Näytetään tekstit, joissa on tunniste malicious. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste malicious. Näytä kaikki tekstit

tiistai 11. tammikuuta 2022

Miksi info@vaiddzed.cc osoitetta ei saa plokattua verkosta?

Neljä verkon turvallisuuspalvelua ilmoittaa osoitteen vaaralliseksi ja yksi epäilyttäväksi.
Kuitenkin roskapostia saapuu Kookossaarten osoitteen nimissä jatkuvalla syötöllä.

Johtuneeko siitä, että se on "vain peiteosoite", joka ei ehkä olekaan se todellinen lähettäjä? Osoite "info@vaiddzed.cc" on luokiteltuvaaralliseksi, sen pitäisi riittää plokkaukseen.
Vapaan tekstin avulla on mahdollista suodattaa kirjeitä vaivatta. Jos ei halua plokata koko kookossaarelaista ulos, voi sanayhdistelmällä plokata vain nämä haittapopstit. Kirjeiden header sisältää paljon samaa materiaalia, vaikka huijarin "mainos"-sisällöt vaihtelevat.

Namesilo, joka on rekisteröinyt tuon domainnimen, ei ole kiinnostunut kontrolloismaan mihin osoitetta käytetään.

Osoitetta hostaa (ylläpitää) Xeon LLC, Venäjälle Moskovaan reksieröity palveluntarjoaja. Yritykselle ei löydy haulla verkkosivua. Xenon on prosessorimerkki. LLC (lyhenne sanoista Logical Link Control) tai (A limited liability company) eli osakeyhtiö eli nimi ei oikeasti kerro mitään.
Olen yrittänyt myös saada venäläisen palveluntarjoajan plokkaamaan heidän palvelussaan vaikuttavia domainnimiä mutta toistaiseksi tuloksetta.

Tuntuu siltä, että suodatusta postipalveluiden tasolla ei myöskään olla halukkaita tekemään.Laiskuudestako? Jos niin, niin se laiskuus saattaa tulla kansantaloudellisesti kalliiksi.Se osa kohderyhmästä, joka näihin ansoihin lankeaa, ei ymmärrä ostaa suodinpalveluita, eikä itse osaa niitä selaimiinsa laittaa.
On syytä tällä taustalla pohtia, esimekiksi, mihin virusasennuksilla haltuunotettuja koneita aijotaan käyttää. Tällainen maassapostitus tuskin osuu täysin tyhjään.

Viimeisinkin e-mail saapui edelleenkin venäläiseltä koneelta. IP osoitteen omistaja on Pietarin seudulta, kone on paikallistettu Moskovan seudulla.

X- alkuisia (vapaasisältöisiä otsakkeita) on mm. MailChimp ohjelmasta, sekä sen mahdollisesti käyttämästä Hartwallareenan-sähköpostilistasta.
"Custom X-Headers page to create the X-Header names for your emails. You may create up to four x-headers for your email."
Headerin mukann alkuperäisin postileima olisi:  for <Janne.XXXXXXXX@netti.fi>; Fri, 27 Aug 2021 10:09:30 +0000 (GMT).
Yksityishenkilönimiä on headerissa muitakin. Mielenkiintoista on jälleen tuo päivämäärä. Tämä X-headersisältö vaikuttaa kopioidun vakiohämäyksenä jokaiseen kirjeeseen.

Jokaisen kirjeen linkit vievät lyhennettyyn (yleensä bit.ly) -osoitteeseen joka on vaaralliseksi luokitellussa palvelimessa. Olen kirjoittanut itse kirjeistä enemmän artikkelissa: https://vaarallinenweb.blogspot.com/2022/01/roskaposti-ryoppy-venajalta-jatkuu.html

Tein kirjeen headerista kommentoidun selvitykset omana tulkintanani. Jos joku on eri mieltä, kertokaa ihmeessä.

----------------------------KOMMENTOITU-HEADER----------------------------

Received: via tmail-2007f.2015-sau for fp6592.200; Tue, 11 Jan 2022 05:11:41 +0200 (EET)

Received: from vs24.mail.saunalahti.fi (vs24.mail.saunalahti.fi [62.142.117.201])

                             by be400.mail.saunalahti.fi (Postfix) with ESMTP id A75916006B

                             for <fp6592@be400.mail.saunalahti.fi>; Tue, 11 Jan 2022 05:11:41 +0200 (EET)

Received: from vs24.mail.saunalahti.fi (localhost [127.0.0.1])

                             by vs24.mail.saunalahti.fi (Postfix) with ESMTP id BCE8520F88

                             for <fp6592@be400.mail.saunalahti.fi>; Tue, 11 Jan 2022 05:11:39 +0200 (EET)

Received: from fe27.mail.saunalahti.fi (fe27.mail.saunalahti.fi [62.142.117.205])

                             by vs24.mail.saunalahti.fi (Postfix) with ESMTP id AF06220F9C

                             for <fp6592@be400.vs.mail.saunalahti.fi>; Tue, 11 Jan 2022 05:11:39 +0200 (EET)

Received: by fe27.mail.saunalahti.fi (Postfix)

                             id A5B7790006; Tue, 11 Jan 2022 05:11:39 +0200 (EET)

Delivered-To: fp6592@fe27.mail.saunalahti.fi

X-Client-Addr: 78.140.242.72 (Lähettäjäkoneen IP osoitteen omistaja on Pietarin seudulta, kone on paikallistettu Moskovaan)

Received: from shrmhronline.xyz (unknown [78.140.242.72]) 72 (välittäjäkoneen IP osoitteen omistaja on Pietarin seudulta, kone on paikallistettu Moskovaan = sama kone)

                             by fe27.mail.saunalahti.fi (Postfix) with ESMTP id 9F3279000D

                             for <hannu.kuukkanen@xxxxxxxx.fi>; Tue, 11 Jan 2022 05:11:39 +0200 (EET)
(lopullinen vastaanottaja eli minä)

 

SITTEN ALKAA SILLISALAATTI

SAAPUNUT SAUNALAHTEEN 2021 joulukuussa?

Received: via tmail-2007f.2015-sau for ie75533.2200; Tue, 21 Dec 2021 05:16:23 +0200 (EET)

Received: from cf51.stp.mail.saunalahti.fi (cf51.stp.mail.saunalahti.fi )

                             by be407.mail.saunalahti.fi (Postfix) with ESMTP id 5AA9E6025B

                             for <ie75533@be407.mail.saunalahti.fi>; Tue, 21 Dec 2021 05:16:23 +0200 (EET)

 

X-Original-Sender:  TIETOA ei ole esitetty

X-Halon-SA: 0.7 Halon Security AB – SAUNALAHDEN koneelta

X-Halon-RPD: 50 Halon Security AB – SAUNALAHDEN koneelta

Received: from vs21.mail.saunalahti.fi (vs21.mail.saunalahti.fi )

                             by cf51.stp.mail.saunalahti.fi (Halon) with ESMTPS

                             id 5fb97aa9-620c-11ec-800a-005056bdd921;

                             Tue, 21 Dec 2021 05:16:22 +0200 (EET)

Received: from vs21.mail.saunalahti.fi (localhost )

                             by vs21.mail.saunalahti.fi (Postfix) with ESMTP id 94F3C20070

                             for <ie75533@be407.cf.mail.saunalahti.fi>; Tue, 21 Dec 2021 05:16:22 +0200 (EET)

 

Received: from fe25.mail.saunalahti.fi (fe25.mail.saunalahti.fi )

                             by vs21.mail.saunalahti.fi (Postfix) with ESMTP id 8A0742006B

                             for <ie75533@be407.vs.cf.mail.saunalahti.fi>; Tue, 21 Dec 2021 05:16:22 +0200 (EET)

(Tämä e-mail on seikkaillut 21 Joulukuuta 2021 Saunalahden koneilla mutta päästetty edelleen läpi myöhemmin? Spammisuotimet eivät ole toimineet)

X-Client-Addr: 185.255.132.197 (lähettäjäkone Venäjällä)

Received: from amazon.com (unknown )  (The 'Received from' would be the server that sent or relayed the email  ELI tämä on välittäjäkone, ELI posti on kierrätetty tämän koneen kautta joskus, tai Amazonin osoite on mukana hämäystarkoituksessa)

                             by fe25.mail.saunalahti.fi (Postfix) with ESMTP id 7FEE150002

                             for <timo.xxxxxxxxx@xxxxxxxx.fi>; Tue, 21 Dec 2021 05:16:22 +0200 (EET)

(Vieraan yksityishenkilön sähköpostiosoite)

Received: via tmail-2007f.2015-sau for qxsgaaaa.24; Thu, 11 Nov 2021 22:34:49 +0200 (EET)

Received: from fe28.mail.saunalahti.fi (fe28.mail.saunalahti.fi )

                             by be414.mail.saunalahti.fi (Postfix) with ESMTP id BD76260035

                             for <qxsgaaaa@be414.mail.saunalahti.fi>; Thu, 11 Nov 2021 22:34:49 +0200 (EET)

(Tämä e-mail on seikkaillut 11 Marraskuuta 2021 Saunalahden koneilla mutta päästetty edelleen läpi myöhemmin 21.12.21?)

 

X-Client-Addr: 37.230.141.72 (kone Alankomaissa mutta rekisteröity Venäjälle. Green Group LTD address: 124489, Russia, Moscow, Zelenograd,)

Received: from ojvv.thoughtful.digital (ojvv.thoughtful.digital ) (kone Alankomaissa mutta rekisteröity Venäjälle. Green Group LTD address: 124489, Russia, Moscow, Zelenograd,)

                             by fe28.mail.saunalahti.fi (Postfix) with ESMTP id B5305E0008

                             for <adamas@xxxxxxx.fi>; Thu, 11 Nov 2021 22:34:49 +0200 (EET)

(MailChimp väittää, että tämä kirje ei ole tullut heidän palvelustaan, vaikka siltä näyttää. Ikään kuin Hartwallareenan sähköpostilistalla? Sieltäkö on peräisin tuo vieras osoite "adamas"?)

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mailchimpapp.net;

                             s=k2; t=1630058970; i=info=3D   hartwallarena.fi@mailchimpapp.net;

                             bh=JAr3Jg088UC0Lbz6SP2bzv0hyRTzv+kpv09g0v7KOQk=;

                             h=Subject:From:Reply-To:To:Date:Message-ID:List-ID:List-Unsubscribe:

                              List-Unsubscribe-Post:Content-Type:MIME-Version;

                             b=Ce9guX/ZdzcLi0wGwj7EC3n1aJ4zsyPguFrxbtT6BFmLKTdQ9KLRxme1+O7CItFpE

                              /gEC4dka0GkUuHihaoCjvTDWxrHVj8tXQytuxB3lrq4mTiy8t6+cb+Y3yEz5pXMFWP

 wgyaMG3ojTZ+TjNvfTUhW15XdS9N9TNIIWrf7Q20iB6YKX28CZkRjAN9qzRvduri/2

 8kkBviCqerjjqLngE44qUGQlKtEfWABmKtx+nb3h2CrPPrr5all3tfzQUmlzXCm4nW

  +jBq/fV0R6YuBJ2CrCFowiVXL++LWo2ApqCvOszlkX7bEegsPmU3aoN8E33PP4O49o

  rHrxobhcxKi/Q==

Received: from localhost (localhost )

                             by mail114.atl301.rsgsv.net (Mailchimp) with ESMTP id 4GwwRt3f7lzNCdK8t

                             for <Janne.xxxxxxxxx@netti.fi>; Fri, 27 Aug 2021 10:09:30 +0000 (GMT)

(MailChimp väittää, että tämä kirje ei ole tullut heidän palvelustaan. Saattaa pitää paikkansa ja tämä olisi vain hämäykseksi mukaan kopioitua vanhaa roskaa, kuten päivämäärästä 27 Elokuuta 2021, saattaa lukea. En tunne edes ketään Jannea.)

TÄMÄ SEURAAVA OSUUS ON NÄKYVÄÄ TEKSTIÄ (koodattuna headerissa)

Subject: =?UTF-8?B?SGFua2kgcGFyZW1waSBNdWlzdGkgamEga2Vza2l0dHltaXNreWt5?=
(Aihe: ”Hanki parempi Muisti ja keskittymiskyky” avattuna)

From: =?UTF-8?B?QWl2b2plbiB0ZXJ2ZXlz?= info@vaiddzed.cc (Kookossaarilla oleva kone jota domannimeä on ilmeisimmin käytetty vain peitteenä)
(Lähettäjä: “Aivojen terveys” avattuna. Lähettäjänimeä ei ole)

To: hannu.kuukkanen@xxxxxxxx.fi

Date:  (aikaleima OLI TYHJÄ)

Message-ID: 4flKnmoPf2AZXjWBOFcvNoaXeq.9327808f57.20210827100925.5b35183e77.fde32546@mail114.atl301.rsgsv.net (liittyy MailChimp toimintaan)

X-Mailer: MailChimp Mailer - *CID5b35183e779327808f57*

X-Campaign: mailchimpe0423e98ba961f510cd0ff9b1.5b35183e77

X-campaignid: mailchimpe0423e98ba961f510cd0ff9b1.5b35183e77

X-Report-Abuse: Please report abuse for this campaign here: https://mailchimp.com/contact/abuse/?u=e0423e98ba961f510cd0ff9b1&id=5b35183e77&e=9327808f57

(MailChimp väittää, että tämä kirje ei ole tullut heidän palvelustaan. Saattaa pitää paikkansa ja tämä olisi vain hämäykseksi mukaan kopioitua vanhaa roskaa. Neljä vapaamuotoista X-headeria voidaan postiin lisätä)

X-MC-User: e0423e98ba961f510cd0ff9b1
(Making an inference from the rest of the headers, X-MC-User refers to the MailChimp user that sent you that email as part of a campaign.
ELI tämä liittyy MailChimp postitukseen jota MailChimp kieltää palvelunsa kautta lähettäneensä. Käyttäjäkoodin avulla ilmeisesti selviäisi alkuperäinen lähettäjä mutta koodin tausta on vain MailChimpin tiedossa. Sitäpaitsi vieras lähetys on saatettu rosvota joltain vallatulta koneelta)

Feedback-ID: 25453903:25453903.4376537:us3:mc
"Feedback Loop - If you’re a large volume sender, you can use the FeedBack Loop (FBL) to identify campaigns in your traffic that are getting a high volume of complaints from Gmail users. The FBL is particularly useful to ESPs to detect abuse of their services.
Note: FBL data will only pertain to @gmail.com recipients." - FBL-tiedot koskevat vain @gmail.com-vastaanottajia.
"Senders will need to embed a new header called the Feedback-ID, consisting of parameters (called Identifiers) that uniquely identify their individual campaigns. Any Identifiers with an unusual spam rate and that might cause deliverability issues will be reported in the Postmaster Tools FBL dashboard."
koskee vain @gmail.com-vastaanottajia

List-ID: e0423e98ba961f510cd0ff9b1mc list <e0423e98ba961f510cd0ff9b1.412253.list-id.mcsv.net>
"local addresses used for spam"  (verkkoyhteisö on äänestänyt tämän
mcsv.net osoitteen haitalliseksi)

X-Accounttype: pd

List-Unsubscribe: <https://hartwallarena.us3.list-manage.com/unsubscribe?u=e0423e98ba961f510cd0ff9b1&id=f21abb2aa6&e=9327808f57&c=5b35183e77>, mailto:unsubscribe-mc.OMPdFW6cIaM1b38dV7ryKRoxmQmOss.md5BHih7IIrRW9H-RUmitkFWtz@mailin.mcsv.net?subject=unsubscribe
 (verkkoyhteisö on äänestänyt tämän .mcsv.net osoitteen haitalliseksi)

List-Unsubscribe-Post: List-Unsubscribe=One-Click
"In addition to the List-Unsubscribe header, another line - the “List-Unsubscribe-Post” – is added."
Eli tuo toinen tagi sisältää osoitteen ja toinen estää suoran osoitteen poiston ” prevent accidental unsubscribe by anti-spam software. Tarkoittaa, että roskapostittajaa suojellaan”. MUTTA koko tämän postikampanjan ulossuodattaminen olisi suomalaisille sp-palvelujen toimittajille mahdollista, jos tahtoa riittää. Tulisi riittää, koska kyseessä on kansallisen turvallisuuden uhka. Näitä ei saa palauttaa takaisin, vaan ne tulee ohjata roskikseen.

Content-Type: text/html;charset=UTF-8

MIME-Version: 1.0

 

 

 



sunnuntai 28. lokakuuta 2018

Sähköpostitilisi on kaapattu - kiristyskirje

Nyt kiertää sähköpostina kiristyskirje, joka "näyttää tulevan" sinun oman sähköpostitilisi osoitteesta ja siinä väitetään jotakin salasanaa sinun tilisi salasanaksi. Kirjeessä väitetään myös, että koneesi lukitaan 48 tunnin kuluttua jos et maksa lunnaita. Samoin kirje on täynnä muitakin uhkauksia mutta nämä ovat ainoastaan keksittyjä joista osan voit todeta itsekin huijjaukseksi.
Samankaltaisia kiristyskirjeitä tulee nyt vaihtelevin tekstein. Pääviesti on sama. Olen asentanut koneellesi "Rat" (jonkun nimisen) applikaation (ohjelman) jolla olen kaapannut salasanasi ja koneesi jne., maksa lunnaat.

Tämä on HUIJAUSKIRJE. Hävitä kirje ja korkeintaan vaihda tiliesi salasanat. Myös FaceBook ja Twitter ym. sosiaalisen median salasanasi, koska jostakin tuo sinun salasanasi on voitu kaapata aiemman kirjautumisesi yhteydessä.
Useat suljetut sivut vaativat asiakasta kirjautumaan G-mail, Twitter tai FaceBook (jne) tilin tunnuksilla. ÄLÄ kuitenkaan tee koskaan niin, vaan perusta jokaiselle suljetulle sivustolle oma salasana ja tunnus (jokaiselle oma ja erilainen). Tämä on hyvä varotoimenpide tällaisia vastaavia tapauksia vastaan. Myös tärkeimmät salasanasi on näin turvattu. Salasanalista kannattaa piilottaa pois koneesi lähettyviltä todellisen kotimurron varalta.

Tästä kiristyskirjeestä kerrotaan myös sivulla:
https://www.pcrisk.com/removal-guides/13912-hacker-who-cracked-your-email-and-device-email-virus

Tämän kirjeen headerista löytyy rivi:
X-PHP-Originating-Script: 10000:c.php
Tämä PHP scripti on spämmerin käyttämä postitusohjelma jolla hän on näitä "häkkäys"
-viestejään lähetellyt.


 Alla kopio kirjeen sisällöstä. Sähköpostiosoite on muutettu:

----------------------------------------------------------------------

Subject: sinun.sahkopostiosoitteesin@kolumbus.fi has password sejase123. Password must be 
changed

> Hello!
>
> I'm a programmer who cracked your email account and device about half year 
> ago.
> You entered a password on one of the insecure site you visited, and I 
> catched it.
> Your password from sinun.sahkopostiosoite@kolumbus.fi on moment of crack: sejase123
>
> Of course you can will change your password, or already made it.
> But it doesn't matter, my rat software update it every time.
>
> Please don't try to contact me or find me, it is impossible, since I sent 
> you an email from your email account.
>
> Through your e-mail, I uploaded malicious code to your Operation System.
> I saved all of your contacts with friends, colleagues, relatives and a 
> complete history of visits to the Internet resources.
> Also I installed a rat software on your device and long tome spying for 
> you.
>
> You are not my only victim, I usually lock devices and ask for a ransom.
> But I was struck by the sites of intimate content that you very often 
> visit.
>
> I am in shock of your reach fantasies! Wow! I've never seen anything like 
> this!
> I did not even know that SUCH content could be so exciting!
>
> So, when you had fun on intime sites (you know what I mean!)
> I made screenshot with using my program from your camera of yours device.
> After that, I jointed them to the content of the currently viewed site.
>
> Will be funny when I send these photos to your contacts! And if your 
> relatives see it?
> BUT I'm sure you don't want it. I definitely would not want to ...
>
> I will not do this if you pay me a little amount.
> I think $856 is a nice price for it!
>
> I accept only Bitcoins.
> My BTC wallet: 1PL9ewB1y3iC7EyuePDoPxJjwC4CgAvWTo
>
> If you have difficulty with this - Ask Google "how to make a payment on a 
> bitcoin wallet". It's easy.
> After receiving the above amount, all your data will be immediately 
> removed automatically.
> My virus will also will be destroy itself from your operating system.
>
> My Trojan have auto alert, after this email is looked, I will be know it!
>
> You have 2 days (48 hours) for make a payment.
> If this does not happen - all your contacts will get crazy shots with your 
> dirty life!
> And so that you do not obstruct me, your device will be locked (also after 
> 48 hours)
>
> Do not take this frivolously! This is the last warning!
> Various security services or antiviruses won't help you for sure (I have 
> already collected all your data).
>
> Here are the recommendations of a professional:
> Antiviruses do not help against modern malicious code. Just do not enter 
> your passwords on unsafe sites!
>
> I hope you will be prudent.
> Bye.