ISO KASA VAARALLISIA OSOITTEITA

"TARKISTUS TARVITAAN", "PAKETTISI ODOTTAA".
Saman kirjeen linkistä Falcon-virustorjunta löysi useita vaarallisia osoitteita, joista ANY.RUN kertoo lisää.

Varsinainen RYSÄ. Jäljen johtavat piilotekstibuttoneineen Venäjälle, vaikka osoitteet harhailevat useassa muussakin maassa. Lähettäjän kone-IP 193.226.79. 123 osoittaa Singaporeen

Virustorjunnan Raportti kertoo karua kieltä linkistä:
http://glawter.dynuddns. net/fwd/P2Q9NTIzOCZlaT0xNTI0NzAwNjMmaWY9MTMwNTcmbGk9NTgmdHk9MQ

Omistaja/käyttäjä? on Catalin Draga, Virtono Networks SRL, Bd. Mamaia, Nr. 288, Hotel Turist, 900552, Constanta, Romania. 
Kone vaikuttaa kaapatulta, eli rikollinen käyttää sitä ansansa kotikoneena. Näin voi käydä huolimattomalle surfailijalle.

Falcon Sandbox Report jatkaa: Malicious domain detected. Details: Input URL or Contacted Domain: "dynuddns. net" has been identified as malicious
Koneesta löytyy lisäksi runsas määrä muita vaarallisia linkkejä: 
Input URL or Contacted Domain: "tollroadways. com" has been identified as malicious
Input URL or Contacted Domain: "starlightskythe. com" has been identified as  malicious
Input URL or Contacted Domain: "sharedtris. com" has been identified as  malicious
Input URL or Contacted Domain: "ofijii. com" has been identified as  malicious 
Input URL or Contacted Domain: "copaxso. xyz" has been identified as  malicious 

Kuvakaappauksessa näkyy yksi haittapostien tunnus, eli näkymätön (valkoinen) teksti valkoisessa buttonissa. Punaisen ovaalin sisällä. Olen korostanut linkin tekstin ennen kuvakaappausta. Buttoni on täysin valkoinen.

---------------------------------KIRJE----------------------------------

ANY.RUN virustorjunta analysoi noita vaarallisia yhteyksiä seuraavalla tavoin:

Löytyy sivu: Best International IPTV Service (joka on vakiosivu haittaposteissa. Luultavasti kopioitu sivu, jonka takaa verkkorikollinen toimii noiden vaarallisten linkkien avulla)

Ja viisi eri uhkaavaa kontaktia

Potentially Bad Traffic

(kaikki uhat viittavat MS Edge selaimen ohjelmistotiedostoon. "C:\Program Files (x86)\Microsoft\Edge\Application\msedge. exe " )

ET DYN_DNS DYNAMIC_DNS Query to a *.dynuddns .net Domain 

Potentially Bad Traffic

msedge. exe

ET DYN_DNS DYNAMIC_DNS Query to a *.dynuddns .net Domain

Potentially Bad Traffic

msedge. exe

ET DYN_DNS DYNAMIC_DNS Query to a *.dynuddns .net Domain

Potentially Bad Traffic

msedge. exe

ET DYN_DNS DYNAMIC_DNS Query to a *.dynuddns .net Domain

Potentially Bad Traffic

msedge. exe

Näissä linkeissä ulkopuolinen keskusteleva kone on Floridassa, Miamissa: 5.34.179. 199

DHL huijausta yritetään taas

Jos olet tilannut jotakin verkkokaupasta ja saat tämankaltaisen sähköpostin, tarkista huolella, onko kyseessä sinun pakettisi, vaiko verkkohuijaus. Ole tarkka, koska verkkorikolliset käyttävät eri pakettipalveluiden nimiä huijauksissaan.

TÄMÄ KIRJE ON HUIJAUS!
Mistä sen voisit nähdä:

Tässä tapauksessa en edes ole tilannut mitään verkkokaupasta, joten tiedän, että tämä on huijaus. Tämän lisäksi, jos olet tilannut jotakin, koita muistaa, mikä lähettipalvelu oli pakettiasi kuljettamassa. JA kaikissa tapauksissa, tarkista ainakin nämä 4 seikkaa kirjeessä.

1) tämä kirje ei saavu DHL:stä, vaikka siltä näyttää, vaan huijarin piiloitetusta osoitteesta Japanista

2) tämäkään osoite ei ole DHL:n, vaan huijarin käyttämä peite

3) vastaanottajanimen kohdalla pitää olla sinun emailosoitteesi

4) linkit *) vievät huijarin koneelle ansaan, jossa urkitaan henkilötietosi ja jos erehdyt maksamaan tuon summan, menetät myös pankkitietosi tai/ja Visakorttitietosi huijarille.

----------------------------------------------KIRJE-------------------------------------------

*) 4- NELOSLINKKI VIE GOOGLEN KAUTTA PIILOITETTUUN OSOITTEESEEN: https://www.google. com/amp/s/mampossada13.com/SF/AB.php?tracking_id=F54325135055

AB.php on ohjelma, joka oletettavasti generoi DHL:n sivuja muistuttavan lomakkeen, jolla henkilö ja maksutietosi kerätään rikolliseen käyttöön.

ALLA LINKKEJÄ VASTAVIIN HUIJAUSYRITYKSIIN

DHL:n vastaus anspostin ilmiantoon
https://vaarallinenweb.blogspot.com/2019/08/dhln-nimissa-tullut-kavala-ansa.html

Varoitus viruksia sisältävistä liitteistä
https://vaarallinenweb.blogspot.com/2016/08/dhl-liite-sisaltaa-viruksen.html

Pommikirje DHL:n nimissä
https://vaarallinenweb.blogspot.com/2019/03/dhln-yritysgrafiikalla-kuvitettu.html

Varoitus liitetiedostoista
https://vaarallinenweb.blogspot.com/2019/06/gz-liitetiedostossa-on-virus.html

Huijausta Postin ja DHL:n nimissä
https://vaarallinenweb.blogspot.com/2021/07/dhln-ja-postin-nimissa-tullut_2.html

DHL spämmikirjeitä
https://vaarallinenweb.blogspot.com/2018/03/dhl-spammeja-jallen-liikkeella.html

Ali Zacaral kommentoi omaa roskapostiaan
https://vaarallinenweb.blogspot.com/2023/04/alirzakaral-kommentoi-dhl-roskapostiaan.html

Liitetiedostojen ansat
https://vaarallinenweb.blogspot.com/2022/08/liite-tiedosto-ansat.html

PAKETTIANSA SAMALTA HUIJARILTA

Edelliset kaksi huijauskirjettä saapuivat tältä samalta huijarilta. Tätä voisi kutsua "pilkkimiseksi". Josko johonkin syöttiin joku hoona tarttuisi. Yksi varma tapa kiertää tämän rikollisen ansat, on liittää tuo lähetysosoite ja linkkidomain spämmisuodattimiin.

----------------------------------KIRJE---------------------------------

Lähettänyt kone on tällä kertaa Romaniassa MUTTA samalle hakkerille ei ole minkäänlainen ongelma lähtellä kirjeitä eri puolilta maailmaa. Saman osoitteen ja lähetyskoneen käyttö osoittaa vain typeryyttä. Ilmaissähköpostiosotteita on helppoa konegeneroida ja lähettäjänosotteen paikalle voi kirjoittaa aivan mitä tahansa. Todellinen osoite löytyy header-koodista.

Huijaus - POSTI Venäjältä

ÄLÄ lankea POSTIn nimissä saapuneeseen huijaukseen.
kirje ei saavu SUOMEN POSTISTA vaan Perulaisesta osoitteesta (distribuidoradonbosco(.)com.pe), ja lähetyskone kone (hospedandoperu.com) sijaitsee USA:ssa. Sylttytehdas on Venäjällä.

Vastaavia on ollut liikenteessä useita aikaiseemminkin.

-----------------------------------KIRJE-----------------------------------

Valitettavasti ilmoitamme, että pakettisi toimitus on odottamassa, mikä johtuu joistakin lisäkuluista.

Posti Group Oyj<automatic@distribuidoradonbosco(.)com.pe>

Vastaanottaja  hannu.kuukkanen   


Hyvä asiakas,

Valitettavasti ilmoitamme, että pakettisi toimitus on odottamassa, mikä johtuu joistakin lisäkuluista.

Täytä seuraava summa: 3,92 €

Muussa tapauksessa jatkamme palautuslähetystä.

Arvioitu toimituspäiväsi on 25.9.2023

Lisäkustannukset: Tullin määräämät maksut.

Lisää palveluita saat lähetyksesi seurannasta napsauttamalla tätä
TÄMÄ LINKKI VEISI HUIJARIN KONEELLE: https://pengajuan.stis.ac(.)id/storage/framework/sessions/2B5U4fDW6JdtqVWFF5AWJv.html Kymmenen virustorjunta-alan yritystä on merkinnyt osoitteen vaaralliseksi. Osoitteen omistaa venäläinen STIS Engineering LLC

Kiitos ymmärryksestäsi Posti Group Oyj palveluksessasi. (tämän jälkeen seuraa huijarin kopioima pelotteluteksti, jotta huijausta ei paljastettaisi)

Posti Group Oyj antaa oikeuden tarkastella ja ladata tällä verkkosivustolla olevaa aineistoa vain henkilökohtaiseen ja ei-kaupalliseen käyttöön, edellyttäen, että käyttäjä säilyttää kaikki alkuperäisen aineiston sisältämät tekijänoikeustiedot ja muut omistusoikeustiedot kaikissa aineistosta ottamissaan kopioissa. Tämän sivuston aineistoa ei saa muokata millään tavoin tai jäljentää tai julkisesti näyttää, esittää tai jakaa tai muuten käyttää julkiseen tai kaupalliseen tarkoitukseen ilman Postin etukäteen antamaa kirjallista suostumusta. Tämän sivuston aineiston käyttäminen mihin tahansa tarkoitukseen muilla verkkosivustoilla tai verkkoon kytketyssä tietokoneympäristössä on kielletty.
Postin päiväjakelussa on paikoitellen viivettä tänään postinumeroalueella 72400 Pielavesi.
Jakelun viive koskee kirjeitä, päiväpostin mukana jaettavia lehtiä sekä mainoksia.
Pahoittelemme viivettä postinkulussamme.
Avaamalla tämän verkkosivuston sitoudut noudattamaan näitä käyttöehtoja. Jos et hyväksy näitä käyttöehtoja ("Käyttöehdot"), älä käytä tätä verkkosivustoa. Näitä käyttöehtoja sovelletaan Posti Group Oyj:n ("Posti") ja sen tytäryhtiöiden verkkosivuihin. Postin sivuilla voi olla myös erityisiä palvelukohtaisia ehtoja, jolloin näitä yleisiä käyttöehtoja sovelletaan toissijaisesti.00

POSTIn lähetykseksi naamioitu ansa 2

Kaikkiin lahetyspalveluiden  näköisiin kirjeisiin tulee suhtautua epäilyksellä.
Tämäkään kirje ei ole saapunut POSTIsta, vaan huijarilta ja linkki vie vaaralliseen osoitteeseen.

Sinulle ei ole tulossa pakettia. Tämä on huijaus, jolla on tarkoistus kalastaa henkilötietosi. Linkistä saattaa myös saapua virus, koska osoite on luokiteltu vaaralliseksi.

------------------------------------KIRJE------------------------------------

Fwd: Pahoittelemme, että pakettisi, joka saapui Keskiviikkona 16.11.2022, lähetetään takaisin

Posti Group (Kirje saapui "näköis"-osoitteesta: "postipro178@posti-fipro.com". Todellisuudessa kirje on lähetetty amerikkalaiselta roskapostipalvelimelta)
To     hannu.kuukkanen
Date     Wed 20:52

Pahoittelemme, että pakettisi, joka saapui Keskiviikkona 16.11.2022, lähetetään takaisin,

Näin voi käydä, jos vastaanottajan osoite on väärä.

Jos haluat lähettää tämän paketin uudelleentoimituspyynnön, täytä verkkosivuillamme oleva lomake.
Tarkista tämä nyt (LINKKI "tiny(.)one/D1S6584CX15" veisi sinut usean virusturvatoimijan VAARALLISEKSI luokittelemaan osoitteeseen. Linkin salaamiseksi on käytetty "tny.one" osotteenlyhennepalvelua).

ILMOITUS:
Huomaa, että jos uudelleentoimitusta ei ole ajoitettu 48 tunnin kuluessa, et voi lähettää uudelleentoimituspyyntöä uudelleen. Lähetys- ja käsittelykuluja ei palauteta.

Kiitämme luottamuksestasi,

Sydämellisesti, (huijarilla tuskin on sydäntä)
Posti Group Oyj asiakaspalvelu,


(tämä on kopioitu POSTIN verkkoteksteistä)
Kolmannen osapuolen evästeiden avulla sinulle voidaan kohdentaa Postin mainontaa sosiaalisen median kanavissa, kuten Facebookissa, LinkedInissä tai Youtubessa, tai yhteistyökumppaneidemme verkostoissa. Jos et hyväksy näitä evästeitä, voit edelleen nähdä mainontaa näillä sivustoilla, mutta se ei ole sinulle kohdennettua. Näitä evästeitä asettavat kolmannet osapuolet, Postin yhteistyökumppanit ja sosiaalisen median palvelut, jotka voivat hyödyntää evästeillä kerättyjä tietoja myös omassa käytössään. Evästeiden avulla nämä palvelut voivat seurata selaimesi käyttöä myös muilla sivustoilla ja muodostaa profiilin kiinnostuksesi kohteista.
Tietoja voidaan luovuttaa Posti Groupin ulkopuolelle kolmansien osapuolten käyttöön.

----------------------------------------------------------------------------------------------------

POSTI ei lähetä tällaisia viestejä

Postin nimissä saapui puolikielinen maksuviritelmä.
Summa joka tuossa "maksettavana" näkyy tulee kertautumaan eksponentiaalisesti, jos klikkaat linkkiin ja annat tietojasi aukeavalle sivulle. Lähetysosoite (postipro-fi.com) on "näennäinen" eli sellaista osoitetta ei ole olemassa.

Linkki vie venäläiselle palvelimelle, joka on luokiteltu vaaralliseksi.

--------------------------------------KIRJE----------------------------------

 

 

Samaa "sähköpostinpoiminta"-koodia on käytetty muissakin vaarallisissa roskaposteissa, joten jos tällaisia kirjeessä näkyy, se on yleensä merkki ansasta.

Aikaisempia esimerkkejä, hieman erilaisesta nimenpoiminnasta:

https://vaarallinenweb.blogspot.com/2022/11/tokmannin-lahjakorttihuijauksen-uudet.html

https://vaarallinenweb.blogspot.com/2022/11/prisman-lahjakortti-ansan-uusi-versio.html

POSTIN NIMISSÄ SAAPUI HUIJAUS

Älä klikkaile tällaisen kirjeen linkkejä. Tämä on POSTIn nimissä tehty huijaus, joita on jatkuvasti liikkeellä.
JOS odotat jotain lähetystä, asioi suoraan osoitteen posti.fi - kautta EI tämän kirjeen linkeistä missään tapauksesta. Jo kirjeen kehno suomenkieli pitäisi varoittaa saajaa. Osa tekstistä on kopsattu Postin sivustolta.
Tämän kirjeen vaara ei ole tuon kolmen ja puolen euron menettäminen, vaan siinä, kun annat omat henkilötietosi ja pankkitietosi. Ne menevät rosvon käyttöön.
Lähetysosoite ja linkit vievät vaarallisiksi luokiteltuihin osoitteisiin.

----------------------------KIRJE--------------------------------------- 

Valitettavasti joudumme ilmoittamaan, että pakettisi toimitus on odottamassa, ja tämä johtuu joistakin lisäkuluista.
From     © Posti Group Oyj
To     hannu.kuukkanen
Date 
Today 21:32


Hyvä asiakas,

Valitettavasti joudumme ilmoittamaan, että pakettisi toimitus on odottamassa, ja tämä johtuu joistakin lisäkuluista.

Täytä seuraava arvo: 3,50 € .

Muussa tapauksessa toimitamme palautuslähetyksen.

arvioitu toimituspäivä on lauantai 24.9.2022

LISÄMAKSUT: Tullin määräämät maksut.

TÄYTÄ TOIMITUSOSOITTEENI

TÄRKEÄ:
Voit myös valita noutopaikan pakettisi noutoa varten.
Muista osoitteesi ennen klo 23.59. saada tilauksesi huomenna.

Kiitos ilmoittautumisestasi ja toivomme, että voit jatkossakin lähettää vaivattomasti Posti Group Oyj Groupin verkkopalvelun kautta.

--
Nämä sopimusehdot koskevat etämyyntiä Posti Oy:n ("Posti") ja kuluttaja-asiakkaan ("Asiakas") välillä, ellei tuote- tai palvelukohtaisissa ehdoissa ("Tuotekohtaiset ehdot") toisin sovita. Tuotekohtaiset ehdot voidaan esittää tuotetta tarjottaessa erottamatta niitä tuotteen muusta kuvauksesta erilliseksi kuvaukseksi. Nämä ehdot ovat voimassa 13.6.2014 alkaen toistaiseksi.
Sopimus syntyy, kun Posti on hyväksynyt Asiakkaan tekemän tilauksen. Postilla on oikeus ilman Asiakkaan suostumusta siirtää sopimus kokonaan tai osittain kolmannelle osapuolelle, jolle sopimuksessa tarkoitettu liiketoiminta siirtyy. Postilla on myös oikeus siirtää sopimussaamisensa kolmannelle osapuolelle. Postilla on oikeus peruuttaa tilaus, jos tilauksessa on selkeä hintavirhe. Selkeällä hintavirheellä tarkoitetaan mitä tahansa painovirhettä tai muuta teknistä virhettä, jonka vuoksi hinta poikkeaa huomattavasti ja selvästi tuotteen oikeasta hinnasta. Seuraavassa on esimerkkejä selkeästä hintavirheestä: Tuotteen hinta on 0,00 euroa tai sillä ei ole hintaa ollenkaan. Kymmenien eurojen keräilyesineen tai lahjatuotteen ilmoitettu hinta on esimerkiksi muutama euro. Näissä tapauksissa virheellinen hinta poikkeaa todellisesta hinnasta niin selvästi, että asiakkaan katsotaan ymmärtäneen sen olevan virheellinen.

PAKETTI LIBANONISTA

 Ikäänkuin Suomen Postista lähetetty PAKETTI-ilmoitus saapuukin Libanonsta.
Olkaa ihmiset varovaisia jokaisen sähköpostinne kanssa, Linkkeihin ei kannata koskea ja "reply" eli e-mailiin vastaaminenkin on riskialtista. JOS luulee, että ilmoitus on aiheellinen, kannattaa otta aina yhteys suoraan yrityksen virallisten verkkosivujen kautta ja selvittää, onko kirje aiheellinen, vaiko rikoksen yritys.

TÄLLÄ KIRJEELLÄ YRITETÄÄN HUIJATA SINUA.
Kun kursorin vie "posti.fi" - viittaavan linkin yläpuolelle (älä klikkaa), näet todellisen osoitteen jonne linkki olisi menossa. Tässä tapauksessa linkki viittaa piiloitettuun osoitteeseen "bit.ly/36A4kyr", jollaista osoitetta posti ei käytä.

Lähettäjäksi paljastuu osoite Libanonista EI Suomen Postista:

"From: posti <support@damour.sscc.edu.lb">

 

HTML koodattu huijauskirje Panamasta

Saapui minun sähköpostiselaimessani otsakkeeltaan ja lähettäjältään näkymättömänä ja sisällöltään e-mail "koodina", syystä, että se oli kirjoitettu ainoastaan HTML koodina, jota en anna näyttää postiselaimessani..

Koodista voi lukea, että aihe olisi ollut:
"Viimeinen mahdollisuus saada pakettisi!"

Tekstistä selviää, että siinä on mainittu tekaistu lähetysnumero ja linkki "muka" postifirmalle (joka linkki siis vie spämmerin = huijarin omalle koneelle).

Lähettäjän näkymätön osoite oli: "info@fincasantachristina.com"

Osoitteen domainnimi oli rekisteröity, minne muuallekaan, kuin Panamaan.

Spämmi oli lähetetty Mail Chimp postitusohjelmalla, joka on suosittu roskapostittajien keskuudessa.

Linkit vievät saman domannimen alaiselle palvelimelle, tietokantaan.
Tällaiset linkit ovat aina syytä arvioida vaarallisiksi, koska niiden takaa voi tulla koneelle mitä tahansa, viruksista lähtien.

Koska itse kirje oli koodisotkua, sitä ei kannata esittää tässä.