Edellinen blogiteksti kertoi "ewe.net" osoitteesta saapuneesta huijauskirjeestä.
Tämä plavelin on ilmeisen saastunut spämmääjistä joiden kirjeiden tarkoitus vaikuttaa olevan pääsääntöisesti "phishing" eli henkilötietokalastelu. Pidemmälle vietynä sen kirjeiden avulla saatetaan udella myös pankkitietoja tai luottokorttitietoja. Näitä tietoja EI tule antaa kenellekään verkkotoimijalle, sen todellisia aikeita ja taustoja selvittämättä. Poikkeuksen tekee oma pankkisi. Tarkista joka kerta myös pankissa asioidessasi, että sen osoite on oikein ja juuri se oikea ja virallinen.
Nyt kiertävissä roskaposteissa on sinun nimesi nostettu robotin kopioimana "lähettänimeksi" ja tämä on jo suuri varoitusmerkki kirjeen aikeista: sinun.nimesi <tim.meier1@ewe.net>. Tuota Tim Meiriä ei kannata etsiä, se nimi on tekaistu ja sillä on peitetty kirjeen todellinen lähettäjä.
Header analyysi on sama kuin eilisessä blogitekstissä: "laihdutatko-lompakkoasi", eli ihan puhtaasta huijausyrityksestä näissä kirjeissä on kyse. Linkit vievät tuntemattomille palvelimille ja tietourkintaa varten räätälöityyn haittaohjelmaan.
Analyysiä löytyy:
https://vaarallinenweb.blogspot.com/2020/03/laihdutatko-lompakkoasi.html
Näytetään tekstit, joissa on tunniste phishing. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste phishing. Näytä kaikki tekstit
perjantai 13. maaliskuuta 2020
keskiviikko 11. maaliskuuta 2020
FBI ei avusta verkossa huijattuja
Tämä on henkilötietovarkaus. FBI:n nimissä on saapunut vastaavia kirjeitä myös aikaisemmin ja olen niistä varottanut. Kertaus ei ole pahitteeksi.
Nimesi ja henkiklötietosi varastetaan seuraaviin verkkohuijauksiin. Heitä kirje roskikseen.
Lähettäjä:FBI office <enquiry@dutasuryasukses.com> (ei ole FBI vaan hämäystarkoituksessa varastettu osoite josta verkko kertoo mm. "Duta Surya Sukses sets a new milestone for the island's Gas Industry". Ei vaikuta FBI:ltä, vaikka peiteopertaatioita tekisikin peitenimillä)
Aihe: Your Urgent Response is needed (tyypillisesti huijarilla on kiire, jotta et ehtisi miettimään mistä oikeasti onkaan kysymys)
Headerista selviää, että lähetys on lähtenyt muualta kuin mitä lähetysosoite näyttää:
Kirje lupaa sinulle korvausta verkkohuijauksista mutta se on siis täyttä puppua. En ole tähän päivämäärään mennessä kuullut, että mikään rehellinen organisaatioi olisi jaellut korvauksia tai avustuksia verkkohuijatuille.
---------------------------------------EMAIL------------------------------------------
Nimesi ja henkiklötietosi varastetaan seuraaviin verkkohuijauksiin. Heitä kirje roskikseen.
Lähettäjä:FBI office <enquiry@dutasuryasukses.com> (ei ole FBI vaan hämäystarkoituksessa varastettu osoite josta verkko kertoo mm. "Duta Surya Sukses sets a new milestone for the island's Gas Industry". Ei vaikuta FBI:ltä, vaikka peiteopertaatioita tekisikin peitenimillä)
Aihe: Your Urgent Response is needed (tyypillisesti huijarilla on kiire, jotta et ehtisi miettimään mistä oikeasti onkaan kysymys)
Headerista selviää, että lähetys on lähtenyt muualta kuin mitä lähetysosoite näyttää:
Received: from [156.96.56.163] (port=52025 helo=User)
by sgvip1.noc401.com with esmtpa (Exim 4.93)
(envelope-from <enquiry@dutasuryasukses.com>) (tämä rivi kertoo,
miten lähettäjäosoite on saatu vaihdettua)
Seuraava rivi kertoo, minne vastauksesi olisi menossa. Ei suinkaan FBI:n, vaan huijarin osoitteeseen.Reply-To: <fbiheadquarters02@gmail.com>"gmail.com" - tekaistu GMAIL ilmaisosoite, tai mikä tahansa muu ilmaisosoite EI ole koskaan luotettava, eikä FBI:n käyttämä.
Kirje lupaa sinulle korvausta verkkohuijauksista mutta se on siis täyttä puppua. En ole tähän päivämäärään mennessä kuullut, että mikään rehellinen organisaatioi olisi jaellut korvauksia tai avustuksia verkkohuijatuille.
---------------------------------------EMAIL------------------------------------------
FBI HEADQUARTERS IN WASHINGTON, D.C
FEDERAL BUREAU OF INVESTIGATION
J. EDGAR HOOVER BUILDING
935 PENNSYLVANIA AVENUE, NW
WASHINGTON, D.C. 20535-0001
We have finally completed an investigation with the help of our
Intelligence Monitoring Network system, Your name and email address was
short listed as one of the victims of internet fraud, that is why we are
contacting you as one of the beneficiaries of this compensation
payment. We do understand what you went through in the hands of these
scammers, but you have to receive this compensation as part of our
effort to protect human rights all over the world.
This is to Inform You that the Federal Bureau Of Investigation (FBI) in
conjunction with the United Nations Compensation Commission (UNCC), has
agreed to pay a compensation of USD$850.000.00 ( Eight Hundred and Fifty
Thousand Dollars Only) to each of the victims of various internet
fraud, who may have lost their hard earned money in the hands of
internet fraudsters all over the world and Africa countries like
Nigeria, Ghana, Benin etc.
If you receive any E-mail from an unknown sender that you don’t understand forward it to these office for proper investigation.
Re-confirm the below to avoid double claim of your fund.
Your Full Name
Your Contact Address
Your Tel/Fax Numbers
Your Occupation
Your Nationality/Country
Age/Gender
NOTE: If You Receive This Message In Your Junk Or Spam It's Due To Your Internet Provider.
Thanks for your understanding as you follow instructions.
Christopher A. Wray
FBI Director.
-----------------------------------------------------------------------------
VASTAAVIA AIKAISEMPIA HUIJAUSYRITYKSIÄ:
YK:n nimissä. UN/IMF ei käytä minkäänlaiseen postitukseen G-mailin ilmaisosoitetta, eikä heillä ole tällaista kampanjaa menossa. Varoitus spämmistä löytyy IMF:n sivulta: https://www.imf.org/external/scams.htm
Edellinen YK:n nimissä tehty yritys oli 2017: https://vaarallinenweb.blogspot.com/2017/12/unites-nations-ei-kayta-g-mailia.html
Myös FBI:n nimissä on vastaavaa yritetty: https://vaarallinenweb.blogspot.com/2019/07/fbi-ansa-kiertaa-jalleen-postilaatikoita.html
Ja seuraava yritys" muka YK:sta": United Nations Headquarters in Geneva
VASTAAVIA AIKAISEMPIA HUIJAUSYRITYKSIÄ:
YK:n nimissä. UN/IMF ei käytä minkäänlaiseen postitukseen G-mailin ilmaisosoitetta, eikä heillä ole tällaista kampanjaa menossa. Varoitus spämmistä löytyy IMF:n sivulta: https://www.imf.org/external/scams.htm
Edellinen YK:n nimissä tehty yritys oli 2017: https://vaarallinenweb.blogspot.com/2017/12/unites-nations-ei-kayta-g-mailia.html
Myös FBI:n nimissä on vastaavaa yritetty: https://vaarallinenweb.blogspot.com/2019/07/fbi-ansa-kiertaa-jalleen-postilaatikoita.html
Ja seuraava yritys" muka YK:sta": United Nations Headquarters in Geneva
torstai 8. elokuuta 2019
Virustarkistus ei ole huijjaustarkistus
Tällaisia kirjeitä saapuu silloin tällöin. Usein olen varoittanut näistä olemattomista lahjoituksista joita tunkee postilatikoihin. Tämän otin esille ainoastaan tuon "virustarkistus" -tekstinsä vuoksi. Se EI takaa, etteikö kyseessä ole huijjausyritys. Kyllä on. Huijjarintarkistusohjelmaa ei vielä ole kehitetty. Tilausta sille toki olisi.
Tämä vaikuttaa ID - eli henkilötietovarkausyritykseltä, jossa tullaan utelemaan sinun tietojasi aina pankkiyhteyksiä myöten. Sen jälkeen tilisi saldo saattaa kääntyä laskusuuntaan.
Kirje saapui otsikolla "Donation" lahjoitus.
Lähetysosoite: viittaa Intiaan. Muuta tietoa ei omistajasta ole näkyvissä rekisterissä
Registrant State/Province: Tamil Nadu
Registrant Country: IN
Palautusosoite viittaa venäläiseen ilmaispostipalveluun. Onpa jälleen köyhä "lahjoittaja" liikenteessä.
Tämä vaikuttaa ID - eli henkilötietovarkausyritykseltä, jossa tullaan utelemaan sinun tietojasi aina pankkiyhteyksiä myöten. Sen jälkeen tilisi saldo saattaa kääntyä laskusuuntaan.
Kirje saapui otsikolla "Donation" lahjoitus.
Lähetysosoite: viittaa Intiaan. Muuta tietoa ei omistajasta ole näkyvissä rekisterissä
Registrant State/Province: Tamil Nadu
Registrant Country: IN
Palautusosoite viittaa venäläiseen ilmaispostipalveluun. Onpa jälleen köyhä "lahjoittaja" liikenteessä.
maanantai 22. heinäkuuta 2019
F.B.I ansa kiertää jälleen postilaatikoita
Tämä on ID kalastusansa johon ei tule vastata. Jos annat tietosi tälle huijjarille, se tietää rahan menoa, ei tuloa.
Otsakkeena oli: COMPENSATION
Lähettäjä: "F.B.I."
kirje tuli japanilaisesta osoitteesta: "tomosaka@chem.gunma-ct.ac.jp"
Onko FBI muuttanut Japaniin? Ei ainakaan tämä osoite vakuutta sitä. Domain viittaa yliopistomaailmaan. Kirjeen alaosassa oleva "agentin" osoite veisi huijjarin tilille (jos se enää toimii). Tili on listattu "scammeriksi" verkkosivulla: https://419scam.org/419-usa-com.htm
Kirje on sisällöltään suorastaan huvittava.
---------------------------KIRJE--------------------------
Otsakkeena oli: COMPENSATION
Lähettäjä: "F.B.I."
kirje tuli japanilaisesta osoitteesta: "tomosaka@chem.gunma-ct.ac.jp"
Onko FBI muuttanut Japaniin? Ei ainakaan tämä osoite vakuutta sitä. Domain viittaa yliopistomaailmaan. Kirjeen alaosassa oleva "agentin" osoite veisi huijjarin tilille (jos se enää toimii). Tili on listattu "scammeriksi" verkkosivulla: https://419scam.org/419-usa-com.htm
Kirje on sisällöltään suorastaan huvittava.
---------------------------KIRJE--------------------------
FEDERAL BUREAU OF INVESTIGATION (FBI)
Cyber Crime And Anti-Terrorist Crime Division
FBI HEAD-QUARTERS: J. Edgar Hoover Building 935
Pennsylvania Avenue, NW Washington, DC 20535-0001
United States Of America.
Dear "BENEFICIARY"
Greetings to you from the Federal Bureau of Investigation (FBI) Monetary
Crime Investigation Department. We are delighted to notify you that we
have noticed through our Intelligence Monetary Monitoring Network (IMMN)
that your APPROVED compensation funds have not reached you, due to bad
and corrupt officers. So far, we have been able to arrest the officers
involved and they are now under investigation. It may interest you to
know that this Compensation Funds has been awarded to you and few
selected Individuals from different part of the world, by the United
Nations Financial Economic and Social Council. You are been compensated
because your email address was on the list of scammed victims which we
discovered from our recent arrest of some scammers, integrated with the
fact that you have an adequate citizenship record with your government.
This mail is to enlighten and update you about the approval for the
complete release and payment of your Compensation Fund to you by the FBI
reliable genuine source. I am Executive Assistant Director AMY HESS, a
vastly and highly placed FBI Officer. At our recent meeting held with
the United Nations Financial Economic and Social Council, I was assigned
to take responsibility of (20) lucky beneficiaries compensation Fund
Remittance/Payment to them without stress or delay. So it is a pleasure
to let you know that you are lucky to be among the list of individuals
whose Compensation funds have been approved for payment under the
stipulated guidelines of the United Nations Financial Economic and
Social Council. We believe this Fund will be of a great help to redeem
you from all the difficulties of life.
We are also delighted to apprise you that the total sum of
US$5,500,000.00 (Five Million Five Hundred Thousand United State
Dollars) has been approved for payment to you. This amount has been
verified and processed by the Funds Remittance Unit (F.R.U) in your name
and its now ready to be released/paid to you. BUT FOR YOUR NOTICE: Each
beneficiary fund has been deposited into different fix account with the
Bank of America (BOA). In respect to this progress (i) an ATM DEBIT
MASTER CARD has been issued in your favor and it is capable of
withdrawing out the maximum sum of US$10,000 on a daily basis from your
$5,500,000.00 US Dollar. Notwithstanding, (ii) the money can also be
TRANSFERRED into your distinctive bank account or (iii) via CERTIFIED
BANK DRAFT, (IV) the compensation payment can also be delivered to you
in a LOCKED SECURITY SUITCASE CONSIGNMENT BOX. These are the four
available methods whereby we can easily remit your Compensation Payment
of
(US$5.5M
) to you.
Endeavor to read carefully and understand, so that we can arrange and
submit your final paper works, in order to facilitate the immediate
release/payment to you. Beware that the Insurance, Anti-Money Laundering
fee and other governmental tax on your funds has been taken care of by
the United Nation Financial Economy and Social Council. So all we need
now is your personal information and details to proceed with the payout
of your compensation funds to you, and also to complete the registration
of your REMITTANCE CHOICE.
You are to pay the sum of $680 US Dollar required to complete the
documentation process, for the release of your COMPENSATION FUND.
Kindly provide the requested details below.
* Full Name:
* Address:
* Home/Mobile Phone:
* Occupation:
* Age:
The above details is required to ensure the complete documentation of
your file. So if you are seriously interested to claim and collect your
legitimate compensation fund, which is almost overdue, then contact your
active FBI correspondent & directing Special Agent Officer with his
official confidential contact details below. You are advised to adhere
and comply with the simple directives from his office on how your
Compensation Funds of US$5.5M can be delivered or transferred to you in
peace, without stress or any governmental obstructions.
Charlie ALFIE.
Special Agent in charge (SAC)
FBI.
Email: fbi1234@usa.com
Congratulations towards your effort in making this transaction a
success. If you have received this official e-mail letter in your
SPAM/BULK folder, that is because of the email maintenance restrictions
implemented by the Internet Service Provider (ISP). The (FBI) urge you
to treat this genuinely and you are to keep this transaction strictly
confidential, until you are in full possession of your compensation
fund. This is to ensure your safety, and to avoid disqualification or
termination of your claim process.
NOTE: All funds have been moved to the FBI over here in Washington D.C
and that is why we are contacting you directly from here. So if you have
been contacting anyone or office about your fund and it is not coming
through, then you must put a FULL STOP to such
communication/transaction. But if you are not contacting anyone then
quickly claim your compensation funds today.
It was also agreed at the meeting that after releasing out this
information to all lucky beneficiaries, whosoever compensation funds
that will be found in the Compensation Award Financial Database waiting
without claims after the submission of every payment awareness e-mailed
letter, such funds shall be confiscated and forfeited back to the United
Nations account within (120) working hours. This office and your
correspondent special agent will be looking forward to hear from you. As
soon as you receive this message, kindly write back with the required
details and your preferred option of payment. Upon receipt of your
details and payment option, you will be provided with payment details in
order to remit the $680 US Dollar required for the complete
documentation of claim process.
Yours Reliable & Trustworthy.
Executive Assistant Director: AMY HESS
Of The:
Cyber Crime & Anti-Terrorist Crime Division____(FBI)
FBI HEAD-QUARTERS: J. Edgar Hoover Building 935
Pennsylvania Avenue, NW Washington, D.C 20535-0001
United States Of America.
tiistai 28. toukokuuta 2019
Huijjariko korvaisi sinulta huijjatut rahat?
Varsinainen yritys tämäkin.
"Western Unionin nimissä" luvataan miljoonakorvauksia verkkohuijjareiden uhreille.
Täyttä potaskaa. Tällaisiin viesteihin ei ole mitään syytä uskoa.
Sitäpaitsi, minua ei ole koskaan onnistuttu huijjaaman, joten sähköpostiosoitteeni EI siis voi olla peräisin mistään "huijattujen rekisteristä". JA vaikka teitä olisikin huijjattu, tämä huijjari vie teiltä lisää rahaa, eikä palauta varmasti senttiäkään. Sähköpostiosoitteita huijjarit kaappailevat mistä milloinkin.
Viestin alapuolella on analyysiä, jos joku kaipaa tarkempia perusteluita väitteelleni.
-------------------------------KIRJE--------------------------------------
"Western Unionin nimissä" luvataan miljoonakorvauksia verkkohuijjareiden uhreille.
Täyttä potaskaa. Tällaisiin viesteihin ei ole mitään syytä uskoa.
Sitäpaitsi, minua ei ole koskaan onnistuttu huijjaaman, joten sähköpostiosoitteeni EI siis voi olla peräisin mistään "huijattujen rekisteristä". JA vaikka teitä olisikin huijjattu, tämä huijjari vie teiltä lisää rahaa, eikä palauta varmasti senttiäkään. Sähköpostiosoitteita huijjarit kaappailevat mistä milloinkin.
Viestin alapuolella on analyysiä, jos joku kaipaa tarkempia perusteluita väitteelleni.
-------------------------------KIRJE--------------------------------------
Attention: This is to bring to your notice that Money transfer giant Western Union has agreed to pay $586 million in connection with its failure to prevent criminals from moving ill-gotten money using its platform, according to federal authorities. Each scam victims are entitled to $1, 200, 000.00(one million two hundred thousand dollars) this was agreed by the board of directors of WESTERN UNION this year. Western Union admitted to criminal violations including its willful failure to maintain an effective anti-money laundering program and aiding and abetting wire fraud. Western Union owes a responsibility to American and the world consumers to guard against fraud, so this little token was set aside to compensate all scam victims and does that have lost money in the aid of sending money for business or other personnel issues. As part of the agreement with authorities, Western Union has agreed to implement stricter policies to prevent future fraud and money laundering. The forfeiture of $586 million will be used to reimburse consumers who were victims of fraud from 2004 to 2019. It is the largest forfeiture that has ever been imposed on a money services business. You are to contact JPMorgan Chase bank for immediate transfer of your fund to your nominated bank with your details and bank details as stated below. 1) Your full name: _ 2) Your full address: _ 3) Your telephone: _ 3) Your occupation, age and marital status: 4) Any valid form of identification/Driven license#: _ 5) Bank name: _ 6) Bank address: _ 7) Account name: _ 8) Account number: _ 9) Routing number: _ You are receiving this email because your email address was generated by our system as one of the victim. Where to send the details to Mr. Raymond Moore casebank_westerunion@usa.com (linkki poistettu ja sähköpostia hieman muutettu vahinkojen ehkäisemiseksi) Best Regards, CEO: Hikmet Ersek
------------------------------------------------------------
Ensinnäkään, näin järjettömiä summia ei mikään instanssi korvaa verkkohuijjatuille edes hakemuskesta, saati sitten ilman hakemusta. Täysin älytön teksti. Myös henkilötietojen keruu sähköpostilla on täysin vastuutonta, eikä sellaiseen ansaan tule kenenkään langeta. Tässä kerätään myös pankkitietoja, joita ei missään tapauksessa tule antaa, kuin luotettaville toimijoille ja tämä huijjari ei sellainen ole. Chase Bank on olemassa MUTTA nämä osoitteet eivät vie sinne, vaan huijjarin omalle tilille. Jos kyseessä olisi todellinen Chase Bank sen oikea osoite on Chase.com
Kirje on lähtenyt: mail.kimiack.com (NewYork USA) From: "WESTERN UNION OFFICE"<lee@rmg.in> (.IN on Intian maakoodi)lähetyksen domannimen rekisteröinti on tapahtunutwww.nixi.in/ - siis intialaisen verkko-osoitteen kautta. Se kuluuJoomla-porukoille - the dynamic portal engine and content management system. Joomla on projektin omaisesti tuotettu ilmainen julkaisualusta. Joomla on ollut pitkään hakkereiden suosiossa, koska siinä on ollut tietoturva-aukkoja.Maa on GB ja kaupunki Lontoo, muuta tietoa ei rekisteröijä ole itsestään jättänyt kuten huijjareilla tapana on)
Vastausosoite: Reply-To: www.chasebank.com@usa.com ja chasebank_westernunion@usa.com Tämä on ilmaisosoite. Rekisteröijä on tunnettu yritys mutta e-mailien omistajista ei ole tietoa ja tuskin koskaan saadaankaan.
domainnimi: usa.com (on siis ilmaissähköpostiosoitteita jakeleva yritys)Registrant Name: ATTN Domain Inquiries Registrant Organization: World Media Group Registrant Street: 90 Washington Valley Rd. #1128 Registrant City: Bedminster Registrant State/Province: NJ Registrant Postal Code: 07921 Registrant Country: US Kirje ei sisältänyt oikeasti ainuttakaan rehellistä osoitetta josta jonkun henkilön tai firman saisi kiinni. Tyypillistä huijjareille myös on, että käytetään ilmais e-mail-osoitteita, peiteltyjä rekisteröijjänimiä ja rekisteröidään eri domannimiä ympäri maailmaa.
maanantai 15. huhtikuuta 2019
Woody Howardin $10.5 miljoonan USD perintö jaossa
Makaaberi nyyhkyansa jonka lähettäjä on aivan varmasti täysissä ruumiinvoimissa oleva karvainen miseshenkilö, joka uskoo nyyhkytarinan ja rahan tarjoamisen murtavan vastaanottaja järjen kahleet.
Tämä kirje itsessään on sairas, ei sen lähettäjä (jos rikollista mieltä ei lasketa sairaudeksi).
Normaalisti, tällaisissa ansoissa rahansiirtoon tarvitaan rahaa jota pyydetään sinulta ja perinnöstä ei kuulu sen jälkeen enää hiiskahdustakaan. Pahimmassa tapauksessa myös pankkitietosi ja henkilötietosi varastetaan seuraavaan rikolliseen käyttöön.
Tämä spämmi on postitettu usealle muulekin "onnelliselle" varastetun sähköpostilistan avulla.
Lähettäjän osoite on ilmaisosoite (gmail) joten sen todellisesta omistajasta, eikä omistajan oikeasta nimestä, ei ole minkäänlaisia takeita.
---------------------------------KIRJE---------------------------------------
Tämä kirje itsessään on sairas, ei sen lähettäjä (jos rikollista mieltä ei lasketa sairaudeksi).
Normaalisti, tällaisissa ansoissa rahansiirtoon tarvitaan rahaa jota pyydetään sinulta ja perinnöstä ei kuulu sen jälkeen enää hiiskahdustakaan. Pahimmassa tapauksessa myös pankkitietosi ja henkilötietosi varastetaan seuraavaan rikolliseen käyttöön.
Tämä spämmi on postitettu usealle muulekin "onnelliselle" varastetun sähköpostilistan avulla.
Lähettäjän osoite on ilmaisosoite (gmail) joten sen todellisesta omistajasta, eikä omistajan oikeasta nimestä, ei ole minkäänlaisia takeita.
---------------------------------KIRJE---------------------------------------
My name is Mrs. Woody Howard , I am a dying
woman who had decided to donate what I have to the Charities. I am 60
years old and was diagnosed for cancer about four years ago, immediately
after the death of my husband in plane Crash as a pilot, I have been
touched to donate from what I have inherited from my late husband for
the good work rather than allow his relatives to use my husband's hard
earned fund.
As I lay on my sick bed, I want you to help me in carrying out my last wish on earth which will be very profitable to you. I want to WILL a total sum of $10.5 million USD (Ten Million Five Hundred Thousand United State Dollars)to you which I want you to distribute part of it to any charity home for me and the rest for yourself and your family which I will inform you on how to share all, please for further information contact me ASAP.
Regards,
Mrs. Woody Howard
As I lay on my sick bed, I want you to help me in carrying out my last wish on earth which will be very profitable to you. I want to WILL a total sum of $10.5 million USD (Ten Million Five Hundred Thousand United State Dollars)to you which I want you to distribute part of it to any charity home for me and the rest for yourself and your family which I will inform you on how to share all, please for further information contact me ASAP.
Regards,
Mrs. Woody Howard
-----------------------------------------------------------------------------------
keskiviikko 10. huhtikuuta 2019
Yandexin osoitteesta ei tule FaceBook palkintoa
Brasilialaiselta palvelimelta lähetetty spämmi, jossa houkutellaan ansaan FaceBook palkinnolla.
kirjeessä ei ole muuta linkkiä kuin mahdollisuus "reply" eli vastausosoitteeseen kontaktoiminen.
ÄLÄ tee sitä. Sinua ei odota palkinto vaan vähintäänkin tietokalastusansa. Vastausposti menisi Venäjälle tai ainakin venäläiseen ilmaisosoitteeseen, joka viittaa henkilötieto- ja FaceBook-tunnusvarkausyritykseen. FaceBook tilitietojasi urkitaan rikolliseen käyttöön.
---------------------------------KIRJE-----------------------------------
Kirjeen header osa kertoo karua kieltä "MUKA FaceBook" kirjeestä:
Received: from Corewayprojects (unknown [107.170.67.21]) (tuntematon osoite)
X-Authentication-Warning: localhost.localdomain: www-data set sender to
logmein@netnews.srv.br using -f
TÄMÄ OSOITE VIE BRASILIAAN
domain: netnews.srv.br
owner: Netnews Ltda
ownerid: 00.739.382/0001-70
responsible: Braulio Anderson G. Mendes
country: BR
Subject: 2019 AWARD X-PHP-Originating-Script: 33:logtaz.php From: FACEBOOK <logmein@netnews.srv.br> (SIIS ON BRASILIALAINEN OSOITE)
Reply-To: promotionfacebook@yandex.com
TÄMÄ PALUUOSOITE VIE VENÄJÄLLE - ILMAISOSOITTEESEEN. Domannimi on myytävänä jos jotakuta kiinnostaa. Hinnasta ei ole tietoa. Se on jo sen verran ryvettynyt erilaisesta spämmitoiminnasta, että en suosittele kenellekään sen ostamista.
Message-ID:<97a3090260612216773caa70fcd43ab6@radadiyaparivar.in> X-Mailer: Leaf PHPMailer 2.7 (leafmailer.pw) This is to inform you that your Facebook Account has won a prize money of $1,000,000,00
kirjeessä ei ole muuta linkkiä kuin mahdollisuus "reply" eli vastausosoitteeseen kontaktoiminen.
ÄLÄ tee sitä. Sinua ei odota palkinto vaan vähintäänkin tietokalastusansa. Vastausposti menisi Venäjälle tai ainakin venäläiseen ilmaisosoitteeseen, joka viittaa henkilötieto- ja FaceBook-tunnusvarkausyritykseen. FaceBook tilitietojasi urkitaan rikolliseen käyttöön.
---------------------------------KIRJE-----------------------------------
Kirjeen header osa kertoo karua kieltä "MUKA FaceBook" kirjeestä:
Received: from Corewayprojects (unknown [107.170.67.21]) (tuntematon osoite)
X-Authentication-Warning: localhost.localdomain: www-data set sender to
logmein@netnews.srv.br using -f
TÄMÄ OSOITE VIE BRASILIAAN
domain: netnews.srv.br
owner: Netnews Ltda
ownerid: 00.739.382/0001-70
responsible: Braulio Anderson G. Mendes
country: BR
Subject: 2019 AWARD X-PHP-Originating-Script: 33:logtaz.php From: FACEBOOK <logmein@netnews.srv.br> (SIIS ON BRASILIALAINEN OSOITE)
Reply-To: promotionfacebook@yandex.com
TÄMÄ PALUUOSOITE VIE VENÄJÄLLE - ILMAISOSOITTEESEEN. Domannimi on myytävänä jos jotakuta kiinnostaa. Hinnasta ei ole tietoa. Se on jo sen verran ryvettynyt erilaisesta spämmitoiminnasta, että en suosittele kenellekään sen ostamista.
Message-ID:<97a3090260612216773caa70fcd43ab6@radadiyaparivar.in> X-Mailer: Leaf PHPMailer 2.7 (leafmailer.pw) This is to inform you that your Facebook Account has won a prize money of $1,000,000,00
torstai 28. maaliskuuta 2019
GOOGLE FOUNDATION 2019 GRANTS
Näitä Google GRANTS kirjeitä satelee eri osoitteista. Tässä yksi kirje analysoituna.
Tämä onnittelukirjeansa on saapunut osoitteesta:
Se kertoo, että domannimi kuuluu Britanian valtiolliselle toimijalle ja on ilmeisimmin, näin ollen hakkeroitu osoite tai palvelin jolle on rakennettu alidomannimiä, tai kaapattu spämmäys-käyttöön niitä käyttäviä e-mailosoitteita.
Vastausosoite menisi jälleen spämmereiden suosimaan gmail - ilmaisosoitteeseen:
Mitä verkko tietää osoitetyypistä: googlemail.com:
Tämä onnittelukirjeansa on saapunut osoitteesta:
Received: from thor.missal.pr.gov.br From: "Google.org" <gabinete@missal.pr.gov.br>Thor viittaa salattuun verkkoon mutta ei välttämättä merkitse tässä alidomannimessä mitään. Tosin tuosta osoitteesta edellen ohjattu linkki saattaa kiertää Tor-verkon kautta. Merkittävin osuus löytyy tietysti "gov.br" päätteestä.
Se kertoo, että domannimi kuuluu Britanian valtiolliselle toimijalle ja on ilmeisimmin, näin ollen hakkeroitu osoite tai palvelin jolle on rakennettu alidomannimiä, tai kaapattu spämmäys-käyttöön niitä käyttäviä e-mailosoitteita.
Vastausosoite menisi jälleen spämmereiden suosimaan gmail - ilmaisosoitteeseen:
Reply-To: burgedykes@googlemail.com
Mitä verkko tietää osoitetyypistä: googlemail.com:
What is the difference between @gmail.com and @googlemail.com ...
When you sign up for an ID on gmail, you actually get more than one email IDs, you also get googlemail .com address, its a lesser known fact but you
also get googlemail .com address, its a lesser known fact but you also get around 10-15 more email IDs usually.
you
can add special characters like dots(.) and plus sign (+) to your email
address to create a dummy email which would lead to your own inbox.
Tämä tarkoittaa lyhyesti, että spämmääjällä on käytössään 10-15 kpl erilaista e-mail identitettiä varioimalla omaa gmail-postiosoitetta ja kaikki johtavat hänen tililleen.
Kun tili on ilmainen, sen voi hylätä heti, kun tilanne "kuumenee" kärähtämisvaara-asteelle.
Googlen nimissä on hieman nokkelampikin ansa mutta toistaiseki en ole itse sellaista saanut: https://www.is.fi/digitoday/tietoturva/art-2000005053338.html
Laitoin poikkeuksellisesti itse kirjeen tänne loppuun, koska sen "potaska" oli niin järkyttävän pitkä.
Kyseessä on selkeä ID varkausyritys. Henkilötietosi urkitaan "Googlen nimissä" rikolliseen käyttöön.
------------------------------------KIRJE-----------------------------------
Google org
1-13 St Giles High Street
London WC2H 8AG
United Kingdom
Website: www.google.org
Our Ref: UK/019-11223/GFG
GOOGLE FOUNDATION 2019 GRANTS
We wish to congratulate you on this note for being selected as a major customer this year. This promotion was set-up to encourage active users of Google search engine and the Google ancillary services and confirmed by our co-sponsors Visa*/MasterCard* International. Google earns its profit mainly from advertising using their own Gmail, Gala, Sify e-mail services, Google Maps, Google Apps, Orkut social networking, You Tube video sharing, Google search engine and Google ancillary services which are all offered to the public for free. EACH YEAR, GOOGLE DONATES One Hundred Million United State Dollars IN GRANTS, and One Billion United State Dollars IN PRODUCTS.
Hence we do believe with your grant, you will continue to be active and patronize Google search engine. Google is now the biggest search engine Worldwide and in an effort to make sure that it remains the most widely used search engine, we ran an online e-mail beta test which your email address won Two Million Four Hundred and Fifty Thousand Great British Pound Sterling (£2,450,000 GBP). We wish to formally inform you that you have successfully passed the requirements, statutory obligations, verification, validations and satisfactory report test conducted to all on-line winners. A bank draft of Two Million Four Hundred and Fifty Thousand Great British Pound Sterling (£2,450,000 GBP) will be issued in your name by Google Foundation Board (UK).
Furthermore, your details falls within our UK representative office as indicated in our database and your grant will be released to you from our UK regional office in London United Kingdom.
You are required to Contact Google Foundation Board (UK), using below contact details for the documentation and processing of your grant.
CONTACT DETAILS
Name: Mr. Burge Dykes
Email: burgedykes@googlemail.com
Do e-mail the Foundation Board office at once with the Verification and Funds release form below for validation of your grant. You are also advised to contact our Google Payment Coordinator (Mr. Burge Dykes via the above email) with the following details below to avoid unnecessary delay and complications.
MANDATORY VERIFICATION AND FUNDS RELEASE FORM
-Residential Address:
-Tel (Mobile):
-Nationality/Country:
-Full Name:
-Age/Sex:
-E-mail Address:
-Occupation/Position:
-What is your comment on Google Foundation?
Google values your right to privacy! Your information is 100% secured and will be used exclusively for the purpose of this grant only.
Note: This is a FOUNDATION GRANT not a LOTTERY. Google is not into LOTTERY.
For security reasons, you are advised to keep your winning information confidential till your claims are processed and your money remitted to you. This is part of our precautionary measure to avoid double claiming and unwarranted abuse of this program by some unscrupulous elements. Please be warned!
Congratulations from the Staffs & Members of Google and Google Foundation Board.
Sincerely,
Jacquelline Fuller
Director
©2019 Google Corporation
Powered by Google
Tämä tarkoittaa lyhyesti, että spämmääjällä on käytössään 10-15 kpl erilaista e-mail identitettiä varioimalla omaa gmail-postiosoitetta ja kaikki johtavat hänen tililleen.
Kun tili on ilmainen, sen voi hylätä heti, kun tilanne "kuumenee" kärähtämisvaara-asteelle.
Googlen nimissä on hieman nokkelampikin ansa mutta toistaiseki en ole itse sellaista saanut: https://www.is.fi/digitoday/tietoturva/art-2000005053338.html
Laitoin poikkeuksellisesti itse kirjeen tänne loppuun, koska sen "potaska" oli niin järkyttävän pitkä.
Kyseessä on selkeä ID varkausyritys. Henkilötietosi urkitaan "Googlen nimissä" rikolliseen käyttöön.
------------------------------------KIRJE-----------------------------------
Google org
1-13 St Giles High Street
London WC2H 8AG
United Kingdom
Website: www.google.org
Our Ref: UK/019-11223/GFG
GOOGLE FOUNDATION 2019 GRANTS
We wish to congratulate you on this note for being selected as a major customer this year. This promotion was set-up to encourage active users of Google search engine and the Google ancillary services and confirmed by our co-sponsors Visa*/MasterCard* International. Google earns its profit mainly from advertising using their own Gmail, Gala, Sify e-mail services, Google Maps, Google Apps, Orkut social networking, You Tube video sharing, Google search engine and Google ancillary services which are all offered to the public for free. EACH YEAR, GOOGLE DONATES One Hundred Million United State Dollars IN GRANTS, and One Billion United State Dollars IN PRODUCTS.
Hence we do believe with your grant, you will continue to be active and patronize Google search engine. Google is now the biggest search engine Worldwide and in an effort to make sure that it remains the most widely used search engine, we ran an online e-mail beta test which your email address won Two Million Four Hundred and Fifty Thousand Great British Pound Sterling (£2,450,000 GBP). We wish to formally inform you that you have successfully passed the requirements, statutory obligations, verification, validations and satisfactory report test conducted to all on-line winners. A bank draft of Two Million Four Hundred and Fifty Thousand Great British Pound Sterling (£2,450,000 GBP) will be issued in your name by Google Foundation Board (UK).
Furthermore, your details falls within our UK representative office as indicated in our database and your grant will be released to you from our UK regional office in London United Kingdom.
You are required to Contact Google Foundation Board (UK), using below contact details for the documentation and processing of your grant.
CONTACT DETAILS
Name: Mr. Burge Dykes
Email: burgedykes@googlemail.com
Do e-mail the Foundation Board office at once with the Verification and Funds release form below for validation of your grant. You are also advised to contact our Google Payment Coordinator (Mr. Burge Dykes via the above email) with the following details below to avoid unnecessary delay and complications.
MANDATORY VERIFICATION AND FUNDS RELEASE FORM
-Residential Address:
-Tel (Mobile):
-Nationality/Country:
-Full Name:
-Age/Sex:
-E-mail Address:
-Occupation/Position:
-What is your comment on Google Foundation?
Google values your right to privacy! Your information is 100% secured and will be used exclusively for the purpose of this grant only.
Note: This is a FOUNDATION GRANT not a LOTTERY. Google is not into LOTTERY.
For security reasons, you are advised to keep your winning information confidential till your claims are processed and your money remitted to you. This is part of our precautionary measure to avoid double claiming and unwarranted abuse of this program by some unscrupulous elements. Please be warned!
Congratulations from the Staffs & Members of Google and Google Foundation Board.
Sincerely,
Jacquelline Fuller
Director
©2019 Google Corporation
Powered by Google
torstai 7. maaliskuuta 2019
BMW olisi tulossa. Rahti pitää tietenkin maksaa
Uusi huijjaus BMW:n merkeissä.Agentti Jonesin e-mail on hieman epäuskottavasti jälleen ilmainen gmail. Kyseessä on myös phishing eli henkilötietokalastus,
Vaikka e-mail näyttää olevan tulossa osoitteesta:
----------------------------KIRJE-------------------------------------------
Vaikka e-mail näyttää olevan tulossa osoitteesta:
From: Dr. Norbert Reithofer<info@bmw.org>Ei kannata olla sen toiveikkaampi kirjeen aitoudesta. Tämä on huijjausta. Yksikään vastuullisessa asemassa oleva BMW:n pomo ei lähetä firmansa "info" osoitteella e-mailia kenellekään, eikä myöskään laita palaute- tai yhteydenotto-osoitteekseen ilmaisosoitetta..
----------------------------KIRJE-------------------------------------------
Dear BMW Enthusiast, This is to inform you that you have been selected for a prize of a brand new 2018 Model, BMW 7 Series Sedan 750LI Car and a Check of $10,000,000.00 USD (Ten Million United States Dollars) which include IPhone S, and Apple Laptop from international programs held at the first section of 2018 in the UNITED STATES OF AMERICA. The selection process was carried out through random selection in our computerised email selection system (ESS) from a database of over 250,000 email addresses drawn from all the continents of the world which you were selected. The BMW Lottery is approved by the British Gaming Board and also Licensed by the International Association of Gaming Regulators (IAGR). To begin the processing of your prize you are to contact our fiduciary claims department for more information as regards procedures to claim your prize. Agent Name: Mr. Jones Smith Agent Email: agent.jonessmithxxxxx@gmail.com Call or Text: ( +1-669-257-3264 ) Contact him by providing him with your secret pin code Number BMW:2551256008/18. You are also advised to provide him with the under listed information as soon as possible: 1.Name in full. 2.Address. 3.Nationality. 4.Age. 5.Occupation. 6.Phone/Fax. 7.Present Country. 8.Email address. 9.pin code Number BMW:2551256008/18 NOTE: Delivery cost is mandatory in claiming your winning. You are advised to furnish Mr. Jones Smith, with your correct and valid details. Also be informed that your grand prize is valued $10,000,000.00 USD. The only money you will send to him is $550 for the delivery and Approval Payment Certificate from IMF. Dr. Norbert Reithofer. THE BMW SALES DIRECTOR PROMOTIONS BMW SALES LOTTERY DEPARTMENT UNITED STATES OF AMERICA
keskiviikko 13. helmikuuta 2019
PayPal käyttää epämääräistä osoitetta
PayPal käyttää itse sellaista osoitetta tiedotuksissaan, jota voisi epäillä verkkorikollisten rakennelmaksi. Linkissä, joita kirjeeessä on, lukee domannimen kohdalla "epl.paypal-communication.com". Linkin kautta saapuu ihan viralliseen "paypal.com" osoitteeseen. MIKSI PayPal ei sitten käytä suoraan virallista osoitettaan vaan käyttää merkillistä domannimeä joista se tietokalastelusta varoittavalla sivullaan nimenomaan varottaa? Päyristyttävää logiikkaa.
Olen jo aikasemmin kiinnittänyt tähän omalaatuisuuteen huomiota ja ilmoittanut PayPalille mutta asia ei näytä korjaantuvan. https://vaarallinenweb.blogspot.com/2018/03/onko-paypalin-eplpaypal.html
-----------------------------------PayPalin varoitussivu-----------------------------------
Olen jo aikasemmin kiinnittänyt tähän omalaatuisuuteen huomiota ja ilmoittanut PayPalille mutta asia ei näytä korjaantuvan. https://vaarallinenweb.blogspot.com/2018/03/onko-paypalin-eplpaypal.html
-----------------------------------PayPalin varoitussivu-----------------------------------
Tietojen kalastelun tunnistaminen
Mitä on tietojen kalastelu?
Tietojen kalastelu (phishing) on yksi
verkkohuijausten muoto, jolla henkilöllisyytesi yritetään varastaa
yleensä taloudellista hyötyä varten.
Tietojen kalastelulla sinut yritetään petollisesti saada paljastamaan arkaluontoisia tietojasi, kuten luotto- ja pankkikorttien numeroita, salasanoja tai pankkitilien tietoja.
Eräs yleisimmistä tietojen kalastelutavoista on lähettää huijaussähköposti, joka näyttää tulevan luotettavalta yritykseltä tai tuotemerkiltä. Tämä sähköposti ohjaa sinut tunnetun verkkosivuston väärennettyyn versioon, joka tallentaa antamasi tiedot, esimerkiksi salasanan ja taloudelliset tiedot.
PayPal on sitoutunut auttamaan näiden sivustojen sulkemisessa ja varmistamaan, että havaitset tietojen kalastelun välittömästi. Meidän tehtävämme on suojata henkilöllisyytesi mahdollisimman hyvin verkossa.
Tietojen kalastelulla sinut yritetään petollisesti saada paljastamaan arkaluontoisia tietojasi, kuten luotto- ja pankkikorttien numeroita, salasanoja tai pankkitilien tietoja.
Eräs yleisimmistä tietojen kalastelutavoista on lähettää huijaussähköposti, joka näyttää tulevan luotettavalta yritykseltä tai tuotemerkiltä. Tämä sähköposti ohjaa sinut tunnetun verkkosivuston väärennettyyn versioon, joka tallentaa antamasi tiedot, esimerkiksi salasanan ja taloudelliset tiedot.
PayPal on sitoutunut auttamaan näiden sivustojen sulkemisessa ja varmistamaan, että havaitset tietojen kalastelun välittömästi. Meidän tehtävämme on suojata henkilöllisyytesi mahdollisimman hyvin verkossa.
tiistai 12. helmikuuta 2019
ANSALINKKI Google haussa
Google ei pysty takaamaan hakujen turvallisuutta. Se kerää haittasivuista ilmoituksia mutta niitähän tulee aina uusia kuin sieniä sateella.
Törmäsin juuri yhteen, hakutulosten joukkoon päätyneeseen haittasivuun joka ilmoitti palkinnosta ja pyysi osallistumaan - ikäänkuin - "FireFox käyttäjäkyselyyn". ÄLÄ osallistu. Siinä kerätään henkilötietoja. Kyselijä EI ole FireFox vaan hakkeri joka kerää henkilötietoja rikokselliseen toimintaan - ikäänkuin - palkinnon toimittamista varten. ÄLÄ anna tietojasi. Toisaalta mistä tahansa verkon linkistä saattaa putkahtaa koneellesi haittaohjelma. Jos tällaisen, epämääräisen sivuvierailun jälkeen, koneellesi ilmaantuu ikkuna, jossa pyydetään lupaa asentaa jokin apuohjelma joka on aivan välttämätön, tai -ikäänkuin- päivitys johonkin sinulla jo olevaan ohjelmaan. ÄLÄ hyväksy asennusta. Jos epäilet, että jokin ohjelmasi tarvitsee päivittämistä, mene asianomaisen ohjelmistotoimittajan omalle sivulle ja lataa ohjelma sieltä.
Palvelin, jolle linkki johti, on kyselyn mukaan erittäin "hämäräperäinen" omistukseltaan ja domainnimi sijaitsee tunnetulla, spämmereiden suosimalla ilmaissivustolla "cloudflare.com":
Domain name: junekesq.gq
Status: registered
Domain nameservers:
jocelyn.ns.cloudflare.com
seth.ns.cloudflare.com
Tuolta palvelinsivulta ponnahti seuraava ikkuna, vielä hämnäräperäisempään osoitteeseen:
http://sweeps0074.fromfunny28.live/6447262640/?u=4xfkaeg&o=8mrpkza&t=slayer&f=1
Domannimikysely tuotti yhtä laihan tuloksen ja nimi osoitti jälleen spämmereiden hyödyntämälle ilmaispalvelimelle "cloudflare.com":
% The following information is based on the Domain Name System (DNS)
Domain name: fromfunny28.live
Status: registered
Domain nameservers:
hans.ns.cloudflare.com
molly.ns.cloudflare.com
Törmäsin juuri yhteen, hakutulosten joukkoon päätyneeseen haittasivuun joka ilmoitti palkinnosta ja pyysi osallistumaan - ikäänkuin - "FireFox käyttäjäkyselyyn". ÄLÄ osallistu. Siinä kerätään henkilötietoja. Kyselijä EI ole FireFox vaan hakkeri joka kerää henkilötietoja rikokselliseen toimintaan - ikäänkuin - palkinnon toimittamista varten. ÄLÄ anna tietojasi. Toisaalta mistä tahansa verkon linkistä saattaa putkahtaa koneellesi haittaohjelma. Jos tällaisen, epämääräisen sivuvierailun jälkeen, koneellesi ilmaantuu ikkuna, jossa pyydetään lupaa asentaa jokin apuohjelma joka on aivan välttämätön, tai -ikäänkuin- päivitys johonkin sinulla jo olevaan ohjelmaan. ÄLÄ hyväksy asennusta. Jos epäilet, että jokin ohjelmasi tarvitsee päivittämistä, mene asianomaisen ohjelmistotoimittajan omalle sivulle ja lataa ohjelma sieltä.
Palvelin, jolle linkki johti, on kyselyn mukaan erittäin "hämäräperäinen" omistukseltaan ja domainnimi sijaitsee tunnetulla, spämmereiden suosimalla ilmaissivustolla "cloudflare.com":
Domain name: junekesq.gq
Status: registered
Domain nameservers:
jocelyn.ns.cloudflare.com
seth.ns.cloudflare.com
Tuolta palvelinsivulta ponnahti seuraava ikkuna, vielä hämnäräperäisempään osoitteeseen:
http://sweeps0074.fromfunny28.live/6447262640/?u=4xfkaeg&o=8mrpkza&t=slayer&f=1
Domannimikysely tuotti yhtä laihan tuloksen ja nimi osoitti jälleen spämmereiden hyödyntämälle ilmaispalvelimelle "cloudflare.com":
% The following information is based on the Domain Name System (DNS)
Domain name: fromfunny28.live
Status: registered
Domain nameservers:
hans.ns.cloudflare.com
molly.ns.cloudflare.com
lauantai 9. helmikuuta 2019
Ja jälleen Googlen "palkintoansa" nyt kuvana
En oikein jaksa käsittää miten tällaiset kirjeet voivat saaada ketään enää ansaan MUTTA joka tapuksessa varoitus on paikallaan. Kaikki eivät kenties ole vielä näitä saaneet.
Tämä vastaa 1:1 Microsoftin "nimellä" tullutta ansapostia, nyt lähettäjänä on ikäänkuin "Google".
Palkintoa on taas tulossa.
Tämän kirjeen asiasisältö on spämmisuodattimia välttääkseen, kirjoitettu GIF kuvana.
Kirje on tullut Koreasta (xxxxx@hanex.co.kr) ja vastaus olisi menossa jälleen venäläiselle Yandex palvelimelle (xxxxxxxxx@yandex.com). Joka tarkoittaa, että tällä kirjeellä ei ole mitään tekemistä Googlen kanssa. Tällä kirjeellä kerätään jälleen henkilötietoja, eli on tyypillinen phishing ansa.
--------------------KIRJE-----------------------
Liitteenä on tämä varsinainen kirje kuvana:
Tämä vastaa 1:1 Microsoftin "nimellä" tullutta ansapostia, nyt lähettäjänä on ikäänkuin "Google".
Palkintoa on taas tulossa.
Tämän kirjeen asiasisältö on spämmisuodattimia välttääkseen, kirjoitettu GIF kuvana.
Kirje on tullut Koreasta (xxxxx@hanex.co.kr) ja vastaus olisi menossa jälleen venäläiselle Yandex palvelimelle (xxxxxxxxx@yandex.com). Joka tarkoittaa, että tällä kirjeellä ei ole mitään tekemistä Googlen kanssa. Tällä kirjeellä kerätään jälleen henkilötietoja, eli on tyypillinen phishing ansa.
Dear Email User,
You are one of the lucky winners of Google for a total sum on 950,000.00 GBP, view affixed for further details to claim.
Google Team
----------------------------------------------------
----------------------------------------------------
torstai 7. helmikuuta 2019
Uusi tapa huijata sähköpostitilin "toimimattomuudella"
ÄLKÄÄ menkö lankaan. Ainuttakaan viestiänne ei ole ainakaan tämän e-mailin johdosta jäänyt tulematta. Poistin linkin vahinkojen välttämiseksi. Se EI olisi vienyt Elisalle lainkaan, vaan "forms.office.com" palvelimelle jossa olisi odottanut tietokkalastuslomake. Henkilötietoja kalastetaan jatkuvasti rikollisiin tarkoituklsiin, Mm. sähköpostitilien anastukseen ja käyttöön roskapostitukseen, kuten tämä kirje. ÄLÄ täytä ainuttakaan lomaketta, josssa on pienikin vaara olla väärennetty vastaanottaja. Vain todellisten verkko-osoitteiden kautta ja todellisten toimijoiden palvelimilla voit yleensä luottaa henkilötietojesi säilymisen oikeissa käsissä, turvassa ja tarkoituksessa.
--------------------------------------E-MAIL---------------------------------
![Elisa Webmail]()
Elisa Webmail
Hyvä asiakas,
Kaksi saapuvaa viestiäsi asetettiin odottamattomaan tilaan tietokannan viimeisimmän päivityksen vuoksi.
KLIKKAA TÄSTÄ
Pahoittelemme haittaa.
Kiitos
-----------------------------------------------------------------------------------
Analyysi kirjeen alkuperästä:
Kirjeen on lähettänyt ihan toinen taho kuin Elisa. Sana "Elisa" - ei tarkoita lähettäjää, vaan sen perässä oleva osoite on tässä tapauksessa todellisuutta. On myös tapauksia, että tuo lähettäjäosoitekin olisi voitu väärentää mutta sitä ei ole tapahtunut tässä tapauksessa:
Aihe oli: "Palvelun päivitys"
Linkki olisi vienyt Officen tarjoamalle ilmaislomake palvelimelle jossa lomakkeilla voi kalastella henkilötietojasi kuka tahansa ilman valvontaa tai kiinnijäämistä. Tämä linkki on katkaistu.
Linkin osoite tulee esille sähköpostiselaimen alapalkkiin (yleensä). JOS olet vähääkään epävarma kirjeen alkuperästä tai tarkoituksesta ÄLÄ klikkaa yhteenkään linkkiin kirjeessä. EI myöskään niihin "linkkilistalta poisto" - linkkeihin. Jokaista linkkiä käytetään rikollisiin tarkoituksiin näissä haittaposteissa.
--------------------------------------E-MAIL---------------------------------
Elisa Webmail
Hyvä asiakas,
Kaksi saapuvaa viestiäsi asetettiin odottamattomaan tilaan tietokannan viimeisimmän päivityksen vuoksi.
KLIKKAA TÄSTÄ
Pahoittelemme haittaa.
Kiitos
-----------------------------------------------------------------------------------
Analyysi kirjeen alkuperästä:
Kirjeen on lähettänyt ihan toinen taho kuin Elisa. Sana "Elisa" - ei tarkoita lähettäjää, vaan sen perässä oleva osoite on tässä tapauksessa todellisuutta. On myös tapauksia, että tuo lähettäjäosoitekin olisi voitu väärentää mutta sitä ei ole tapahtunut tässä tapauksessa:
From: "Elisa" <fheising@gmx.de>
Aihe oli: "Palvelun päivitys"
Linkki olisi vienyt Officen tarjoamalle ilmaislomake palvelimelle jossa lomakkeilla voi kalastella henkilötietojasi kuka tahansa ilman valvontaa tai kiinnijäämistä. Tämä linkki on katkaistu.
https://forms.= office.com/Pages/ResponsePage.aspx?id=3DXm...Linkin osoitteen näkee kirjeen lähdekoodista tai viemällä kohdistimen linkin yläpuolelle (ei saa klikata).
Linkin osoite tulee esille sähköpostiselaimen alapalkkiin (yleensä). JOS olet vähääkään epävarma kirjeen alkuperästä tai tarkoituksesta ÄLÄ klikkaa yhteenkään linkkiin kirjeessä. EI myöskään niihin "linkkilistalta poisto" - linkkeihin. Jokaista linkkiä käytetään rikollisiin tarkoituksiin näissä haittaposteissa.
torstai 24. tammikuuta 2019
MUISTUTUS Pankkitietopäivitykset ovat ansoja
Olen kirjoittanut useampaankin kertaan varoituksia pankkien nimissä tulevista "tietopäivitys" -ansoista. Yksikään pankki EI pyydä minkäänlaisia sopimuksen päivittämiseksi tarvittavia tietoja e-mail-kirjeellä. Kirjaudu oman pankkisi virallisille sivuille jos epäilet, että pankkisuhteesi tarvitsee tietopäivitystä.
Analysoin kuitenkin myös tämän kirjeen, koska se vaikutti olevan hieman mutkikkaampi ansa, kuin edelliset. Runsaasti rehellisten toimijoiden osoitteita oli käytetty mitä missäkin hämäystarkoituksessa MUTTA lopullinen konnakin sieltä löytyi kaivelemalla.
Sama kirje tuli jälkeenpäin kehtena eri versiona ja eri linkkiosotteella (procema.org ja naviteklogistics.com), eli konnan ansapalvelin on liikkuva maali. Tämä tarkoittaa hakkeroituja, tai "tekaistuja" spämmi-palvelimia.
Tämä kirje ei ole saapunut Säästöpankista. Peilattuna hämäysosoitteena on käyetty osoitetta: "xn--sstpankki-v2aa2t.fi" joka kuuluu Saastopankkiliitolle. Linkit tästä e-mailista vievät osoitteeseen: logis-concept.eu Tällainen IT-alan firma on olemassa Saksassa myös ilman väliviivaa osoitteessa. Tämän (väliviivalla) domannimen tie vie palvelimen juurikansioon jossa on vain muutama tiedosto. Juurikansio on suojaamaton, joka on verkkovastaavan anteeksiantamatonta huolimattomuutta tai sitten konna istuu itse tässä firmassa (epätodennäköistä).
Seuraava - "autentikoitu lähettäjä" - alkaakin jo kertoa kirjeen todellisen luonteen: MYOBSERVICES.COM on halpisrekisterissä ja viittaa australialaiselle palvelimelle. Muuta omistajatietoa ei domannimirekisteritä löydy, eli BINGO. Tässä osoitteessa asuu, tai vierailee ainakin, tämän tarinan konna.
Myös headerissa oleva palvelimen osoitteen hakkerointia osoittava toistuva konetunnus, kertoo, että kirje on spämmiä.
------------------------------------------KIRJE-------------------------------------------
Aihe: yhteystietojen päivity
Lähettäjä: Säästöpankki (en ole edes Säästöpankin asiakas)
HUIJJARIN OSOITE
Domain Name: MYOBSERVICES.COM
Registry Domain ID: 1836860602_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com (tämä on halpis-domannimiä kauppaava yritys)
Registrar URL: http://www.namecheap.com
Updated Date: 2018-11-29T12:14:25Z
Creation Date: 2013-11-26T00:49:11Z
Registry Expiry Date: 2019-11-26T00:49:11Z
Registrar: NameCheap, Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.HEROFASTHOST.COM
Name Server: NS2.HEROFASTHOST.COM
DNSSEC: unsigned
PALVELIN JOLTA KIRJE LÄHETETTIIN
kuuluu tukkukauppa-alan yrittäjälle joka on ilmeisen huonosti suojannut palvelimensa ja hakkeri on päässyt sen kautta postittamaan spämmikirjeensä.
herofasthost.com
Registrant Name: Dail Wagner
Registrant Organization: Local Business Services Pty Ltd
Registrant Street: PO Box 1347
Registrant City: OXLEY
Registrant State/Province: Qld
Registrant Postal Code: 4075
Registrant Country: AU (Austraalia)
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: removed email address
(LINKKIOSOITE jonka palvelin on ilmeisesti hakkeroitu ja jossa hakkerin ansasofta piilottelee)
Domain: logis-concept.eu
Registrant:
NOT DISCLOSED!
Visit www.eurid.eu for webbased whois.
Technical:
Organisation: Cronon AG Professional IT-Services
Language: de
Email:
Registrar:
Name: STRATO AG
Website: www.strato.eu
Name servers:
docks20.rzone.de
shades05.rzone.de
(Crononin virallinen verkkosivu on Saksassa:)
https://donar.messe.de/exhibitor/cebit/2018/P479412/cronon-ag-company-brochure-eng-441328.pdf
(TOISEN LINKKIPALVELIMEN osoite vaikuttaa myös luvattomasti hakkeroidulta)
Domain Name: PROCEMA.ORG
Registry Domain ID: D402200000006678754-LROR
Registrar: OVH
Registrar IANA ID: 433
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
(viittaa Ranskaan)
Registrant Organization: ECO3
Registrant State/Province:
Registrant Country: BE (BELGIA)
Name Server: DNS101.OVH.NET
Name Server: NS101.OVH.NET
DNSSEC: unsigned
SÄÄSTÖPANKKILIITON osoite jota käyettiin peilaamalla - EI siis ole todellinen lähettäjä.
xn--sstpankki-v2aa2t.fi
Holder
name...............: Saastopankkiliitto osk
register number....: 0117011-6
address............: Teollisuuskatu 33
address............: 00510
address............: Helsinki
country............: Finland
phone..............: 09548050
holder email.......:
Analysoin kuitenkin myös tämän kirjeen, koska se vaikutti olevan hieman mutkikkaampi ansa, kuin edelliset. Runsaasti rehellisten toimijoiden osoitteita oli käytetty mitä missäkin hämäystarkoituksessa MUTTA lopullinen konnakin sieltä löytyi kaivelemalla.
Sama kirje tuli jälkeenpäin kehtena eri versiona ja eri linkkiosotteella (procema.org ja naviteklogistics.com), eli konnan ansapalvelin on liikkuva maali. Tämä tarkoittaa hakkeroituja, tai "tekaistuja" spämmi-palvelimia.
Tämä kirje ei ole saapunut Säästöpankista. Peilattuna hämäysosoitteena on käyetty osoitetta: "xn--sstpankki-v2aa2t.fi" joka kuuluu Saastopankkiliitolle. Linkit tästä e-mailista vievät osoitteeseen: logis-concept.eu Tällainen IT-alan firma on olemassa Saksassa myös ilman väliviivaa osoitteessa. Tämän (väliviivalla) domannimen tie vie palvelimen juurikansioon jossa on vain muutama tiedosto. Juurikansio on suojaamaton, joka on verkkovastaavan anteeksiantamatonta huolimattomuutta tai sitten konna istuu itse tässä firmassa (epätodennäköistä).
Seuraava - "autentikoitu lähettäjä" - alkaakin jo kertoa kirjeen todellisen luonteen: MYOBSERVICES.COM on halpisrekisterissä ja viittaa australialaiselle palvelimelle. Muuta omistajatietoa ei domannimirekisteritä löydy, eli BINGO. Tässä osoitteessa asuu, tai vierailee ainakin, tämän tarinan konna.
Myös headerissa oleva palvelimen osoitteen hakkerointia osoittava toistuva konetunnus, kertoo, että kirje on spämmiä.
------------------------------------------KIRJE-------------------------------------------
Aihe: yhteystietojen päivity
Lähettäjä: Säästöpankki (en ole edes Säästöpankin asiakas)
Hei!
Hyvä asiakaamme,
Verkkopankin käyttäjiä koskeva PSD2-direktiivin astui voimaan 13.01.2019 tästä johtuen verkkopalveluiden käyttäjien
on tehtävä järjestelmäpäivitys ja päivittää yhteystiedot ajantasalle.
Päivitä tietosi ja tehkää järjestelmäpäivitys tästä
Prosessi järjestelmän ja tietojen päivittämiseksi on tehty
mahdollisimman helpoksi ja sujuvaksi.
Käsittelemme rekistereissämme kaikkien asiakkaidemme tietoja samojen käsittely- ja tietoturvaperiaatteiden mukaisesti.
Kaikkien asiakkaidemme tiedot ovat esimerkiksi pankkisalaisuuden,
vakuutussalaisuuden tai vastaavan salassapitovelvoitteen alaisia
tietoja riippumatta siitä, onko kyse henkilö- vai yritysasiakkaasta.
Tietojen luovuttaminen on mahdollista vain asiakkaan antaman suostumuksen tai lain perusteella.
Ilman päivitystä pankkipalveluita voidaan joutua rajoittamaan.
Päivitykset perustuvat 13.01.2019 voimaan tulleeseen PSD2-direktiiviin
Rajoitukset koskevat maksukortteja ja verkkopankkia tai muuta tilin käyttöä.
Terveisin
Asiakaspalvelu
Säästöpankki
---------------------------------------------------------------------------------
HUIJJARIN OSOITE
Domain Name: MYOBSERVICES.COM
Registry Domain ID: 1836860602_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com (tämä on halpis-domannimiä kauppaava yritys)
Registrar URL: http://www.namecheap.com
Updated Date: 2018-11-29T12:14:25Z
Creation Date: 2013-11-26T00:49:11Z
Registry Expiry Date: 2019-11-26T00:49:11Z
Registrar: NameCheap, Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.HEROFASTHOST.COM
Name Server: NS2.HEROFASTHOST.COM
DNSSEC: unsigned
PALVELIN JOLTA KIRJE LÄHETETTIIN
kuuluu tukkukauppa-alan yrittäjälle joka on ilmeisen huonosti suojannut palvelimensa ja hakkeri on päässyt sen kautta postittamaan spämmikirjeensä.
herofasthost.com
Registrant Name: Dail Wagner
Registrant Organization: Local Business Services Pty Ltd
Registrant Street: PO Box 1347
Registrant City: OXLEY
Registrant State/Province: Qld
Registrant Postal Code: 4075
Registrant Country: AU (Austraalia)
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: removed email address
(LINKKIOSOITE jonka palvelin on ilmeisesti hakkeroitu ja jossa hakkerin ansasofta piilottelee)
Domain: logis-concept.eu
Registrant:
NOT DISCLOSED!
Visit www.eurid.eu for webbased whois.
Technical:
Organisation: Cronon AG Professional IT-Services
Language: de
Email:
Registrar:
Name: STRATO AG
Website: www.strato.eu
Name servers:
docks20.rzone.de
shades05.rzone.de
(Crononin virallinen verkkosivu on Saksassa:)
https://donar.messe.de/exhibitor/cebit/2018/P479412/cronon-ag-company-brochure-eng-441328.pdf
(TOISEN LINKKIPALVELIMEN osoite vaikuttaa myös luvattomasti hakkeroidulta)
Domain Name: PROCEMA.ORG
Registry Domain ID: D402200000006678754-LROR
Registrar: OVH
Registrar IANA ID: 433
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Registrant Organization: ECO3
Registrant State/Province:
Registrant Country: BE (BELGIA)
Name Server: DNS101.OVH.NET
Name Server: NS101.OVH.NET
DNSSEC: unsigned
SÄÄSTÖPANKKILIITON osoite jota käyettiin peilaamalla - EI siis ole todellinen lähettäjä.
xn--sstpankki-v2aa2t.fi
Holder
name...............: Saastopankkiliitto osk
register number....: 0117011-6
address............: Teollisuuskatu 33
address............: 00510
address............: Helsinki
country............: Finland
phone..............: 09548050
holder email.......:
lauantai 19. tammikuuta 2019
Western Finance ei lainaa rahaa Balilasen matkatoimiston kautta G-mail osoitteella
Niin suuressa rahapulassa ei kannata olla, että lankeaa näihin "sähköpostipankkiireihin".
Näitä saapuu tasaiseen tahtiin mitä kummallisemmista osoitteista ja ikäänkuin erilaisten laillisten toimijoiden nimissä.
Tämäkin in tyypillinen phishing, eli tietokalastusyritys (ID varkaus). Kirjeen on ikäänkuin allekirjoittanut "WESTERN FINANCE" tutkimusorganisaatio, joka ei ole pankki tai rahoitusalalla ylimalkaan. Onnettoman ansaan menneen tiedot käytetään seuraavaan rikollisen toiminnan yritykseen, esim, tilaamalla verkkokaupoista tavaraa hänen nimissään tai yleensä, esiintymällä hänen nimellään ja sähköpostiosoitteellaan vastaavissa rikollisissa toimissa. Toinen vaihtoehto näissä huijjauksissa on, kirjeen lähettäjältä tulevat laskut rahansiirroista ym kuluista mutta itse lainaa ei ole tulossakaan. Sen sijaan tilitietojasi (jos olet ne luovuttanut) käyetään edelleen huijjauksiin.
Sähköposti oli lähetetty Balilaisen matkatoimiston (pphotels.com ja balidynasty.com) lainatusta, (peilatusta) postiosoitteesta ja kirjeessä oleva "takaisin"-linkki vie ilmaiseen G-mailosoitteeseen joka ei taatusti ole WFA:n käytössä, eikä myöskään Balilaisen matkatoimiston käytössä. Kumpikaan ei tarvitse toiminnassaan ilmaisosoitetta. Onneksi kirje on huonolla suomenkielellä kirjoitettu. Tällaiset yleensä heitetään roskikseen ilman muuta.
---------------------------------------KIRJE-----------------------------------------
Näitä saapuu tasaiseen tahtiin mitä kummallisemmista osoitteista ja ikäänkuin erilaisten laillisten toimijoiden nimissä.
Tämäkin in tyypillinen phishing, eli tietokalastusyritys (ID varkaus). Kirjeen on ikäänkuin allekirjoittanut "WESTERN FINANCE" tutkimusorganisaatio, joka ei ole pankki tai rahoitusalalla ylimalkaan. Onnettoman ansaan menneen tiedot käytetään seuraavaan rikollisen toiminnan yritykseen, esim, tilaamalla verkkokaupoista tavaraa hänen nimissään tai yleensä, esiintymällä hänen nimellään ja sähköpostiosoitteellaan vastaavissa rikollisissa toimissa. Toinen vaihtoehto näissä huijjauksissa on, kirjeen lähettäjältä tulevat laskut rahansiirroista ym kuluista mutta itse lainaa ei ole tulossakaan. Sen sijaan tilitietojasi (jos olet ne luovuttanut) käyetään edelleen huijjauksiin.
Sähköposti oli lähetetty Balilaisen matkatoimiston (pphotels.com ja balidynasty.com) lainatusta, (peilatusta) postiosoitteesta ja kirjeessä oleva "takaisin"-linkki vie ilmaiseen G-mailosoitteeseen joka ei taatusti ole WFA:n käytössä, eikä myöskään Balilaisen matkatoimiston käytössä. Kumpikaan ei tarvitse toiminnassaan ilmaisosoitetta. Onneksi kirje on huonolla suomenkielellä kirjoitettu. Tällaiset yleensä heitetään roskikseen ilman muuta.
---------------------------------------KIRJE-----------------------------------------
EU WESTERN -rahoitus myöntää lainoja sekä vanhoille että uusille asiakkaille vähintään 10 000,00 € ja enintään 50 000 000,00 euron välillä. Oletko taloudellisissa vaikeuksissa? Oletko pankkienne hylännyt? Tarvitsetko lainan velkojen / laskujen poistamiseksi? Sitten taloudellinen trauma on ohi, tarjoamme lainoja 3 prosentin korolla. Palauta meihin alla olevien tietojen avulla. Nimi: Lainan määrä: Lainan kesto: Maa: Osoite: Puhelinnumero: Ikä: Terveisiä Admin Desk EU WESTERN FINANCE.
-------------------------------------------------------------
Oikean WESTERN FINANCE:n taustaa:
About the WFA The Western Finance Association was founded in 1965. In 2015, in Seattle, Washington, we held our 50th conference and annual meeting. We are a professional society for academicians and practitioners with a scholarly interest in the development and application of research in finance.
torstai 6. joulukuuta 2018
Kolmas ansa samalta lähettäjältä
Aivan edellisten spämmikirjeiden muotin mukaan rakennettu seuraava ID eli henkilötietovarkausyritys. Aihe vaihtuu, jotta joku onneton ja epätoivoinen, saataisiin "haaviin".
Osoite "elitegroup.us", jonne jokainen kirjeen linkki vie, vie Liettuassa sijaitsevalle koneelle, jonka administratoriksi on nimetty: Marcinkevicius Justinas. Se, että liittyykö tämä herra tai nimimerkki, mitenkään tähän spämmiin, on hankala todistaa. Kone saattaa olla hakkeroitu.
Kone tarjoaa sinulle joka tapauksessa spämmi-ilmoitusraporttia JOTA EI SAA TÄYTTÄÄ, koska tämä on ID varkausyritys.
Tästä tekstikopiosta kaikki linkit on poistettu.
-------------KIRJE--------------------
Aihe: Lainaa rahaa yrityksellesi
Otsake: Auta yritystäsi vaikeina aikoina - Finrahoitus Yrityslaina
Helpota yrityksesi arkea - Hae yrityslainaa jopa 10 000 e
Finrahoitus
FIN Yritysrahoitus myöntää yrityksellenne 2.000 - 10.000 euroa lainaa joustavalla 6-24 kuukauden takaisinmaksuajalla
FIN Yritysrahoituksen lainaa voivat hakea kaikenkokoiset yritykset. Hyväksymme asiakkaiksemme myös kaikki yritysmuodot (toiminimi, kommandiittiyhtiö, osakeyhtiö, jne.)
Emme edellytä yritykseltä pitkää toimintahistoriaa, mutta yritykselle myönnettävän lainan takaajana tulee kuitenkin olla aina vähintään yksi yrityksen vastuuhenkilö, kuten osakkeenomistaja, hallituksen jäsen, toimitusjohtaja tai muu yksityishenkilö, jolla ei saa olla rekisteröityjä maksuhäiriöitä.
Hae tästä
Tämän viestin lähettäjä ei ole Finrahoitus vaan kaupallinen yhteistyökumppani.
Jos et enää halua vastaanottaa sähköpostia, voit peruuttaa tilauksen.
Koetko tämän uutiskirjeen olevan epätoivottavaa? Ilmoita täältä.
-------------------------------------------
CloudFront vastasi domanin "elitegroup.us" tutkintapyyntööni seuraavaa:
"While the reported domain is registered with us, it is hosted with another company. Hence, we have no ability to check the server logs for the domain and confirm if it is indeed involved in fraudulent activities.
Nevertheless, the elitegroup.us domain name seems to be blacklisted by trusted anti-spam organizations. Therefore, we have opened the corresponding case regarding the mentioned domain. Usually, the process requires about 48 hours to be finished. You will be notified once any updates on the matter are available."
ELI odotellaan tutkimuksen tulosta.
--------------------------------------------
Tässä tieto elitegroup.us domanin sulkemisesta. Tämä on työlästä mutta on pakko tehdä jos halutaan päästä eroon edes osasta spämmereitä. Mieluiten sieltä vaarallisimmasta päästä ihan aluksi:
Hello,
This is to inform you that the elitegroup.us domain has been suspended. The domain was null-routed/placed on Hold and locked for modification in our system.
Thank you for letting us know about the issue.
------------------------
Regards,
Inna O.
Legal & Abuse Department
Namecheap, Inc.
Osoite "elitegroup.us", jonne jokainen kirjeen linkki vie, vie Liettuassa sijaitsevalle koneelle, jonka administratoriksi on nimetty: Marcinkevicius Justinas. Se, että liittyykö tämä herra tai nimimerkki, mitenkään tähän spämmiin, on hankala todistaa. Kone saattaa olla hakkeroitu.
Kone tarjoaa sinulle joka tapauksessa spämmi-ilmoitusraporttia JOTA EI SAA TÄYTTÄÄ, koska tämä on ID varkausyritys.
Tästä tekstikopiosta kaikki linkit on poistettu.
-------------KIRJE--------------------
Aihe: Lainaa rahaa yrityksellesi
Otsake: Auta yritystäsi vaikeina aikoina - Finrahoitus Yrityslaina
Helpota yrityksesi arkea - Hae yrityslainaa jopa 10 000 e
Finrahoitus
FIN Yritysrahoitus myöntää yrityksellenne 2.000 - 10.000 euroa lainaa joustavalla 6-24 kuukauden takaisinmaksuajalla
FIN Yritysrahoituksen lainaa voivat hakea kaikenkokoiset yritykset. Hyväksymme asiakkaiksemme myös kaikki yritysmuodot (toiminimi, kommandiittiyhtiö, osakeyhtiö, jne.)
Emme edellytä yritykseltä pitkää toimintahistoriaa, mutta yritykselle myönnettävän lainan takaajana tulee kuitenkin olla aina vähintään yksi yrityksen vastuuhenkilö, kuten osakkeenomistaja, hallituksen jäsen, toimitusjohtaja tai muu yksityishenkilö, jolla ei saa olla rekisteröityjä maksuhäiriöitä.
Hae tästä
Tämän viestin lähettäjä ei ole Finrahoitus vaan kaupallinen yhteistyökumppani.
Jos et enää halua vastaanottaa sähköpostia, voit peruuttaa tilauksen.
Koetko tämän uutiskirjeen olevan epätoivottavaa? Ilmoita täältä.
-------------------------------------------
CloudFront vastasi domanin "elitegroup.us" tutkintapyyntööni seuraavaa:
"While the reported domain is registered with us, it is hosted with another company. Hence, we have no ability to check the server logs for the domain and confirm if it is indeed involved in fraudulent activities.
Nevertheless, the elitegroup.us domain name seems to be blacklisted by trusted anti-spam organizations. Therefore, we have opened the corresponding case regarding the mentioned domain. Usually, the process requires about 48 hours to be finished. You will be notified once any updates on the matter are available."
ELI odotellaan tutkimuksen tulosta.
--------------------------------------------
Tässä tieto elitegroup.us domanin sulkemisesta. Tämä on työlästä mutta on pakko tehdä jos halutaan päästä eroon edes osasta spämmereitä. Mieluiten sieltä vaarallisimmasta päästä ihan aluksi:
Hello,
This is to inform you that the elitegroup.us domain has been suspended. The domain was null-routed/placed on Hold and locked for modification in our system.
Thank you for letting us know about the issue.
------------------------
Regards,
Inna O.
Legal & Abuse Department
Namecheap, Inc.
Erittäin harmillinen spämmiansa
Tätä artikkelia seuraavassa artikkelissa on vastaava ansa eri teemalla.
Tällaisen ansan ideana näyttää olevan henkilötietojen kerääminen, eli ID varkaus. Molemmat kirjeestä löytyvät domannimet vievät vain lomakkeelle, jolla tiedot on tarkoitus kerätä.
Tässä kirjeessä esiintyvät domannimet vievät samalle verkkosivulle.
"internationalbusiness.website" domainille ei löydy omistajaa vaikka se on rekisteröity. Se saattaa olla hämäyssosoite joka on koodattu viemään tuohon toiseen osoitteeseen, koska sama lomake näkyy molemmissa osoitteissa. Toinen domannimi "elitegroups.us" löytyy Liettuasta. Henkilötietokeruulomake "spämmi-ilmiantolomake" löytyy linkin osoitteesta. Linkin viittama kohde voidaan osoittaa suoraan ohjelmatiedostoon.Kaikki sähköposteissa olevat linkit kannattaa ajatella turvallisuusuhkina. Kirjeen lähettäjän aitoudesta ja rehellisistä aikomuksista,tulee olla varma, ennen linkkien klikkailua.
Tämä kirje on kaiken lisäksi todella harmillinen, koska siihen sisältyvä "pommilinkki" on koodattu siten, että se siirtyy esimerkiksi tänne Blogitekstiin, vaikka se teksti editorissa puhdistetaan koodista. Se säilyy välimuistissa tai ilmeisimmin cookiessa "piilossa" josta se tekstin putsauksen jälkeen liittyy uudelleen liitettyyn tekstiin. Näistä teksteistä sain sen poistettua ainoastaan käynnistämällä selaimen uudelleen.
Kuten edellä sanoin, näihin linkitettyihin lomakkeisiin EI TULE KIRJOITTAA MITÄÄN.
-----------------------------KIRJE-----------------------------
Aihe: helppoa rahaa
Otsake: Haluatko työskennellä missä vain? Uuden ohjelmiston avulla se on mahdollista
Tienaa rahaa muutamalla klikkauksella - Suomalainen metodi
Lähde mukaan tienaamaan rahaa vain muutamalla klikkauksella!
Se on nyt niin helppoa, että et tarvitse aikaisempaa kokemusta.
Aloita tienaaminen heti, tilin luominen ei maksa sinulle mitään!
Luo tili
Jos et enää halua vastaanottaa sähköpostia, voit peruuttaa tilauksen.
Koetko tämän uutiskirjeen olevan epätoivottavaa? Ilmoita täältä.
--------------------------------------------------------------------
Tällaisen ansan ideana näyttää olevan henkilötietojen kerääminen, eli ID varkaus. Molemmat kirjeestä löytyvät domannimet vievät vain lomakkeelle, jolla tiedot on tarkoitus kerätä.
Tässä kirjeessä esiintyvät domannimet vievät samalle verkkosivulle.
"internationalbusiness.website" domainille ei löydy omistajaa vaikka se on rekisteröity. Se saattaa olla hämäyssosoite joka on koodattu viemään tuohon toiseen osoitteeseen, koska sama lomake näkyy molemmissa osoitteissa. Toinen domannimi "elitegroups.us" löytyy Liettuasta. Henkilötietokeruulomake "spämmi-ilmiantolomake" löytyy linkin osoitteesta. Linkin viittama kohde voidaan osoittaa suoraan ohjelmatiedostoon.Kaikki sähköposteissa olevat linkit kannattaa ajatella turvallisuusuhkina. Kirjeen lähettäjän aitoudesta ja rehellisistä aikomuksista,tulee olla varma, ennen linkkien klikkailua.
Tämä kirje on kaiken lisäksi todella harmillinen, koska siihen sisältyvä "pommilinkki" on koodattu siten, että se siirtyy esimerkiksi tänne Blogitekstiin, vaikka se teksti editorissa puhdistetaan koodista. Se säilyy välimuistissa tai ilmeisimmin cookiessa "piilossa" josta se tekstin putsauksen jälkeen liittyy uudelleen liitettyyn tekstiin. Näistä teksteistä sain sen poistettua ainoastaan käynnistämällä selaimen uudelleen.
Kuten edellä sanoin, näihin linkitettyihin lomakkeisiin EI TULE KIRJOITTAA MITÄÄN.
-----------------------------KIRJE-----------------------------
Aihe: helppoa rahaa
Otsake: Haluatko työskennellä missä vain? Uuden ohjelmiston avulla se on mahdollista
Tienaa rahaa muutamalla klikkauksella - Suomalainen metodi
Lähde mukaan tienaamaan rahaa vain muutamalla klikkauksella!
Se on nyt niin helppoa, että et tarvitse aikaisempaa kokemusta.
Aloita tienaaminen heti, tilin luominen ei maksa sinulle mitään!
Luo tili
Jos et enää halua vastaanottaa sähköpostia, voit peruuttaa tilauksen.
Koetko tämän uutiskirjeen olevan epätoivottavaa? Ilmoita täältä.
--------------------------------------------------------------------
tiistai 27. marraskuuta 2018
Pankkien "päivitykset" ovat ansoja
Nyt ropisee päivittän jos jonkin pankin "päivitys" pyyntöjä, olitpa sitten asiakas tahi et. Nämä kaikki ovat ansoja joilla pyritään varastamaan henkilötietosi ja mahdollisesti myös pankkitunnuksesi.
Mihinkään linkkiin ei tule klikata. Linkki näyttää vievän spämmereiden suosiman lomakepalvelun
(form.jotformeu.com) sivulle jonka kautta tietojen varastaminen tapahtuu.
Olen näistä varoittanut jo aikaisemmin mutta kertaus ei ole koskaan pahitteeksi.
SE seikka, että lähettäjäosoitteen paikalla on "asiakaspalvelu@poppankki.fi", ei takaa, että lähetys olisi kotoisin sieltä. Lähettäjänimen voi väärentää, tai sähköpostitilin hakkeroida.
Tekniikkaa on selitetty edellisen varoituksen yhteydessä: http://vaarallinenweb.blogspot.com/2018/10/pankkien-tietoturvapaivitykset-ovat.html
Mm. tämän pankin asiakas en ole koskaan ollut, eikä tämä kirje ole tullut pankista vaan verkkorikolliselta.
-----------------KIRJEEN SISÄLTÖ------------------------
Mihinkään linkkiin ei tule klikata. Linkki näyttää vievän spämmereiden suosiman lomakepalvelun
(form.jotformeu.com) sivulle jonka kautta tietojen varastaminen tapahtuu.
Olen näistä varoittanut jo aikaisemmin mutta kertaus ei ole koskaan pahitteeksi.
SE seikka, että lähettäjäosoitteen paikalla on "asiakaspalvelu@poppankki.fi", ei takaa, että lähetys olisi kotoisin sieltä. Lähettäjänimen voi väärentää, tai sähköpostitilin hakkeroida.
Tekniikkaa on selitetty edellisen varoituksen yhteydessä: http://vaarallinenweb.blogspot.com/2018/10/pankkien-tietoturvapaivitykset-ovat.html
Mm. tämän pankin asiakas en ole koskaan ollut, eikä tämä kirje ole tullut pankista vaan verkkorikolliselta.
-----------------KIRJEEN SISÄLTÖ------------------------
Hyvä PoPPankki asiakas,
Verkkopankissa järjestelmäpäivitysten vuoksi verkkopalvelujen
käyttäjien on hyväksyttävä järjestelmäpäivitys ja päivittää yhteystiedot
ajantasalle.
Päivitä yhteystietosi ja tee järjestelmäpäivitys tästä (linkki poistettu)
Prosessi järjestelmän ja tietojen päivittämiseksi on tehty mahdollisimman helpoksi ja sujuvaksi.
Asiakaspalvelijamme ottaa teihin yhteyttä 72 tunnin sisällä päivittämisen jälkeen.
Terveisin
Asiakaspalvelu
POPPankki
-------------------------------------------------------------------
Ilmoitin jotformeu.com lomakesivuston ylläpitäjälle näistä ID varkauskirjeistä. Odotellaan, mitä siellä tapahtuu. Jos ei tapahdu, täytyy ryhtyä muihin toimenpiteisiin. Näitä saapuu nyt aivan tuhka tiheään. Itsestäni en ole huolestunut mutta ilmeisesti ansaan on ihmisiä mennyt, koska pommitus jatkuu tauotta.
JOTFORM VASTASI KIITETTÄVÄN NOPEASTI (muutamassa tunnissa)
Jotform ilmoitti poistaneensa (ja estäneensä) epäilyttävän henkilön palvelimeltaan. Nyt ei vastaavista spämmeistä pitäisi olla haittaa. Tietysti spämmeri hakee seuraavan huonosti hoidetun vastaavan sivuston. Odotellaan sitä.
____________________________________________
Thank you very much for reporting those forms, all of them are suspended now and their IP has been banned, if you come across with suspicious activity involving our forms, do not hesitate to contact us.
Thank you
____________________________________________
Ilmoitin jotformeu.com lomakesivuston ylläpitäjälle näistä ID varkauskirjeistä. Odotellaan, mitä siellä tapahtuu. Jos ei tapahdu, täytyy ryhtyä muihin toimenpiteisiin. Näitä saapuu nyt aivan tuhka tiheään. Itsestäni en ole huolestunut mutta ilmeisesti ansaan on ihmisiä mennyt, koska pommitus jatkuu tauotta.
JOTFORM VASTASI KIITETTÄVÄN NOPEASTI (muutamassa tunnissa)
Jotform ilmoitti poistaneensa (ja estäneensä) epäilyttävän henkilön palvelimeltaan. Nyt ei vastaavista spämmeistä pitäisi olla haittaa. Tietysti spämmeri hakee seuraavan huonosti hoidetun vastaavan sivuston. Odotellaan sitä.
____________________________________________
Answered by
BitiaP
Thank you very much for reporting those forms, all of them are suspended now and their IP has been banned, if you come across with suspicious activity involving our forms, do not hesitate to contact us.
Thank you
____________________________________________
lauantai 10. marraskuuta 2018
Gigantti Cloud tilin sulku?
Kirje on sikäli mielenkiintoinen, että se toistuu ja toistuu ja 10 vuorokauden varoitusaika ei lyhene mihinkään. Minun puolestani tilin saa vapaasti lakkauttaa. En aijo klikkailla osoitteisiin jotka eivät vie Giganttiin tai yleensä minnekään järkevään osoitteeseen. Tämä linkki olisi viennyt mandrillapp.com:n palvelimelle joka on "postitus"-alusta, ei pilvipalvelu, tai Gigantti. JOS Gigantti ei pysty itse hoitamaan tilejään, en vaivaudu niihin minäkään puuttumaan. Kirje "näyttää" tuleen Gigantista MUTTA se ei todista vielä mitään. "mandrillapp(.)com" on verkkoturvasivuilla julistettu vaaralliseksi.
Varoitan kaikkia koskemasta tällaisiin tuntemattomiin osoitteisiin vieviin linkkeihin. Mm. mandrillapp.com:n kautta saapuu roskapostia, eli siihen osoitteeseen EI tule luottaa millään tavoin. Vastaava huijjaus ja varoitus löytyy mandrillapp-postitoimistosta mm:
https://www.scamwarners.com/forum/viewtopic.php?f=34&p=309911#p310066
--------KIRJE--------------------------
Tilauksen uusiminen on yhä mahdollista – napsauta vain alla olevaa painiketta ja valitse maksuvaihtoehto:
Ystävällisin terveisin
Gigantti Cloud
Varoitan kaikkia koskemasta tällaisiin tuntemattomiin osoitteisiin vieviin linkkeihin. Mm. mandrillapp.com:n kautta saapuu roskapostia, eli siihen osoitteeseen EI tule luottaa millään tavoin. Vastaava huijjaus ja varoitus löytyy mandrillapp-postitoimistosta mm:
https://www.scamwarners.com/forum/viewtopic.php?f=34&p=309911#p310066
--------KIRJE--------------------------
Gigantti Cloud-tilisi suljetaan
Tällä viestillä ilmoitamme, että Gigantti Cloud-tilisi on umpeutunut, ja se suljetaan 10 päivän kuluttua. Tämä on viimeinen lähettämämme varoitus, jonka jälkeen palautamme Gigantti Cloud-tilin ilmaistiliksi ja poistamme kaikki sen tiedostot.Tilauksen uusiminen on yhä mahdollista – napsauta vain alla olevaa painiketta ja valitse maksuvaihtoehto:
Ystävällisin terveisin
Gigantti Cloud
--------------------------------------------
tiistai 16. lokakuuta 2018
Pankkien tietoturvapäivitykset ovat ansoja
Minulle sapui Nordean tietoturvapäivitys pyyntö joka ei oikeasti ole tullut Nordeasta, vaikka sähköpostiosoite siltä näyttää. Tuo turvapäivitys-linkki veisi kuuluisalle huijjareiden suosimalle "tietovarkaussivulle jotformeu.com" eli ei missään tapauksessa Nordeaan.
Mitään tietoja ei näihin "turvapäivityskyselyihin" tule antaa.
Tämä kirje on tunnistettavissa huijjaukseksi jo kehnosta käännöksestä mutta usein huijjauskirje saattaa vaikuttaa myös aivan asialliselta.
Pankkeja ei nämä huijjausyritykset tunnu isommin kiinnostavan.
Pankkien etusivuilla tai piiloitetummissakin paikoissa saattaa olla
varoitus huijjauskirjeistä mutta muuten pankit ovat erittäin passisiivisia,
ilmiantamaan näitä huijjareita. Sain Jotformin kanssa kirjeenvaihdolla
poistettua tämän ID varkaan heidän sivustoiltaan. Ei se iso vaiva ollut.
https://vaarallinenweb.blogspot.com/2018/11/pankkien-paivitykset-ovat-ansoja.html
Alla kirjeen lähdekoodi. Kommenttini suluissa.
---------------------e-mailin lähdekoodi--------------------------
Mitään tietoja ei näihin "turvapäivityskyselyihin" tule antaa.
Tämä kirje on tunnistettavissa huijjaukseksi jo kehnosta käännöksestä mutta usein huijjauskirje saattaa vaikuttaa myös aivan asialliselta.
Pankkeja ei nämä huijjausyritykset tunnu isommin kiinnostavan.
Pankkien etusivuilla tai piiloitetummissakin paikoissa saattaa olla
varoitus huijjauskirjeistä mutta muuten pankit ovat erittäin passisiivisia,
ilmiantamaan näitä huijjareita. Sain Jotformin kanssa kirjeenvaihdolla
poistettua tämän ID varkaan heidän sivustoiltaan. Ei se iso vaiva ollut.
https://vaarallinenweb.blogspot.com/2018/11/pankkien-paivitykset-ovat-ansoja.html
Alla kirjeen lähdekoodi. Kommenttini suluissa.
---------------------e-mailin lähdekoodi--------------------------
Received: via tmail-2007f.2015-sau for fp6592.200; Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
Received: from fe21.mail.saunalahti.fi (fe21.mail.saunalahti.fi [62.142.5.26])
by be408.mail.saunalahti.fi (Postfix) with ESMTP id 8D2046038B;
Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
X-Client-Addr: 162.219.251.219 (alussa spämmisuodattimen hakkerointia)
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
Received: from mets.unisonplatform.com (mail219.mets.unisonplatform.com [162.219.251.219])
(rekisteröity palvelimelle USA:ssa Kirklandin kaupungissa oleva palveln. Muut reksiteritiedot
on salattu)
(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by fe21.mail.saunalahti.fi (Postfix) with ESMTPS id C236A20004;
Tue, 16 Oct 2018 13:23:40 +0300 (EEST)
Received: from [::1] (port=54362 helo=mets.unisonplatform.com)
by mets.unisonplatform.com with esmtpa (Exim 4.89_1)
(envelope-from <asiakaspalvelu@nordea.fi>) (tämä nordean osoite on
saatu aikaiseksi seuraavalla metodilla: Kun viesti palautetaan, palautusvastaus
lähetetään yleensä kirjekuoressa (evelope) lähettäjälle.
Roskaposti-sivustot ovat oppineet tämän sähköpostin
ominaisuuden ja voivat käyttää sitä saadakseen virhellisen lähettäjänimen
kirjeeseensä)
id 1gCItR-0006vs-OV; Mon, 15 Oct 2018 23:31:49 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="=_3782c37711968b63c65629452622c297"
Date: Tue, 16 Oct 2018 00:31:49 -0600
From: Nordian Verkkopankkia <asiakaspalvelu@nordea.fi>
(tästä "lähettäjäväärennöksestä" on edellä selostus) To: undisclosed-recipients:; Subject: =?UTF-8?Q?--__Hyv=C3=A4_asiakaamme=2C?= Message-ID: <f6e3e52dac878d00e032e8354c319f0b@nordea.fi> X-Sender: asiakaspalvelu@nordea.fi (tästä "lähettäjäväärennöksestä" on edellä selostus) User-Agent: Roundcube Webmail/1.3.3 X-AntiAbuse: This header was added to track abuse, please include it
with any abuse report X-AntiAbuse: Primary Hostname - mets.unisonplatform.com X-AntiAbuse: Original Domain - elisanet.fi X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12] X-AntiAbuse: Sender Address Domain - nordea.fi (selitetty alussa mistä tämä periytyy) X-Get-Message-Sender-Via: mets.unisonplatform.com: authenticated_id: nor@dawnprince.com (Rekisteröity Illinois, USA. Tarkemmat reksiteritiedot salattu) X-Authenticated-Sender: mets.unisonplatform.com: nor@dawnprince.com --=_3782c37711968b63c65629452622c297 Content-Transfer-Encoding: 8bit Content-Type: text/plain; charset=UTF-8 --
------------------KIRJEEN SISÄLTÖ-------------------------
Hyvä asiakaamme,
Verkkopankissa tietoturvapäivitysten vuoksi verkkopalvelujen käyttäjien
on hyväksyttävä päivitys ja päivittää yhteystiedot ajantasalle.
Päivitä tietosi ja tee tietoturvapäivitys tästä (linkki poistettu vaarallisena)
Prosessi järjestelmän ja tietojen päivittämiseksi on tehty
mahdollisimman helpoksi ja sujuvaksi.
Käsittelemme rekistereissämme kaikkien asiakkaidemme tietoja samojen käsittely- ja tietoturvaperiaatteiden mukaisesti.
Kaikkien asiakkaidemme tiedot ovat esimerkiksi pankkisalaisuuden,
vakuutussalaisuuden tai vastaavan salassapitovelvoitteen alaisia
tietoja riippumatta siitä, onko kyse henkilö- vai yritysasiakkaasta.
Tietojen luovuttaminen on mahdollista vain asiakkaan antaman suostumuksen tai lain perusteella.
Ilman päivitystä pankkipalveluita voidaan joutua rajoittamaan.
Rajoitukset perustuvat 01.01.2018 voimaan tulleeseen uuteen rahanpesulakiin.
Rajoitukset koskevat maksukortteja ja verkkopankkia tai muuta tilin käyttöä.
Terveisin
Asiakaspalvelu
Nordian Verkkopankkia
Links: ------ [1] https://form.jotformeu.com/82881057654364 --=_3782c37711968b63c65629452622c297
(tämä linkki vie tietokalastuslomakkeelle jossa kysellään pankkitietosi tai "ikäänkuin" pyydetään kirjautumaan tilillesi. Kirjautumisen yhteydessä tunnuksesi kopioidaan rikolliseen käyttöön)
Tilaa:
Blogitekstit (Atom)