Netflix ansan varoitus plokattiin

Mielenkiintoista. Vuonna 2017 analysoitu Netflix-ansa plokattiin ilmeisesti verkkorikollisen itsensä toimesta? Kenellä muullakaan olisi ansasta varottamisen estämiseen intressejä?
Vuosia sitten oli vastaava vääntö joko saman tai jonkun muun verkkorikollisen kanssa. Blogger kyllästyi palauttamaan artikkelia ja esti plokkauksen. Toivon mukaan ovat jotain oppineet hekin vuosien varrella.  

Tämä on henkilötietovarkausyritys Netflix tilauksen maksunvarmistamisen varjolla. Et saa kanavaa mutta menetät rahasi. Menetätä henkilötietosi ja pakkitilinumerosi varastetaan.
Tässä kaappaus tuosta artikkelista ja sen plokkaustilanteesta.

-----------------------------PLOKKAUS---------------------------

Tässä linkki tuohon alkuperäiseen Netflix-ansasta kirjoitettuun artikkeliin:
https://vaarallinenweb.blogspot.com/2017/08/uusi-netflix-ansaversio.html

-------------------------------SEURAAVA PLOKKAUS-----------------------------

Ny tuo virusvaroitusten plokkaaja on alkanut tehdä hommia jälleen ihan työkseen.
Tässä seuraava plokaattu varoitusposti.

-------------------------------KOPIO VAROITUKSESTA-----------------------------

Bloggerista poimittuja e-mailosoitteita SPÄMMISSÄ
Mielenkiintoa ei herättänyt tökerö tietokalasteluyritys kehnolla konekäännöksellään, vaan e-mailin sisältämän listan sähköpostiosoitteet.

Kaikki osoitteet oli poimittu todistettavasti tästä blogista. Onneksi osoitteet ovat muiden spämmereiden ja niistäkin valtaosa (ellei peräti kaikki) oli muutettu jo valmiiksi toimimattomaan muotoon systemaattisesti. Ilahduttavaa toki olisi, että spämmerit saisivat maistaa omaa lääkettään :).
Muutin myös mailissa olevat puhelinnumerot, joten ei kannata yrittää edes soitta Felix Jacksonille.

Tavallaan tällaista ei voida estää, koska jos tietojenkeruu/hakuroboteilta estetään pääsy, ei näitä blogeja enää ole mahdollista saada maailmanlaajuiseen levitykseen. Tässäkin tapauksessa tuo e-mail-kalastelu on jopa tehty Googlella tai Yahoon hakurobotilla.

Bloggareiden on vain syytä tiedostaa, että näin voidaan toimia ja välttää kirjoittamasta oikeaan muotoon (e-mail validiin muotoon) sähköpostiosoitteita - jos niitä on lainkaan tarpeen Blogiin kirjoittaa.

Reply (paluuposti) osoitteen stevenadams:illa näyttäisi olevan ilmeisesti 312 yahoo.com mail osoitetta generoituna spämmäystarkoituksiin. Osoitteet ovat ilmaisia ja tekaisuja joten osoitteen omistaja pääsee aina pakenemaan, kun tilanne kuumenee osoitteen ympärillä.

---------------- e-mailin sisältö----------------
Hyvät naiset ja herrat, minulla on postia ja olen nyt on sekava mukaan viestin, jonka mukaan ilmoittanut, että hän tarvitsee lainaa. Annamme lainoja, mistä 10.000.00 1, 000.000.00 euroa 2% korkoa vuodessa tarjoamme 100% lainatakauksen ja ainoastaan ​​vakavista asiakkaille. Tarjoamme palveluita, kuten; Auton lainat-asuntoautolla lainoja, investointilainoja, yritysten lainoja, henkilökohtaisia ​​lainoja, jne.

Aloita täytä ja lähetä seuraava sovellus, jonka avulla voit laskea päivämäärät ja suunnitelmat maksamaan lainan.

(ÄLÄ MISSÄÄN NIMESSÄ ANNA YHDENKÄÄN E-MAILIN PERUSTEELLA NÄITÄ TIETOJA. TÄMÄKIN TIETOURKINTA ON MENOSSA VERKKORIKOLLISEN KÄYTTÖÖN)

Nimi: _________
Ikä: _________
Osoite: _________
Kaupunki: _________
Maa: _________
Zip postinumero: _________
Ammatti: _________
Puhelinnumero: _________
Matkapuhelin: _________
Lainan määrä: _________
Laina: _________
Lainan tarkoituksena: _________

Kun saimme tämän tiedon lähetämme sinulle ehdot lainan sitten jatkamme allekirjoittamaan toteutusta koskevat sopimukset tämän kaupan.
Kiitos huomiota ja toivomme teidän taloudellinen kumppani tulevaisuudessa.

Ystävällisin terveisin,
Felix Jackson
Bidvest Kapita UPO YCZKOWEGO
---------------------------------------------------------------------------------------------------------------------
Toimiston osoite: 324 Van der Walt kadulla, Pretoria, Etelä-Afrikka
yhteyshenkilö Puhelin: +2278112164
Faksi: +2785417548
----------------------------------------------------------------------------------------------------------------------
Frenburg Loan Inc >>> lisenssi liittovaltion hallituksen Valtuutetut Luotonantajat komitea

----------- ALINNA osa e-mailin headeria jossa osoitteet näkyvät----------
Osoitteet on siis muutettu, kopionnin ja vahinkojen välttämiseksi

Reply-To: stevendams312@yahoo.com
Date: Fri, 6 Nov 2015 09:46:52 +0200
Message-ID: <CAKtTnpXgUTwcDM0fHA9GANPaXF3e3MB4LWjOsLDmd8jrTg73pg@mail.gmail.com>
Subject: laina
From: =?UTF-8?Q?BIDVEST_KAPITA=C5=81U_PO=C5=BBYCZKOWEGO?= <bidvestloan@gmail(.)com>
To: taughtabc03@embarqail(.)com, 
    hannu.kuukkanen@elisnet.fi, taughtabc03@embaqmail.con,
    tauhtabc03@embarqmail.con,
    2030282242.1289612.1443510554132.Javaail.root@embaqmail.con,
    arto.xxxxx@pp.inet.fi, tupica@email(.)ru, albert.liugi@xxx.com

Nordean PSD2 direktiivi kirjeitä eri osoitteista

Näitä edellisessä postauksessa mainittuja "direktiivikirjeitä" saapuu useita eri osoitteista ja eri otsakkeilla. Kaikki ovat huijarin käsiälaa ja tarkoitettu hyväuskoisille ansoiksi. ÄLKÄÄ KOSKEKO LINKKEIHIN!
Se, että kirjeessä on Nordean logo, ei tarkoita sitä, että kirje todella saapuisi Nordeasta - tai mistään muustakaan pankista. Linkkiosoitteet on lyhennetty Twitterin "t.co" palvelussa, 

(PÄIVITYS: Twitterin linkin voi nykyään jo purkaa)

Otsakkeina mm:

NOPEA TOIMINTA VAATII
saapui osoitteesta: nordea@meemenX.email (ei siis saavu Nordeasta, vaikka linkkiä esittävä teksti niin väittää - X on lisätty rikkomaan osoite)
Linkki veisi palvelinosoitteeseen: (https://)t.XXXco/L2dGEJQl8p (joka ei siis ole Nordean osoite, vaan se on huijarin osoite joka on lyhennetty Twitterin "t.co" palvelulla.)
 XXX on lisätty ja https:// sulutettu rikkomaan linkki. Nämä linkit eivät toimi mutta niistä voi päätellä millaisia linkkejä tulee varoa

Lisäturvaa maksamiseen
saapui osoitteesta: nordea@maamenX.email (ei siis saavu Nordeasta, vaikka linkkiä esittävä teksti niin väittää - X on lisätty rikkomaan osoite)
Vastausosoite: nordea@maamenX.email
Linkki veisi palvelinosoitteeseen: "tXXX.co" (joka ei siis ole Nordean osoite)
 XXX on lisätty rikkomaan linkki

Nämä sujuvoittavat arkeasi
saapui osoitteesta: nordea@maamenX.email (ei siis saavu Nordeasta, vaikka linkkiä esittävä teksti niin väittää - X on lisätty rikkomaan osoite)
nordea@maamenX.email
Vastausosoite: nordea@maamenX.email
Linkki veisi palvelinosoitteeseen: "t.XXXco" (joka ei siis ole Nordea)
 XXX on lisätty rikkomaan linkki

TR: Tärkeä viesti
jfe@vchX.com  (X on lisätty rikkomaan rikollisen osoite)
nordea@vchX.com (X on lisätty rikkomaan osoite)
Linkki veisi palvelinosoitteeseen: (https://)homemeatprocessor(.)com/to.html?aTOxXXXUcEgF (joka ei siis ole Nordea, vaan aivan toisen yrityksen tietokanta joka on hakkeroitu)
 XXX on lisätty rikkomaan linkki

Tärkeä viesti
uzz@vchX.com (X on lisätty rikkomaan osoite)
nordea@vchX.com (X on lisätty rikkomaan rikollisen osoite)
Linkki veisi palvelinosoitteeseen: (https://)homemeatprocessor(.)com/go.html?IBAUXXXwvHVP (joka ei siis ole Nordea, vaan aivan toisen yrityksen tietokanta joka on hakkeroitu)
XXX on lisätty rikkomaan linkki

Toinen maksupalveludirektiivi – Payment Services Directive, PSD2

nordea@maamonX.email  (X on lisätty rikkomaan rikollisen osoite)

Linkki veisi palvelinosoitteeseen:: (https://)t.co/XXXFLD3aGdblz

(joka ei siis ole Nordea, vaan aivan toisen yrityksen tietokanta joka on hakkeroitu)
XXX on lisätty rikkomaan linkki

 

Olet saanut tärkeän viestin: Nordea Bank
info@Xvectorspaceinfra.com
(https://)t.Xco/qYdjOBnbiY (X on lisätty rikkomaan rikollisen osoitteet)

VIIMEINEN MUISTI: Olet saanut pankkisähköpostin Nordea:
girolamo@Xgirolamo.fr
(https://)t.Xco/SxIKhtLqqO (X on lisätty rikkomaan rikollisen osoitteet)

VIIMEINEN MUISTI: Toimenpiteitä vaaditaan, pankkikorttisi ei ole enää ajan tasalla
albert.goetzelmann@Xheisaplan.de
(https://)t.Xco/SxIKhtLqqO (X on lisätty rikkomaan rikollisen osoitteet)

Olet saanut kiireellisen viestin Nordea:
plaza@colegiopaulofreire.org
(https://)t.Xco/SxIKhtLqqO (X on lisätty rikkomaan rikollisen osoitteet)

Olet saanut tärkeän viestin Nordea:
nuttapojm@3bbmail.com
(https://)t.Xco/SxIKhtLqqO (X on lisätty rikkomaan rikollisen osoitteet)


Sinulla on kiireellinen viesti Nordea
nordea@moeman.email
(https://)t.Xco/CKZ6w4HTdZ (X on lisätty rikkomaan rikollisen osoitteet)

PAKOLLISIA TOIMIA VAATIVA | Kiireelliset asiakirjat
nordea@meamam.email
(https://)t.Xco/CKZ6w4HTdZ (X on lisätty rikkomaan rikollisen osoitteet)

Sinulla on tärkeä viesti: Nordea
nordea@maomom.email
(https://)t.Xco/CKZ6w4HTdZ (X on lisätty rikkomaan rikollisen osoitteet)

Sinulla on kiireellinen viesti Nordea
nordea@meamam.email
(https://)t.Xco/CKZ6w4HTdZ (X on lisätty rikkomaan rikollisen osoitteet)

Maksuhuomautuksen liitteessä on virus

Allaolevan kirjeen liitteenä saapui tiedosto, jota sähköpostiohjelma ei osannut nimetä laadultaan, eikä siinä ollut normaalia tiedostotunnusta. Tällaisiin tiedostoihin EI SAA MISSÄÄN TAPAUKSESSA koskea. Esitystapa viittaa siihen, että liite on haittaohjelma.

Kirje on lähetetty Elelä-Afrikasta. Domainnimen laadusta voi päätellä, että sen rekisteröinyt toimija saattaisi olla asiallinen henkilö/yritys MUTTA kyseinen palvelin on todennäköisesti kaapattu rikolliseen toimintaan. Missään tapauksessa kirjeen lähettäjä ei ole sama, kuin allekirjoituksessa oleva saksalainen yritys/henkilö.
Rekisteröijän nimi ja organisaatio on: Albakri, Jeddahin kaupungista.
Rikollinen ei ilmoita nimeään ja tarkkoja yhtyetietojaan domainnimirekisteriin.

 -----------------------------------KIRJE--------------------------

Good Morning

Your payment is returning back to us after transfer.

Please kindly fill attached bank document to enable us resubmit
payment.

Waiting for your urgent response.

Regards

Mit freundlichen Grüßen / Best regards

Joachim Krüger
Leiter Finanzbuchhaltung/Controlling
Head of Financial Accounting/Controlling

Tel.: +49 7181 962-116
Fax: +49 7181 962-103

KARL SCHNELL GmbH & Co. KG * Mühlstraße 30 * 73650 Winterbach
Sitz der Kommanditgesellschaft: Winterbach * Registergericht
Schorndorf HRA 280216
persönlich haftende Gesellschafterin: KARL SCHNELL GmbH * Sitz:
Winterbach * Registergericht Schorndorf HRB 280091
Geschäftsführer: Dr.oec.Ernst-Otto Schnell * USt.-IdNr.: DE 146
618 470 * Steuer-Nr.: 28 82002 00036

Tässä kirjeessä on liiteansa

Tyypillinen liiteansa. Liite pitäisi avata kiireesti ja rahaa olisi tulossa epäselvästä "laskustasi" jota et ole koskaan lähettänyt.
Katso kirjeen tekstin alta mitä liite sisältäisi.

------------------------------KIRJE-------------------------------------
Good day! We have wired your transfer today as advised by our client who is your customer and it was returned. Please review the attached payment copy to see what needs to be corrected and advise ASAP. Await your reply. SAM
__________________________________________________

------=_NextPart_000_0015_01C2A9A6.03B8ADD6
Content-Type: application/octet-stream;
 name="scan.7z"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename="scan.7z"

Tässä osassa kirjeen lähdekoodia kerrotaan selkeästi, että liite on "applikaatio" eli ohjelma ja se on
binäärikoodattuna kirjeen sisälle. Kyseessä on ZIP koodattu tiedosto (7z-ilmaisohjelmalla) joka saattaa sisältää aivan mitä tahansa. eli myös tuon mainitsemani "haittaohjelman".
Tämä on ihan varma pommi - eli virus tai muu haittaohjelma. Tämän voisi virustarkistaa mutta en vaivaudu edes siihen näin selvässä asiassa (virusturvaohjelmatkaan eivät aina pysy ajan tasalla).
Liitelinkkiin EI tule koskea. Koko kirje roskikseen heti.

Jos edelleen haluat uskonvahvistusta, tässä headeriosassa löytyy tietoa mistä kirje on peräisin. Kun lähettäjä ja "reply" osoite on kaksi erilaista ilmaisosoitetta, ei kyseessä ole varteenotettava yritys. Minulla ainakaan ole mitään tekemistä tällaisten firmojen kanssa.
"envelope-from" osa kertoo myös, että lähettäjäosoite ei ole oikean lähettäjän osoite, vaan osoite on varastettu "bounchaamalla". Tätä tekniikkaa käytetään usein juuri gmail osoitteisiin. Myös luotettavien firmojen osoitteita "peilataan" tällä tekniikalla "ikäänkuin" lähettäjäosoitteeksi.
gunimo.com näyttäisi olevan kiinalainen toimija, jonka palvelinta on tässä spämmi-lähetykseen käytetty.
:

Received: from [23.227.207.163] (helo=User)
 by gunimo.com with esmtpa (Exim 4.82)
 (envelope-from <samersh@gmail.com>)
 id 1gwljl-0002Kp-51; Thu, 21 Feb 2019 10:37:54 +0000
Reply-To: <aparanecsh@mail.com>
From: "ALPHA EXCHANGE COMPANY"<samersh@gmail.com>

Sähköpostitilisi on kaapattu - kiristyskirje

Nyt kiertää sähköpostina kiristyskirje, joka "näyttää tulevan" sinun oman sähköpostitilisi osoitteesta ja siinä väitetään jotakin salasanaa sinun tilisi salasanaksi. Kirjeessä väitetään myös, että koneesi lukitaan 48 tunnin kuluttua jos et maksa lunnaita. Samoin kirje on täynnä muitakin uhkauksia mutta nämä ovat ainoastaan keksittyjä joista osan voit todeta itsekin huijjaukseksi.
Samankaltaisia kiristyskirjeitä tulee nyt vaihtelevin tekstein. Pääviesti on sama. Olen asentanut koneellesi "Rat" (jonkun nimisen) applikaation (ohjelman) jolla olen kaapannut salasanasi ja koneesi jne., maksa lunnaat.

Tämä on HUIJAUSKIRJE. Hävitä kirje ja korkeintaan vaihda tiliesi salasanat. Myös FaceBook ja Twitter ym. sosiaalisen median salasanasi, koska jostakin tuo sinun salasanasi on voitu kaapata aiemman kirjautumisesi yhteydessä.
Useat suljetut sivut vaativat asiakasta kirjautumaan G-mail, Twitter tai FaceBook (jne) tilin tunnuksilla. ÄLÄ kuitenkaan tee koskaan niin, vaan perusta jokaiselle suljetulle sivustolle oma salasana ja tunnus (jokaiselle oma ja erilainen). Tämä on hyvä varotoimenpide tällaisia vastaavia tapauksia vastaan. Myös tärkeimmät salasanasi on näin turvattu. Salasanalista kannattaa piilottaa pois koneesi lähettyviltä todellisen kotimurron varalta.

Tästä kiristyskirjeestä kerrotaan myös sivulla:
https://www.pcrisk.com/removal-guides/13912-hacker-who-cracked-your-email-and-device-email-virus

Tämän kirjeen headerista löytyy rivi:

X-PHP-Originating-Script: 10000:c.php

Tämä PHP scripti on spämmerin käyttämä postitusohjelma jolla hän on näitä "häkkäys"
-viestejään lähetellyt.


 Alla kopio kirjeen sisällöstä. Sähköpostiosoite on muutettu:

----------------------------------------------------------------------

Subject: sinun.sahkopostiosoitteesin@kolumbus.fi has password sejase123. Password must be 
changed

> Hello!
>
> I'm a programmer who cracked your email account and device about half year 
> ago.
> You entered a password on one of the insecure site you visited, and I 
> catched it.
> Your password from sinun.sahkopostiosoite@kolumbus.fi on moment of crack: sejase123
>
> Of course you can will change your password, or already made it.
> But it doesn't matter, my rat software update it every time.
>
> Please don't try to contact me or find me, it is impossible, since I sent 
> you an email from your email account.
>
> Through your e-mail, I uploaded malicious code to your Operation System.
> I saved all of your contacts with friends, colleagues, relatives and a 
> complete history of visits to the Internet resources.
> Also I installed a rat software on your device and long tome spying for 
> you.
>
> You are not my only victim, I usually lock devices and ask for a ransom.
> But I was struck by the sites of intimate content that you very often 
> visit.
>
> I am in shock of your reach fantasies! Wow! I've never seen anything like 
> this!
> I did not even know that SUCH content could be so exciting!
>
> So, when you had fun on intime sites (you know what I mean!)
> I made screenshot with using my program from your camera of yours device.
> After that, I jointed them to the content of the currently viewed site.
>
> Will be funny when I send these photos to your contacts! And if your 
> relatives see it?
> BUT I'm sure you don't want it. I definitely would not want to ...
>
> I will not do this if you pay me a little amount.
> I think $856 is a nice price for it!
>
> I accept only Bitcoins.
> My BTC wallet: 1PL9ewB1y3iC7EyuePDoPxJjwC4CgAvWTo
>
> If you have difficulty with this - Ask Google "how to make a payment on a 
> bitcoin wallet". It's easy.
> After receiving the above amount, all your data will be immediately 
> removed automatically.
> My virus will also will be destroy itself from your operating system.
>
> My Trojan have auto alert, after this email is looked, I will be know it!
>
> You have 2 days (48 hours) for make a payment.
> If this does not happen - all your contacts will get crazy shots with your 
> dirty life!
> And so that you do not obstruct me, your device will be locked (also after 
> 48 hours)
>
> Do not take this frivolously! This is the last warning!
> Various security services or antiviruses won't help you for sure (I have 
> already collected all your data).
>
> Here are the recommendations of a professional:
> Antiviruses do not help against modern malicious code. Just do not enter 
> your passwords on unsafe sites!
>
> I hope you will be prudent.
> Bye.

United Nations ei käytä g-mailia

Huijjausviesti jolla kalastetaan henkilötietoja. Tätä kutsutaan "phishing" -nimellä tai myös ID-varkaudeksi. HEITÄ viesti ROSKIIN. United Nations ei käytä ilmaista g-mail osoitetta missään tapauksessa etkä tule saamaan ainakaan tämän e-mailin kautta sentin senttiä mutta voit menettää runsaamminkin.