös PHP ohjelmaan jonka toiminnasta ei ole tarkempaa tietoa. Lähetysosoite ja otsake myös sisältö vaihtelee mutta perusajatus säilyy (lue alla olevasta selostuksesta). Tämän selittää tuo lähettävä softa joka generoi maileja löytämiinsä sähköpostiosoitteisiin. Lähettäjän osoite on myös tekaistu. Todellinen alkuperä näyttäisi olevan Kiinassa.

Tätä spammia on lisävalaistu ainakin  sivulla:
http://justlocal.blogspot.fi/2013/02/alert-conspiracy-why-wallstreet-brokers.html
----------Tämän selitystekstin pomin tuosta osoitteesta----------
 Today I received five emails all with the subject being different. I've never seen a mass mailing (potentially scam, phishing or malware) where the subject has changed in every case but the body of the email remains the same. Changing the subject makes it harder for people to check the internet to see if an email is a potential threat.

The subjects were:
Conspiracy: Why Wallstreet brokers make 2 Million a day
Conspiracy: Why the Banks and Wallstreet wants you to fail
Re: $70 every 60 Seconds...  Really?
You were fooled about Forex and Stock Market
"CheatingTheOdds" - Bank secrets revealed

These emails came from Argentina, Mexico (x2), Chile and Colombia.

The domain derdondetes.com is registered to a company in South China.

The body of the message starts with the following:
"You probably have never even heard about
this before (its that GOOD)
It's a new website that's already
got over 5,000 people making $70 Every 60 Seconds"

There is a link which goes to the domain derdondetes.com. The site is a typical high pitched sales site which I highly suspect is some form of scam and may even be malicious with the potential to infect your computer. I didn't try to find out, but I'd advise others not to click on the link.

I'd highly recommend that you delete these emails.

Minäkin suosittelen deletoimaan tämän kaltaiset e-mailit jos ne pääsevät läpi spämmisuodatuksen koneellesi.

Brand New Median nimellä tullut huijausposti

En ole ollut missään tekemisissä tämän nimisen sivuston kanssa. Sitäpaitsi tuota domainnimeä com päätteellä ei ole koskaan rekisteröity.
Linkki vie osoitteettomalle koneelle (IP-numero) ja epämääräisen nimiseen PHP tiedostoon joka on ohjelma. Polku osoittaa nimelläni varustettuun (nimi on erotettu verkosta kaapatusta sähköpostiosoitteesta = pienet kirjaimet ja piste) kohteeseen joka voi olla esimerkiksi haittaohjelma, jonka tuo shipped.php lähettää koneelleni? En aijo kokeilla mitä tuleman pitää. Älkää kukaan muukaan.

Huomatkaa, että lähettäjänimen: "brandnewmedia.com":n tilalla saattaa olla mikä domannimi tahansa. Luultavasti sitä vaihdellaan hämäyksen vuoksi.

WhatsApp Videoansa on todellinen "loukku"

Olin aivan oikeassa Videoansasta. Tämä uusi emaili osoittaa sen varmasti.
Vaihtuvat osoitteet kertovat epärehellisin aikein lähetetystä viestistä.
Eli VAROKAA tällaista viestiä ja deletoikaa se koskematta linkkeihin.

Lähettäjä on toinen, ja linkkiosoite toinen (kuin edellisessä mailissa). Näin ei toimi rehellinen lähettäjä.

Tässä näkyy vasemmassa alakulmassa vaihtunut kone IP ja tiedostonimi.

WhatsApp Videoansa

Sain tänään tällaisen sähköpostin. En aijo klikata. Ei kannata muidenkaan.
Kaikki viittaa vahingolliseen sisältöön. WhatsApp on suosittu palvelu mutta sinne voi mennä suoraan sen oman osoitteen kautta.  Verkko ei tunne tällaista haittaohjelmanlevitystapaa mutta odotellaan mieluummin tietoja, eikä klikkailla varomattomasti videolinkkejä.

Virustorjunta varoittaa videosta jossa http://www.prepforprep.org/ on oikea järjestö mutta videon linkki vie tunnistamattomaan IP osoitteeseen.

Tässä näkyy tunnistamaton kone IP osoite vasemmalla alhaalla jonne linkki veisi. Linkin päästä voi latautua koneelle mitä tahansa.

Air Canadan vaarallinen lentolipputilausvahvistus

Seuraavanlainen lentolippuvahvistus saapui yllättäen ja tilaamatta.
Verkko tietää kertoa, että linkkejä ei kannata klikata. Linkin takaa on tulossa vahinko-ohjelma. Joko ZIP, DOC tai PDF muodossa.

Jos olet tilannut lippuja Air Canadasta, ota yhteys suoraan heidän omien sivustojensa kautta, ei tämän kaltaisen e-mailin linkestä. Ihan varmuudenkin vuoksi.

Tämä ansa on sikäli ovela, että kaikki linkit vaikuttavat vievän Air Canadan sivuille. Näkyvä osoite on muu kuin piiloitettu osoite joka vie kaapparisivuille.

Kaikkein alinna AirCanadan virallinen selvitys pishing (ID varkaus) yrityksestä heidän osoitteillaan.

-----------------------------------------------------

Dear Customer,


Your order has been processed and your credit card has been successfully charged.

ELECTRONIC TICKET# 820910108
FLIGHT # QB820910108CA
DATE & TIME / MAR 24th, 2014, 12:30
ARRIVING / Toronto
TOTAL PRICE / 675.00 CAD

Please download and print your ticket from the following links :

PDF FORMAT : https://www.aircanada.com/travelInformation/viewOrderInfo.do?xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
DOC FORMAT : https://www.aircanada.com/travelInformation/viewOrderInfo.do?xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

For more information regarding your order, contact us by visiting : http://www.aircanada.com/en/customercare/index.html


Thank you for choosing Air Canada

--------------------------------------------

E-mail ansasta tietoa löytyy verkosta: http://en.wikipedia.org/wiki/IP_address_spoofing
The email is send from the spoofed address “Air Canada <tickets@aircanada.com>” and has the following body:
Fake Air Canada emails with order confirmation contains URL that downloads malicious ZIP file.

--------------AIR CANADAN OMA VIRALLINEN SELVITYS-----------------

===============================================================
Please do not change the Subject Line - Veuillez ne pas modifier le Sujet de ce courriel
===============================================================

Dear Mr. Kuukkanen,

Thank you for your email.

There currently is a phishing scam to obtain personal information and passwords.

If you receive an email that claims to come from Air Canada or Aeroplan and you believe it to be fraudulent, please do not respond and do not click on any links or open attachments contained within the email.

Report suspicious email scams to the RCMP Canadian Anti-Fraud Call Centre 1-888-495-8501 and/or send an email to them at: info@phonebusters.com .

Additional useful information is available on the RCMP site: http://www.rcmp-grc.gc.ca/scams-fraudes/phishing-eng.htm

Thank you for contacting Air Canada.

Yours sincerely,
Vashunti
Customer Relations


-------------------------------------------

Fax ansa

Tässä on jälleen kaksi linkkiä, joihin onnettoman vastaanottajan odotetaan lankeavan. Linkit on poistettu xxxxxxxxxxxxxxx merkinnällä. Uteliaisuus voi kostautua ikävällä tavalla. Älä käytä linkkejä.
Jos ihmettelette kuinka minulle tulee näin paljon näitä "ansoja" - ei niitä tule. Tongin niitä roskapostien joukosta aivan mielenkiinnosta ja varoittavaksi esimerkiksi.
-----------------------------------------------------------------------------------------


 Fax Message [Caller-ID: 514-333-0078]

You have received a 1 page fax at 2014-02-24 05:30:20 CDT.

* The reference number for this fax is min1_did13-1329191075-5143330078-49.

View this fax online, on our website : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Please visit xxxxxxxxxxxxxxxxxxxxxxxx if you have any questions regarding this message or your service.

Thank you for using the eFax service!

Postipakettiansa

Tässä spämmissä yritetään saada e-mailin vastaanottaja linkkiansaan.
linkkien takaa voi koneelle tulla vaikkapa haittaohjelma tai asiaton lasku yms.
Linkit on poistettu xxxxxxxxxxxxxxx merkinnällä
----------------------------------------------------------------------

Dear customer,

We attempted to deliver your item on February 27, 2014 , 05:30 PM.
The delivery attempt failed because nobody was present at the shipping address, so this notification has been automatically sent.
You may arrange redelivery by visiting the nearest Canada Post office with the printed shipping inboice mentioned below.

If the package is not scheduled for redelivery or picked up within 48 hours, it will be returned to the sender.
TRACKING Number: MW421330771CA

Expected Delivery Date: February 27, 2014
Class: Package Services
Service(s): Delivery Confirmation
Status: eNotification sent

An electronic copy of the shipping invoice can be downloaded from our website , in :
PDF format : xxxxxxxxxxxxxxxxxxxxxxx
DOC format : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

To check on the delivery status of your mailing or arrange redelivery please visit the following URL:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Thank you,
© 2014 Canada Post Corporation

*** This is an automatically generated email, please do not reply ***

Tyypillinen ja karkea sähköpostiansa

Tällaiseen viestiin ei tule vastata tai klikata linkkiä!

Viestin tunnistaa helposti muutamasta seikasta ansaksi:

1) Huono suomenkieli (ja sisältö täyttä puppua)

2) Vastausosoite ei olisi tuossa muodossa jos kyseessä olisi INET.fi

3) Myös linkin voi tarkistaa viemällä kursorin linkin päälle (ei saa klikata). Osoite ilmestyy sähköpostiohjelman alanurkkaan (ThunderBird) Lukipa linkissä mitä hyvänsä jos se ei pääty .fi - tunnukseen se ei vie INET:in palvelimelle.

Kaikissa tapauksissa - jos epäilet vastaavaa, viralliselta näyttävää:

tarkista lähettäjäorganisaation verkkosivujen kautta (yhteystiedot/asiakaspalvelu), onko viesti aiheeton vaiko aiheellinen.

-------- Alkuperäinen viesti / Orig.Msg. --------

Aihe:    järjestelmänvalvoja

Päiväys:         Thu, 17 Oct 2013 23:49:09 +0200 (CEST)

Lähettäjä:       Ylläpitäjä Raportti Inet.Fi <mba@mundo-r.com>

Vastausosoite:   mba@mundo-r.com

Hyvä Tilin omistaja,

Ongelma on syntynyt oman web-sähköpostitili.

Määrä Yritä Kirjaudu syntyvät tilisi Toinen IP rikkoo Domain

Sähköposti ® Services sopimuksen ja / tai käyttökäytännöksi.

Tämä voi johtua vahingossa toimintaa teidän, tai tilisi on ehkä

vaarantuu ja käytetään tuottamaan roskapostia.

Siksi sinun tulee tarkistaa web-sähköpostitili välttää irtisanomisesta

Web Mail Account muuten Verkkotunnus sähköpostitilin suljetaan ennen 24 tuntia.

Voit poistaa suspension teidän webmail-tili, Klikkaa tästä

Voit tarkistaa sähköpostitili:

Huomaa, että tilisi turvallisuus säilyy meidän ensisijainen huolenaihe, ja pahoittelemme

mahdollista haittaa palvelun keskeytys on saattanut aiheuttaa.

kiitos

Copyright TeliaSonera 2010. Sonera on TeliaSonera Finland Oyj:n rekisteröimä tavaramerkki.

Uusi "Adobe" sähköpostiansa

E-mailina saapui "Adoben" -nimissä sähköpostiansa. ÄLKÄÄ MISSÄÄN TAPAUKSESSA AVATKO ZIP tiedostoa, siinä on troijjalainen virus.
Kirjeessä lukee:
----------------
Hello.
Thank you for buying Adobe Captivate 6 software.
Your Adobe License key is in attached document below.
Adobe Systems Incorporated.
Liite: LicenseKey_JMK-7297_Adobe.zip (tämä on se pommi)
----------------
Lähettäjään viittaava "engenharia-software" -sivusto löytyy mutta ei ole domain eikä välitä lisenssiavaimia.
http://www.alexa.com/siteinfo/engenharia-software.com
SITÄPAITSI: en ole ostanut ohjelmaa tai tilannut tätä lisenssiavainta koskaan.
---------------
Verkosta löytyy vastaavasta tapauksesta tietoa:
http://blog.mxlab.eu/2011/11/02/email-with-adobe-license-key-attached-contains-a-trojan/
Email with Adobe license key attached contains a trojan
MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Your InDesign CS4 License key”.
The email is send from the spoofed address “Adobe ” and has the following body:
Hello,
Your Adobe CS4 License key is in attached document below. We encourage you to explore its new and enhanced capabilities with these helpful tips, tutorials, and eSeminars.
Thank you for buying Adobe InDesign CS4 software.
Adobe Systems Incorporated
The attached ZIP file has the name License_key_N7853.zip and contains the 47 kB large file License_key.exe.
Please note that the from email address, the subject, content and name of the attached file can change accordingly.
The trojan is known as Troj/Bredo-LK (Sophos), W32/Yakes.F.gen!Eldorado (F-Prot), Downloader.Chepvil (Symantec).
At the time of writing, only 7 of the 43 AV engines did detect the trojan at Virus Total.

SkillPages kalastelee FB tunnuksia

Älä mene SkillPagesin ansaan SkillPages näyttää olevan haittaohjelma. Se myös kalastaa FaceBook tunnareita, eli mikään sen omaksi reksiteröity tunnus ei päästä uudelleen sivuille, joten hermostunut käyttäjä yrittää epätoivoissaan tarjotun FaceBook kirjauksen kautta. Kutsut SkillPageen tulevat myös spämmiperiaatteella. eli niitä ei yleensä lähetä asiakas itse. ELI DELETOIKAA KUTSUT. ÄLKÄÄKÄ KIRJAUTUKO SKILL PAGESiin! EIKÄ missään tapauksessa FaceBook tunnareilla, koska ne ilmeisimmin kalastetaan. SkillPages hyödyntää myös muiden yhteisöpalveluitten osoitteistoja, joten se on todella vaarallinen ja haitallinen. JOS käytitte FB tunnareita SkillPagesiin, vaihtakaa ne heti. Tein itse juuri niin. Levittäkää myös varoitusta tutuillenne.