LIITE - TIEDOSTO - ANSAT

"Verkon vaarat” – sivulla muistutettiin liiteansoista, joten otan myös tässä blogissa aiheen uudelleen esille.

Jokainen verkossa liikkuva liitetiedosto on potentiaalinen virus. On syytä suhtautua varauksella MYÖS liitetiedostoissa esiintyviin linkkeihin. Vaikka liite saapuisi kaverisi osoitteesta, liite voi olla vaarallinen, koska kaverisi osoite, tai verkkoprofiili, saattaa olla ”lainattu” = varastettu, rikolliseen käyttöön.

Viruksia (haittaohjelmia) saattaa olla kaikissa liitetiedostoissa, jotka pystyvät pitämään sisällään toimivia tai aktivoitavissa olevia ohjelmia.
Sellaisia ovat mm.: PDF, WORD,EXCELL,ZIP, EXE (EXE on kaikista vaarallisin liite, koska se on yhdellä klikkauksella aukeava ohjelma = ilmeinen virus).
Erilaisia tiedostonpakkausversioita ovat myös RAR-, 7z- ja CAB – tiedostonimipidenteillä varustetut liitteet.

JOS haluat varmistaa, että et itse jaa viruksia liitetiedostoissasi, käytä esimerkiksi asiakirjoissa TXT tai RTF tekstimuotoja, jotka eivät sisällä ohjelmia. PDF tiedoston voi korvata JPG kuvatiedostolla, tai suojata PDF:n omilla suojaustavoilla (lue suojausohjeet Adoben sivulta https://helpx.adobe.com/fi/acrobat/using/choosing-security-method-pdfs.html). EXCELL taulukoita voit myös muuttaa kuviksi, jos niitä ei tarvitse käsitellä edelleen.

KAIKISSA TAPAUKSISSA on syytä skannata virustorjuntaohjelmalla jokainen koneellesi saapuva liitetiedosto (tulivatpa ne kavereiltasi tai eivät). Yleisimmillä virustorjuntaohjelmilla skannaus toimii osoittamalla kohdistimella liitetiedostokuvaketta, jolloin oikealla hiirinäppäimellä (PC) aukeaa valikko josta klikkaat ”tallenna kohde levylle”. Tallenna tiedosto kansioon, josta löydät sen ja kansiossa osoita liitekuvaketta kohdistimella, klikkaa oikeaa näppäintä (PC) ja valitse ilmestyvästä valikosta ”tarkista virusten varalta”. Virustorjuntaohjelmilla saattaa olla aukeavassa valikossa myös oma linkki virustarkastukseen. Mm. MalwareBytes ilmoittaa omalla nimellään virusskannauksen.

VAROITUS! Kannattaa myös päivittää kaikki ohjelmansa ja laiteajurit VAIN luotettavista verkko-osoitteista.
Ponnahdusikkunoiden linkit voivat viedä hakkerin virusvarastolle.
Erilaisia ”ajureita” saatetaan vaatia asennettaviksi tai päivitettäviksi esim. videotiedostojen ja kuvatiedostojen latauksen yhteydessä. Näitä kehotuksia ei tule noudattaa. Kyseessä saattaa olla viruksella saastutettu ohjelma tai itse virus. Virus saatta olla nimetty "lähes" oikean ajurin nimellä.

Liiteansakuvaus:
https://vaarallinenweb.blogspot.com/2019/02/tassa-kirjeessa-on-liiteansa.html
Toinen vastaava:
https://vaarallinenweb.blogspot.com/2015/04/kaksi-uutta-doc-liitetiedostohyokkaysyr.html
Kolmas esimerkki:
https://vaarallinenweb.blogspot.com/2019/01/seuraava-pommikirje-tuli-heti-perassa.html
DHL pakettiansa liitteellä:
https://vaarallinenweb.blogspot.com/2018/03/dhl-spammeja-jallen-liikkeella.html
Toinen DHL:n nimissä saapunut ansa:
https://vaarallinenweb.blogspot.com/2019/08/dhln-nimissa-tullut-kavala-ansa.html
Ja pommi-Faxi liitteenä:
https://vaarallinenweb.blogspot.com/2015/03/tuntematon-e-fax-venajalta-ei-innosta.html
Mm. käytännön ohjeita miten tunnistaa kirjeen alkuperä helposti:
https://vaarallinenweb.blogspot.com/2016/08/dhl-liite-sisaltaa-viruksen.html
WORD liiteansa:
https://vaarallinenweb.blogspot.com/2015/07/word-liiteansa-tuotteesta-jota-ei-ole.html
Virustarkistusteksti kirjeessä on hämäystä:
https://vaarallinenweb.blogspot.com/2018/02/virustarkistettu-liite-joka-on-virus.html
ZIP liite-virus:
https://vaarallinenweb.blogspot.com/2015/12/frieda-forbes-courier-service-liite.html
PDF liite tiedonkeruuansa:
https://vaarallinenweb.blogspot.com/2018/09/epaluotettava-yritystietojen-keraaja.html
Maksuhuomautusliite joka on virus:
https://vaarallinenweb.blogspot.com/2021/08/maksuhuomautuksen-liitteessa-on-virus.html
HTML liite voi sisältää linkitettyjä tai automaattisia ohjelmakutsuja (myös viruksia):
https://vaarallinenweb.blogspot.com/2022/05/one-drive-liiteansa-joka-ei-ole-lasku.html

Kuvatiedosto ei normaalisti voi sisältää virusta mutta sekin olisi mahdollista.

Iltalehti kertoi vuonna 2016 sosiaalisen median ystävän nimellä saapuvasta viruksesta kuvatiedostossa: "Viesti sisältää svg-kuvatiedoston, mikä ei kuitenkaan ole ihan perinteinen kuva. Svg-muoto nimittäin mahdollistaa koodinpätkän lisäämisen kuvaan. Näin ollen kuvan avaaja ajaa samalla myös haitallisen koodinpätkän."
https://www.iltalehti.fi/digi/a/201611212200030142

Jälleen Google-ansa DOCX liitteineen

Näitä tipahtele silloin tällöin. Ei saa klikkaillalinkkeihin, EI palauttaa lähettäjälle tai avata liitetiedostoja!.
Tämäkkään ei tule Googlesta ja vastauskin menisi venäläiseen ilmaisosoitteeseen jonka omistajasta ei ole tietoja.
Liitetiedostoihin EI SAA KOSKEA. DOCX-päätteiset tiedostot saattavat sisältää ohjelman eli tässä tapauksessa ilmeisesti haitallisen viruksen.

DHL:n yritysgrafiikalla "kuvitettu" pommikirje

Tällä kertaa on menty askel pidemmälle. Enää et voi päätellä suoraan lähettäjän osoitteesta, mistä kirje on peräisin. Tämä kirje on ikäänkuin lähetetty DHL:n e-mailista. MUTTA näin ei asian laita ole. Liitteenä on kaiken lisäksi VIRUS tai HAITTAOHJELMA. Älä koske liitteeseen.

Jos odotat DHL lähetystä:
1) DHL lähettää suomaliselle asiakkaalleen suomenkielisen viestin.
2) voit tarkistaa lähetyksen aitouden DHL:n sivulta tuolla lähetyskoodilla. Jos koodi ei anna hakutulosta, kirje on pommi. ÄLÄ missään tapauksessa avaa PDF liitetiedostoa.

Lue edelleen analyysi kirjeen alapuoleta (mm. kirje on kuva, eikä todellinen kirje)

Kirjeen headerin analyysiä alla:

Received: from [127.0.0.1] (port=57502 helo=ganesha.w2imailservers.net)
    by ganesha.w2imailservers.net with esmtpa (Exim 4.91)
    (envelope-from <notify@dhl.com>)

TÄMÄ KOHTA KERTOO, ETTÄ KIRJEEN DHL OSOITE ON SAATU "PEILAAMALLA" SE DHL:N PALVELIMELTA (envelope)

X-Get-Message-Sender-Via: ganesha.w2imailservers.net: authenticated_id: surbhit@mrscorporation.com
X-Authenticated-Sender: ganesha.w2imailservers.net: surbhit@mrscorporation.com
AUTENTIKOITU LÄHETTÄJÄ ON mrscorporation.com
MRS:N VERKKOSIVU KERTOO: We are presently delivering services to a portfolio of public and private sector organizations. With office in Delhi and branch associates in Ahmedabad, Bhopal, Chandigarh, etc., we are fast developing a pan-India reach. ELI KIRJEEN TODELLINEN LÄHETTÄJÄ ON JOSSAKIN PÄIN TÄTÄ ORGANISAATIOTA TAI TODENNÄKÖISEMMIN TÄMÄN ORGANISAATION JOKU KONE ON KAAPATTU

LIITETIEDOSTO "PDF" PÄÄTTEELLÄ VOI SISÄLTÄÄ HAITTAOHJELMAN
Content-Type: application/pdf;
 name=DHL_AWB#280991007.pdf

.PNG KERTOO, ETTÄ KYSEESSÄ ON KUVA. TUO YLLÄ OLEVA DHL:N KIRJE ON KUVANA. KIRJE EI SIIS OLE MYÖSKÄÄN AITO.
Content-Disposition: inline;
 filename=Dhl.png;

KOSKA LINKIT EIVÄT AKTIVOIDU KOMMENTEISSA siirrän kommentissani mainitsemat linkit tänne artikkeliin:

Aiheesta kirjoitti MikroBitti:
https://www.mikrobitti.fi/uutiset/haittaohjelma-hyokkaa-nain-tietosi-varastetaan/ff34ef99-4f66-359c-b3ba-5332ab3e9b30
IS kommentoi 8.8.2001 DigiTodayn artikkelia, joka varoittaa löytyneestä PDF viruksesta:
https://www.is.fi/digitoday/art-2000001346106.html

Natalia Openland tactical-firmasta "lähetti" liite-viruksen?

Tämän allaolevan kirjeen mukana saapui liitteenä DOC - tiedosto jossa oli haittaohjelma. Virustorjuntani poisti liitteen mutta julkaisen tämän tiedotteen varoitukseksi niille, joilla ei ole yhtä tehokasta virustorjuntaa.
Asiallisenkaan näköisen firman linkkeihin (tai minkään kirjeen liitetiedostoihin) ei tule koskea, mikäli ei ole 100% varma liitetiedoston alkuperästä.

Tämäkin firma löytyy ja domannimitiedustelu osoittaa sen olevan asiallisen yrityksen, kuten firman verkkosivutkin osoittavat MUTTA, tämä kirje ei olekaan lähetetty tästä firmasta, vaan sen on lähettänyt verkkorikollinen joka on liittänyt sen liitteeksi DOC tiedostoviruksen. Kirje on saapunut "server.murphioncvs.com" palvelimen kautta ja sen lähettäjäksi on "peilattu"  italialaisen "openland tactical.com" domannimi. "murphioncvs.com" domannimeä ei enää ole onneksi rekisterissä lähettelemässä pommikirjeitä.

Jos jonkin mainoskirjeen tuote kiinnostaa, mene verkon kautta firman omille sivuille (ei kirjeen linkeistä) ja tutustu siellä tuotteisiin. Google haun kauttakin on turvallisempaa, kuin suoraan e-mail linkeistä.Selainten turvaohjelmat saattavat varoittaa joistakin sivuita ja varoitus kannattaa ottaa vakavasti.

-----------------------------KIRJE------------------------------------- 

Otsake:

NEW ORDER TRACKSUITS model PREMIUM / 2T SPORT
Lähettäjä: Natalia

Hello,

hereby to place a new URGENT order for 25 pcs of the suit as samples,

5pcs for each size. Attached you can find the picture of the exact model.

We need to send this samples to our client in order to take their measurements and let us have the exact division for each size.

We inform you that the hole order is for 1170pcs, as soon as the size identification will be done.

Looking forward to your reply.

Many thanks

Best regards

Natalia Vitoroi

Openland Tactical S.r.l.

Via Barcis 1/E

33170 Pordenone ( PN ) – Italy               

P.IVA / VAT Number 01804490934

Tel. +39 0434 551292

    

Le informazioni contenute in questo messaggio sono riservate e confidenziali ed è vietata la diffusione in qualunque modo eseguita. Qualora Lei non fosse la persona a cui il presente messaggio è destinato, La invitiamo ad eliminarlo e a non leggerlo, dandocene gentilmente comunicazione.  Rif. D.L. 196/2003

This e-mail (including attachments) is intended only for the recipient(s) named above. It may contain confidential or privileged information and should not be read, copied or otherwise used by any other person. If you are not the named recipient, please contact us and delete the e-mail from your system. Rif. D.L. 196/2003.

---------------------------------------------------------------------------------

Identiteettivarkaus

Hesarissa oli (24.10.16) kattava artikkeli, mitä identiteettivarkaus tarkoittaa ja miten niitä tehdään. Toimittaja kirjoitti tosin vain parin varottavan lauseen verran verkossa esiintyvästä identiteettiurkinnasta. Verkko on nykyään merkittävin urkintakanava.

Verkkourkinnan tyyppejä on muutamia: suorat urkinnat, joissa pyritään saamaan erilaisin tekosyin asiakkaan henkilötiedot (myös henkilötunnus) rikolliseen käyttöön. Sellaisia ovat esim. pankkien kaltaisiksi naamioidut ja pankkien nimissä lähetetyt sähköpostit. Pankkien tietoturvan varmistamiseksi naamioidut tietokalastusyritykset ovat yksi katalimmista keinoista.

Heppoisemmilta vaikuttavat kirjeet ovat ”palkinnot” ja ”perinnöt” ja vanhat kunnon ”nigerialaiskirjet”, joissa suuri rahasumma vaatii hieman rahallista avituspanosta . Nämä eivät välttämättä ole ID varkausyrityksiä vaan niissä tähdätään useimmin suoraan rahastukseen. Ohessa saattaa mennä myös henkilötiedot rikolliseen jatkokäyttöön..

Kavalimmat ansat ovat kuitenkin ne joissa istutetaan asiakkaan koneelle vakoiluohjelma. Tällaisia ovat mm. ”naisseuratarjoukset” (joita nyt tuntuu tulvivan sähköposteihin linkitettyine pornokuvineen). Pornokuvalinkit saattavat esittää pornokuvan MUTTA pornokuvan yhteydessä latautuu koneellesi vakoiluohjelma tai muu haittaohjelma. Sellainen tirkistely tulee asiakkaalle kalliiksi.  Mm. pankkitunnuksia voidaan kalastella tällaisilla ohjelmilla (koneeltasi suoraan) henkilötietojesi lisäksi. Kalastetut tiedot ohjelma lähettää koneeltasi rikollisille.

Näitä kirjeitten liitepommeja on monessa muodossa. Joko suorina liitetiedostoissa olevina, tai linkkien kautta latautuvina haittaohjelmina. ÄLÄ siis koskaan koske e-mailin mukana tuleviin liitteisiin tai linkkeihin JOS kirje tulee tuntemattomalta taholta, lähettifirmalta, postilta, pankilta, poliisilta / viranomaiselta, tai muuten ”merkittävältä taholta" jonka (kirjeen) aitoutta et pysty itse varmistamaan. Sinulle tärkeältä vaikuttavan viranomaisasian voit tarkistaa suoralla yhteydenotolla (puhelin tai todellisen, virallisen verkkosivun palautelomake), ei koskaan suoralla linkillä sähköpostista. ÄLÄKÄ myöskään avaa mitään liitteitä ellet ole 100% varma, että liite tulee luotettavalta taholta.

Liitteitten ongelma on, että vaikka liitetiedosto tulisi kaveriltasi ja jos sen muoto on (mm. DOC, DOCX, PDF, ZIP), se voi mahdollistaa viruksen kulkeutumisen sinun koneellesi. Liitetiedostojen virukset voivat olla aikapommeja. Ne saattavat lähettää ID tietojasi verkkoon rikollisosoitteisiin tai hävittää koneesi kovalevyn tiedot kun aikapommin vitkalaukaisin niin sitten päättää toimia. Näiden ohjelmien joukossa on myös kiristysohjelmia jotka uhkaavat hävittää tiedostosi jollet maksa tiettyä summaa ohjelman kehittäjälle.

Verkkosivustoilla on vastaavia ansoja, joten on aina syytä varoa hallitsematonta surffailua epämääräisillä sivustoilla. Yksi väärä linkkivierailu voi olla kohtalokas ja tuoda koneellesi haittaohjelman, yksi harkitsematon ilmaisohjelmistolataus voi tehdä saman. Myös ilmaisohjelmistojen kylkiäisinä voit saada haittaohjelman tai vakoiluohjelman.

Näitä ongelmia voidaan vähentää asentamalla koneelle tehokas, automaattisesti päivittyvä sähköpostin spämmisuodatus ja virustorjunta joka ulottuu verkkoselaukseen asti. Parhaita ovat – ikävä kyllä – ne maksulliset.
Virustorjuntaohjelmakaan ei pysty estämään vaarallisen ohjelman asennusta JOS itse annat ohjelmalle asennusluvan, eli hyväksyt asennuksen. Näin tapahtuu juuri ilmaisohjelmistoja asennettaessa.

Yksi identiteettivarkauden hyödyntämisen muoto on haltuun saadun hetun (henkilötunnus) kautta suoritettavat  rikokset. Nämä menevät yritysten ja yhteisöllisten toimijoiden huolimattomuuden piikkiin. Mitään toimenpiteitä tai maksuja EI tule voida suorittaa pelkän nimi ja hetu-tiedon perusteella. Henkilö tulee voida identifioida luotettavasti kasvokkain  kuvallisen henkilöllisyystodistuksen avulla tai verkossa pankkitunnistuksella. Myös pankkikortin (luottokortin) numero on aika löperö peruste myydä jotakin tarkemmin tunnistamattomalle asiakkaalle. Kannattaa välttää näin toimivia verkkokauppiaita. ID varkaat kalastelevat näitä tietoja muiden henkilötietojen ohella.

 Linkki Hesarin artikkeliin (vie varmasti HS:n sivuille eikä haittaohjelmistoon). Jos kuitenkin – aivan terveesti, epäilet linkkiä, mene Hesarin omien verkkosivujen kautta artikkeliin nimellä ” Identiteettivarkauksista on kirjattu tuhansia rikosilmoituksia”.

http://www.hs.fi/kotimaa/a1477187650965