Näytetään tekstit, joissa on tunniste kokeilu. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste kokeilu. Näytä kaikki tekstit

torstai 3. joulukuuta 2020

ilmainen suoratoistopalvelu on ansa

 Tuossa aiemmassa ansapostiryppäässä oli yksi ainut luettavissa oleva lähettäjä "Suoratoistopalvelu" ja aihe "Haluamme antaa sinulle vuoden ilmaisen kokeilun."
Lähettäjän osoite viittasi hakkeroidun palvelimen alidomainiin.

TÄMÄ ON SIIS ANSA. Älä klikkaa kirjeessä olevaa kuvaa tai "Unsubscribe" linkkiä.
Tämäkin kirje sisältää pääasiassa tyylipalettikoodia jonka toiminnallisuudesta ei ole tietoa, joten kirjettä ei kannata lukea HTML -selain asetuksella. Ei siinä mitään luettavaa olekaan, joten heitä suoraan roskiin.

Tyylipalettiin ei ymmärtääkseni pysty sijoittamaan mitään suoranaisesti vaarallista, mutta ... tällainen kirjerypäs saattaa viitata siihen, että koneelle halutaan ujuttaa jotain koodinosia jotka voidaan sitten koota ja laukaista kirjeen linkin nokassa saapuvalla haittaohjelman osalla? Muistaakseni jotkin kuvakoodiin sijoitetut ansat hyödyntävät tämän tapaista toimintaa. Tämä "suoratoistopalvelu" kirje voisi viitata sellaiseen mahdollisuuteen. Kirjeessä olevan linkin kautta saattaisi tulla ohjelmiston osa joka toimii sitten laukaisijana. Miksi osina? No kiertääkseen virustorjunnan. Kun yksikään osa sellaisenaan ei näytä vaaralliselta, ei virustorjunta osaa sitä tunnistaa.

Puhdistin itse selaimen välimuistin, ihan vain varmuuden vuoksi. Suosittelen jos avaat vastaavia kirjeitä.

windows.net palvelimelle kotiutuneista huijauksista on tehty kattavaa tutkimusta sivustolla:

https://www.zscaler.com/blogs/security-research/abusing-microsofts-azure-domains-host-phishing-attacks

ANSAPOSTIRYPÄS Panamasta

 Panamalaiset spämmerit ovat olleet olan takaa liikenteessä.
Tänä aamuna saapui kahden tunnin sisällä kahdeksan huijauskirjettä. Kaikki vakiohuijausfraasit oli heitetty kehiin. Onkohan epätoivo yllättänyt, kun kukaan ei enää mene halpaan?
Jokaisessa kirjeessä oli ainoastaan yksi PNG kuva ja kolme linkkiä, joista jokainen vei windows.net palvelimelle ja kaikki linkit laukeavat jos klikkaa kuvaa tai "Unsibscribe" linkkiä. En kehoita. Kaikki oli lähetetty "tekaistusta" osoitteesta.


Tarkempaa analyysiä kirjeistä:
Nuo .fi päätteiset - ikäänkuin lähettäjän sähköpostiosoitteet, eivät ole aitoja.
Kirjeet on lähetetty eri palvelimista, joista "FINLANDLESS.XYZ" postattu kirje on kotoisin Panamalaisesta osoitteesta joka on rekisteröity "namecheap" ilmais- tai puoli-ilmaisosoitteina, ilmaiselle palvelimelle.
Rekisteröijän tiedot on peitetty.

Muitakin palvelimia on käytetty: mm. co.uk alidomainia, joka päädomain sijaitsee Minerva House, Edmund Halley Road, Oxford Science Park, Oxfordissa. Ilmeisesti hakkeroitu palvelin.

Jokainen kirje sisältää täsmälleen saman määrän käsittämätöntä tyylipalettikoodia. Onko verkkorikolliset keksineet, miten tyylipaletista voi saada "vaarallisen"???
En kuitenkaan kehoita kokeilemaan.


sunnuntai 23. helmikuuta 2020

Ilmainen HBO tarjous on ansa

Vastaava ansa on saapunut jo kerran aikaisemmin   25.12.2019
Spämmeri on mitä ilmeisimmin sama henkilö. Alla tämän kirjeen lähdekoodi analysoituna.
Otsake: HBO, Haluamme antaa sinulle vuoden ilmaisen kokeilun.(HBO ei jakele vuoden ilmaisia kokeiluja. Ilmainen koejakso on 2 viikkoa). Firman oikea osoite on: hbonordic.com. Telian kautta voi 2-viikon  kokeilujakson tilata myös MUTTA ei tämän emailin kautta, vaan suoraan Telian osoitteesta. telia.fi

------------------------------------KIRJEEN LÄHDEKOODI----------------------------------------

Received: via tmail-2007f.2015-sau for fp6592.200; Sun, 23 Feb 2020 11:38:49 +0200 (EET)
Received: from fe21.mail.saunalahti.fi (fe21.mail.saunalahti.fi [62.142.5.26])
 by be400.mail.saunalahti.fi (Postfix) with ESMTP id BE9B3602C9
 for <fp6592@be400.mail.saunalahti.fi>; Sun, 23 Feb 2020 11:38:49 +0200 (EET)
X-Client-Addr: 95.216.190.62
Received: from Hsinholkes.pw (static.62.190.216.95.clients.your-server.de [95.216.190.62])
 by fe21.mail.saunalahti.fi (Postfix) with ESMTP id BD49220003
 for <hannu.kuukkanen@xxxxxxxxx.fi>; Sun, 23 Feb 2020 11:38:49 +0200 (EET)
Precedence: bulk
X-Mailer: Second Street Mail (https://secondstreet.com) (tämän verkkopalvelua 
tuottavan yrityksen kautta kirje on postitettu. Mahdollisesti yrityksen sähköposti
ohjelmalla luvattomasti)
X-Feedback-ID: b5vsXVNF:1UsLW26FyyZ:batch:2ndStreetMail
From: Suoratoistopalvelu  <1UsLW26FyyZ@telia.fi> (Tämä kirje EI ole Telialta. Huijari 
käyttää tekaistua osoitetta)
To: hannu.kuukkanen@xxxxxxxxxx.fi
Message-ID: <E999Jq1eG@EBlastEngine.com> (tämä osoite kääntyy secondstreetmedia.com:iin)
Date: Sun, 23 Feb 2020 09:38:43 +0100
Subject:  HBO, Haluamme antaa sinulle vuoden ilmaisen kokeilun.
MIME-Version: 1.0
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 7bit

<center>
<a href="https://buff.ly/2usrA2k"> <img src="https://i.imgur.com/cDIcX2b.png"/>
(tässä on kuva, ilmeisesti koko sivun kattava tarjousilmoitus. En itse sitä näe, koska olen 
estänyt kuvat sähköpostiselaimesta. Kuvan Linkki vie piiloitetun osoitteen kautta 
tietokantaan, josta koneellesi saattaa tulla virus tai henkilötietokalastuslomake. 
Kumpaakaan et halua koneellesi)
 
---------------------------------------------------------------------------- 


Nämä osoitteet löytyvät secondstreetmedia.com:in edelleenohjauksina.
Tälle domainnimelle ei löydy omistajatietoja. 
Näistä vasemmalla olevista osoitteista on odotettavissa lisää ansoja, spämmiä.

upickem.net2019-12-11http://secondstreetmedia.com
eblastengine.com2019-12-03http://secondstreetmedia.com
upickem.com2019-12-03http://secondstreetmedia.com
secondstreetmail.com2019-11-24http://secondstreetmedia.com