Kirje saapuu ilmaisosoitteesta "moha.noma97(@)outlook.com" ja paluuposti menisi samaan ilmaisosotteeseen. Tämä osoite ei ole luotettava.
Linkin osoite on merkitty spämmiksi ja merkitty mustalle listalle. ÄLÄ KOSKE LINKKIIN.
Et ole jäsen, enkä ole minäkään. Huijari yrittää saada sinut ansaan.
Näitä seurustelu- ja seksipalstakirjeitä satelee.
Kyseessä on ansatyyppi, joka ilmeisesti tuottaa hyvän saaliin verkkorosvoille.
Tämän kirjeen kaikki linkit vievät yhteen ja samaan, 100% VAARALLISEKSI luokiteltuun verkko-osoitteeseen.
Kirje saapuu: Busanista, Etelä-Koreasta.
Otsake: 100% ILMAINEN
ÄLÄ KLIKKAA!
---------------------------------KIRJE---------------------------------------
Jokainen kirjeen linkki vie samaan, lyhennepalvelun "bit.ly" piiloittamaan, vaarallisksi luokiteltuun verkko-osoitteeseen. (allaoleva linkki on tehty tässä tekstissä vaarattomakksi).
[1] https://bit(.)ly/Villisuhde-Ilmaiseksi
Huijarit ovat havainneet, että deittailu kiinnostaa ihmisiä ja sen varjolla heitä on helppo houkutella ansaan. Kirje on lähetetty Outlookin ilmaisosoitteesta Singaporesta. Kirjee sisältö viittaa vanhaan sylttytehtaaseen, nyt laimennetuin sanamuodoin. lmeisesti härskit viittaukset Ukrainan pakolaisiin on huomattu olleen liian läpinäkyvää.
Tässä tapauksessa peitteeksi on valjastettu todellinen treffipalvelu, jonka nimissä huijari toimii. Osoite ei kuitenkaan vie oikeille deittisivuille, vaan rikollisen virittämään ansaan.
Oikeakaan Deittisivusto tuskin on suomalainen, vaikka niin väittää. Kirjautumissivu on kielipuolinen ja tökerösti suomalaistettu.
Tämänkin huijauskirjeen (piiloitettu) linkki vie verkkoturvayritysten vaaralliseksi luokittelemaan osoitteeseen.
Jokaiseen treffipalstamainokseen on syytä suhtautua syvällä varauksella. Kirjautumisen yhteydessä, voit menettää henkilötietosi rikollisille, tai saada viruksen koneellesi.
--------------------------------KIRJE-------------------------------
------------------------------------------------------------------------
Kirjeen koko teksti:
------------------------------------------------------------------------
Finland Friends Date- KF (varastettu nimi) on jännittävä ja täysin ILMAINEN Suomi-treffipalvelu, joka mahdollistaa menestyneiden kansainvälisten sinkkujen yhdistämisen. Tapaa naimattomia suomalaisia lähialueellasi KF (100 % ilmainen)
Finland Friends Date -jäsenemme ovat koulutettuja, monikulttuurisia, monipuolisia (sekä miehiä että naisia) ja heitä yhdistää intohimo elämään, ruokaan ja matkustamiseen.
Ilmoittaudu mukaan ja tapaa samanhenkisiä suomalaisia, joilla on yhteisiä kiinnostuksen kohteita, kuten "mökki", lomamökki tai pulahtaminen järveen saunan jälkeen ja lopuksi makkaralla ja oluella. Kaikki kliseet syrjään, tämä on totta; todella ilmainen suomalaiset sinkkutreffit ja henkilökohtainen Suomi ilman kustannuksia.
Suomalaisina me kaikki juomme enemmän kahvia päivässä kuin kukaan muu ja tämä on taas hyvä paikka tapailla kupillinen kahvia suomalaissinkkujen kanssa.
Yli 80 % yhteisöstämme kirjautuu sisään päivittäin. Lisäksi ihmiset reagoivat sähköposteihisi, hymyihisi ja chat-pyyntöihisi, ja on todella hauskaa kommunikoida tällä Finland Dating -sivustolla.
Tuossa aiemmassa ansapostiryppäässä oli yksi ainut luettavissa oleva lähettäjä "Suoratoistopalvelu" ja aihe "Haluamme antaa sinulle vuoden ilmaisen kokeilun."
Lähettäjän osoite viittasi hakkeroidun palvelimen alidomainiin.
TÄMÄ ON SIIS ANSA. Älä klikkaa kirjeessä olevaa kuvaa tai "Unsubscribe" linkkiä.
Tämäkin kirje sisältää pääasiassa tyylipalettikoodia jonka toiminnallisuudesta ei ole tietoa, joten kirjettä ei kannata lukea HTML -selain asetuksella. Ei siinä mitään luettavaa olekaan, joten heitä suoraan roskiin.
Tyylipalettiin ei ymmärtääkseni pysty sijoittamaan mitään suoranaisesti vaarallista, mutta ... tällainen kirjerypäs saattaa viitata siihen, että koneelle halutaan ujuttaa jotain koodinosia jotka voidaan sitten koota ja laukaista kirjeen linkin nokassa saapuvalla haittaohjelman osalla? Muistaakseni jotkin kuvakoodiin sijoitetut ansat hyödyntävät tämän tapaista toimintaa. Tämä "suoratoistopalvelu" kirje voisi viitata sellaiseen mahdollisuuteen. Kirjeessä olevan linkin kautta saattaisi tulla ohjelmiston osa joka toimii sitten laukaisijana. Miksi osina? No kiertääkseen virustorjunnan. Kun yksikään osa sellaisenaan ei näytä vaaralliselta, ei virustorjunta osaa sitä tunnistaa.
Puhdistin itse selaimen välimuistin, ihan vain varmuuden vuoksi. Suosittelen jos avaat vastaavia kirjeitä.
windows.net palvelimelle kotiutuneista huijauksista on tehty kattavaa tutkimusta sivustolla:
Panamalaiset spämmerit ovat olleet olan takaa liikenteessä.
Tänä aamuna saapui kahden tunnin sisällä kahdeksan huijauskirjettä. Kaikki vakiohuijausfraasit oli heitetty kehiin. Onkohan epätoivo yllättänyt, kun kukaan ei enää mene halpaan?
Jokaisessa kirjeessä oli ainoastaan yksi PNG kuva ja kolme linkkiä, joista jokainen vei windows.net palvelimelle ja kaikki linkit laukeavat jos klikkaa kuvaa tai "Unsibscribe" linkkiä. En kehoita. Kaikki oli lähetetty "tekaistusta" osoitteesta.
Tarkempaa analyysiä kirjeistä:
Nuo .fi päätteiset - ikäänkuin lähettäjän sähköpostiosoitteet, eivät ole aitoja.
Kirjeet on lähetetty eri palvelimista, joista "FINLANDLESS.XYZ"
postattu kirje on kotoisin Panamalaisesta osoitteesta joka on rekisteröity "namecheap" ilmais- tai puoli-ilmaisosoitteina, ilmaiselle palvelimelle.
Rekisteröijän tiedot on peitetty.
Muitakin palvelimia on käytetty: mm. co.uk alidomainia, joka päädomain sijaitsee Minerva House, Edmund Halley Road, Oxford Science Park, Oxfordissa. Ilmeisesti hakkeroitu palvelin.
Jokainen kirje sisältää täsmälleen saman määrän käsittämätöntä tyylipalettikoodia. Onko verkkorikolliset keksineet, miten tyylipaletista voi saada "vaarallisen"???
En kuitenkaan kehoita kokeilemaan.
Received: via tmail-2007f.2015-sau for fp6592.200; Sun, 23 Feb 2020 11:38:49 +0200 (EET) Received: from fe21.mail.saunalahti.fi (fe21.mail.saunalahti.fi [62.142.5.26]) by be400.mail.saunalahti.fi (Postfix) with ESMTP id BE9B3602C9 for <fp6592@be400.mail.saunalahti.fi>; Sun, 23 Feb 2020 11:38:49 +0200 (EET) X-Client-Addr: 95.216.190.62 Received: from Hsinholkes.pw (static.62.190.216.95.clients.your-server.de [95.216.190.62]) by fe21.mail.saunalahti.fi (Postfix) with ESMTP id BD49220003 for <hannu.kuukkanen@xxxxxxxxx.fi>; Sun, 23 Feb 2020 11:38:49 +0200 (EET) Precedence: bulk X-Mailer: Second Street Mail (https://secondstreet.com) (tämän verkkopalvelua tuottavan yrityksen kautta kirje on postitettu. Mahdollisesti yrityksen sähköposti
ohjelmalla luvattomasti) X-Feedback-ID: b5vsXVNF:1UsLW26FyyZ:batch:2ndStreetMail From: Suoratoistopalvelu <1UsLW26FyyZ@telia.fi> (Tämä kirje EI ole Telialta. Huijari
käyttää tekaistua osoitetta) To: hannu.kuukkanen@xxxxxxxxxx.fi Message-ID: <E999Jq1eG@EBlastEngine.com> (tämä osoite kääntyy secondstreetmedia.com:iin) Date: Sun, 23 Feb 2020 09:38:43 +0100 Subject: HBO, Haluamme antaa sinulle vuoden ilmaisen kokeilun. MIME-Version: 1.0 Content-Type: text/html; charset=utf-8 Content-Transfer-Encoding: 7bit <center> <a href="https://buff.ly/2usrA2k"> <img src="https://i.imgur.com/cDIcX2b.png"/>
(tässä on kuva, ilmeisesti koko sivun kattava tarjousilmoitus. En itse sitä näe, koska olen
estänyt kuvat sähköpostiselaimesta. Kuvan Linkki vie piiloitetun osoitteen kautta
tietokantaan, josta koneellesi saattaa tulla virus tai henkilötietokalastuslomake.
Kumpaakaan et halua koneellesi)
----------------------------------------------------------------------------
Nämä osoitteet löytyvät secondstreetmedia.com:in edelleenohjauksina.
Tälle domainnimelle ei löydy omistajatietoja.
Näistä vasemmalla olevista osoitteista on odotettavissa lisää ansoja, spämmiä.
| upickem.net | 2019-12-11 | http://secondstreetmedia.com | |||||||||||||||
| eblastengine.com | 2019-12-03 | http://secondstreetmedia.com | |||||||||||||||
| upickem.com | 2019-12-03 | http://secondstreetmedia.com | |||||||||||||||
| secondstreetmail.com | 2019-11-24 | http://secondstreetmedia.com |