TYHJÄ KIRJE ON AINA ANSA

Saapui tyhjä kirje otsakkeella "Você ganhou um.".
Porttugalista suomennettuna: "Voitit yhden"
Näitä kirjeitä saapuu nyt useita samanlaisia. Toimintatapa näyttää tutulta.

Tämä on ilmeisesti ansa uteliaille. Kirje saapuu koneelta, joka on Marylandissa USAssa MUTTA osoitteista selviää muutakin. Postittaneesta koneesta löytyy kaikki omistajatiedot, joten on syytä olettaa, että se on kaapattu. Spämmeri tai verkkorikollinen ei paljasta itseään rekisterissä, koska tiedot voi siellä peittää. Mielenkiintoinen "varmenne" osoittaa Venäjälle, jonka voisin uskoa sylttytehtaaksi. 

------------------------------------------------
DKIM-Signature
What is the DKIM signature?
DKIM provides the ability to sign a message, and allows the signer (author organization) to communicate which email it considers legitimate. It does not directly prevent or disclose abusive behavior. DKIM also provides a process for verifying a signed message.

(käännös) DKIM tarjoaa mahdollisuuden allekirjoittaa viesti ja antaa allekirjoittajan (tekijäorganisaatio) ilmoittaa, minkä sähköpostin se pitää laillisena. Se ei suoraan estä tai paljasta loukkaavaa käytöstä. DKIM tarjoaa myös prosessin allekirjoitetun viestin tarkistamiseen.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=learningmailer(.)com;
From: Jakelukeskus <qsfsqf@learningmailer(.)com>  lähettäjä on tämän mukaan Venäjällä

------------------------------------------------------

Saman lainen lähetys saapui jälleen tänään nyt otseke oli: "Aloita painonpudotus nyt!". Lähettäjän kohdalla on: "KetoXplode-hedelmäkarkit<qsfsqf@learningmailer(.)com>". Muuten kirje on tyhjä. Lähettäjä on sama  "learningmailer(.)com". Vaikuttaa venäläisten trollien uudelta massahuijauksesta.

KIRJEESTÄ LÄHTEVÄ LINKKI
(valkoinen pinta on linkkiä. Kirjeessä oleva linkki piilotetaan tagilla "visibility: hidden;". )
"http://go.sparkpostmail2(.)com"
Vie sähköpostipalveluun, joka ei ilmeisesti välitä tarkistaa käyttäjiensä taustoja ja palvelee auliisti spämmereitä ja verkkorikollisia. SparkPost kertoo itsestään:

Who is Sparkpostmail?
About us. SparkPost is the industry's most trusted email optimization platform. SparkPost helps senders reliably reach the inbox with powerful solutions to help them plan, execute and optimize their email programs.

(suomeksi) Mikä on Sparkpostmail?
Mainos. SparkPost on alan luotettavin sähköpostin optimointialusta. SparkPost auttaa lähettäjiä tavoittamaan postilaatikkonsa luotettavasti tehokkailla ratkaisuilla, jotka auttavat heitä suunnittelemaan, toteuttamaan ja optimoimaan sähköpostiohjelmiaan.

"Luotettavasta" mainostekstistä huolimatta, tämä toimija sallii verkkorikollisten toiminnan alustallaan.

-------------------------------------------------

Venäläinen ansapostikampanja jatkuu tiiviinä

Venäjällä valmistellaan uutta cyber-iskua jonnekin, koska nyt saapuu useita samankaltaisia spämmejä. Linkit vievät vaarallisiksi listatuille koneille, joten on syytä olla varovainen jokaisen kirjeen kanssa. Kirjeen tyyli ja "käsiala" on samanlainen, joten kampanjan alkuperästä ei voi erehtyä.
Kirjeissä on yleensä kuvia, tai iso kuva, joka liittyy tai ei liity aiheeseen. Kuvassa on vaarallinen linkki. Samoin tekstissä "click here to remove yourself from our emails list".
MITÄÄN LINKKEJÄ EI SAA KLIKATA
Jos kirjeitä tarkastelee TXT-tilassa, ne ovat usein tyhjiä tai sitten niissä kulkee kymmenittäin jotain samaa lukua tai sähköpostiosotteitasi allekkain.
Otsake saattaa olla koodattu siten, ettei sitä voi kopioida. Kirjasintyyppi on erikoinen.
Vaaralliset domainosoitteet on usein rekisteröity Islantiin, Reykjaviikkiin ja kirje on lähetetty usein Ukrainalaisesta osoitteesta. Venäjällä on vielä osia Ukrainasta hallussaan. Samoin kirje voidaan harhautukseksi lähettää ihan mistä tahansa maasta. Samoin lähettäjäosoitteet on varastettu eri firmoilta, vastaanottajan hämäämiseksi.

-------------------MALLIKSI KIRJEIDEN OTSAKKEITA-----------------------

hannu.kuukkanen Ei tarvitse enää olla sinkku ID:864150
(sähköpostiosoitteestasi kaapattu nimiosa)
Lähettäjä: Sinulla on uusi peli

Laki on muuttunut tänä syksynä. Nyt voit saada lainaa edullisemmin
Lähettäjä: Paras suomalainen laina

Yhdistä lainat ja säästä korkokuluissa | Parhaat lainat sinulle
Lähettäjä: Halpalaina

Varastollamme on (1) pakettia odottamassa kuljetusta sinulle
Lähettäjä: Jakelukeskus

hannu.kuukkanen Hakemuksesi lykätty ID:45446690
(sähköpostiosoitteestasi kaapattu nimiosa)
Lähettäjä: (puuttuu)
Analysoitu tässä blogissa: https://vaarallinenweb.blogspot.com/2022/09/venajan-ansapostia-ukrainalaisesta.html

Älä missaa mahdollisuuttasi voittoon
Lähettäjä: Marie. Asiakaspalvelu

Rekisteröidy tänään ja saat upean tervetuliaisbonuksen!
Lähettäjä: FreeSpins4You

Ei tarvitse enää olla sinkku, hannu.kuukkanen (BEF76978D7)
Lähettäjä: Sinun kirjeenvaihtosi (generoitu osoite=BEF76978D7@bot(.)fi)
Kirje saapuu Omanista mutta kirjeen käsiala viittaa näihin ansaposteihin. Kirjeessä olevan linkin osoite on luokiteltu vaaralliseksi ja spämmeriksi. TXT muodossa kirje esittää massiivisen määrän samaa numerosarjaa. Jos katsoo lähdekoodia, numerosarja saattaa näkyä omana osoitteenasi. Tämä toistuu useissa vastaavissa kirjeissä.

hannu.kuukkanen, Muuta elämäsi NYT (F5143C34BE)
Lähettäjä: Derila
(Osoite on Otavamedian omistamala domannimellä)  F5143C34BE@alibi.fi 

hannu.kuukkanen T.a.r.k.i.s.t.a v.o.i.t.t.o.s.i ! (7EDBA1)
Lähettäjä: Tokmanni
(lyhytosoitepalvelun emailosoite) 3B2623FC717BC@urly(.)fi

hannu.kuukkanen, M.u.u.ta e.l.ä.m.ä.s.i N.Y.T (2784F359B9)
Lähettäjä: Sinulla on uusi peli

hannu.kuukkanen ,muistutus sinulle! <0B2E20>
Lähettäjä: Asiakaspalvelu

 

Näitä otsakkeita on runsaasti erilaisia eri spämmeissä. Ansa on aina sama.

PAKETTIANSA PERUSTA

Tämä kirje kuuluu luokkaan pakettiansat.
Kenellekään ei ole tulossa pakettia olemattomasta jakelufirmasta
mutta raha kelpaa ja henkilötiedot, joiden avulla konna voi jatkaa rikoksia verkossa sinun laskuusi.
MTPE tarkoittaa automaattikäännöstä. Se ei ole mikään jakelufirma.
Computrabajo Perun työllisyysportaali - nimellä ei ole ilmeistä tekemistä osoitten kanssa. Rikollinen on "lainannut" osoitetta, tai konetta Perun työministeriöltä.
MINISTERIO DE TRABAJO Y PROMOCION DEL EMPLEO
(TYÖMINISTERIÖ JA TYÖLLISYYDEN EDISTÄMINEN)

-------------------------------------KIRJE------------------------------------

Valitse toimitus ajankohta !

From	Jakelukeskus (MTPE@trabajo(.)gob(.)pe)
To	hannu.kuukkanen@elisanet.fi
Reply-To	MTPE@trabajo(.)gob(.)pe
Date	Today 08:00

Your email client cannot read this email.
To view it online, please go here:(ÄLÄ koske tähän linkkiin)
https://dpflcnl.mensajeriatrabajo(.)gob(.)pe/display.php?M=
193666&C=60ac54d70ed992c721031d8deeb5653d&S=18&L=6&N=7

To stop receiving these
emails:https://dpflcnl.mensajeriatrabajo(.)gob(.)pe/unsubscribe.php?M=
193666&C=60ac54d70ed992c721031d8deeb5653d&L=6&N=18
(ÄLÄ koske myöskään tähä alimmaiseen linkkiin.
Molemmat linkit vievät rikollisesti anastetun palvelimen tietokantaan)

Powered by Hairyspire

 

PAKETTIANSA

Tällaisiin viesteihin ei tule vastata tai koskea linkkeihin.
Jos odotat pakettia, tarkista ensin, mistä tällainen tai vastaava viesti on peräisin. Se näkyy yleensä lähettäjän osoitteesta MUTTA sekään ei aina takaa mitään. Jos viestissä on linkki, on syytä katsoa viestin lähdekoodista (tai vie kohdistin linkin päälle ÄLÄ KLIKKAA). 

Tämä "näyttäisi" tulevan Keskosta "noreply.k-plus@kesko.fi"  MUTTA ... linki vie rikollisen rakentamaan ansaan.

https://ueshqrdwxkakx.blob.core.windows.net/xqolkavqrdwxkakx/1dqgqcalkdh.html (olen muuttanut osoitetta vahinkojen välttämiseksi. Ansa on Mcrosoftin palvelimella alidomainin alla.)

----------------------------------VIESTI------------------------------------

Varastollamme on (1) pakettia odottamassa kuljetusta sinulle.
From     Jakelukeskus
To     No Reply
Sun, 02 May 2021 09:13:54 +0200
Reply-To     No Reply
Date    Today 10:13    

UNSUBSCRIBE pakettilähetysansa

Virustorjunta alkaa löytää tämän "UNSUBSCRIBE" huijarin lukemattomat kirjeet mutta edelleen niitä näyttää saapuvan harvakseltaan. Tunnistettavan niistä tekee tuo yksi ainoa sana ja siitä lähtevä linkki, sekä järjetön tyylipalettidatamössö (näkyy kirjeen lähdekoodissa) joka on jokaisessa kirjeessä. Myös jokaisen kirjeen tiedostokoko on sama eli 740 KB. Mitä data sitten tekisi koneellasi, jää arvoitukseksi. Tuota dataa voi käyttää luovemminkin, kuin ainoastaan kirjeen stailaamiseen (mikä tässä tapauksessa on täysin absurdi ajatus). Data tuottaisi, tuskin mitään terveellistä tuon PHP ohjelman avustuksella jonne "UNSUBSCRIBE" linkki veisi. Hakkereilla on ohjelmistoja joilla voi yhdistää eri koodinosia ja yhden koodin (linkin) laukaisu saattaa sitten muodostaa jo ennetään koneella olevan koodin kanssa viruksen, jota ei virustorjunta huomaa.

Kone jonne "UNSUBSCRIBE" linkki nyt osoittaa on Turkissa, Istambulissa.
Aikaisemmin se oli samalla windows.net koneella kuin muutkin kaksi linkkiä (kuva ja html - sivu. (HTML sivu saattaa sitten viedä aivan minne tahansa hyppylinkkinä).

Valeosoitteesta lähetetty kirje on lähtenyt palvelimelta, jonka kone IP:n omistaa:
person: Shawn Arcus
address: PO Box 50767, Henderson, Nevada 89074-0767, USA
Hän tuskin on lähettäjä. Huijari piiloittaa itsensä.

----------------------------------KIRJE-----------------------------------

Varastollamme on (1) pakettia odottamassa kuljetusta sinulle.

From     Jakelukeskus  (tämä on lähetetty feikkiosoitteesta joka ei sijaitse missään)
To     sinun.osoitteesin@joku.fi
Date     Today 05:38

[contactphoto]  (kuva on linkitetty windows.net palvelimelta jonne olen roskapostittajasta jo ilmoittanut - vaikutusta ilmoituksella ei näytä olevan, koska spämmäys saa jatkua linkkeineen)
 

UNSUBSCRIBE (Linkin takana on turkkilaisella palvelimella oleva huijarin PHP ohjelma joka saataa olla virus tai muu haittaohjelma)