ilmainen suoratoistopalvelu on ansa

 Tuossa aiemmassa ansapostiryppäässä oli yksi ainut luettavissa oleva lähettäjä "Suoratoistopalvelu" ja aihe "Haluamme antaa sinulle vuoden ilmaisen kokeilun."
Lähettäjän osoite viittasi hakkeroidun palvelimen alidomainiin.

TÄMÄ ON SIIS ANSA. Älä klikkaa kirjeessä olevaa kuvaa tai "Unsubscribe" linkkiä.
Tämäkin kirje sisältää pääasiassa tyylipalettikoodia jonka toiminnallisuudesta ei ole tietoa, joten kirjettä ei kannata lukea HTML -selain asetuksella. Ei siinä mitään luettavaa olekaan, joten heitä suoraan roskiin.

Tyylipalettiin ei ymmärtääkseni pysty sijoittamaan mitään suoranaisesti vaarallista, mutta ... tällainen kirjerypäs saattaa viitata siihen, että koneelle halutaan ujuttaa jotain koodinosia jotka voidaan sitten koota ja laukaista kirjeen linkin nokassa saapuvalla haittaohjelman osalla? Muistaakseni jotkin kuvakoodiin sijoitetut ansat hyödyntävät tämän tapaista toimintaa. Tämä "suoratoistopalvelu" kirje voisi viitata sellaiseen mahdollisuuteen. Kirjeessä olevan linkin kautta saattaisi tulla ohjelmiston osa joka toimii sitten laukaisijana. Miksi osina? No kiertääkseen virustorjunnan. Kun yksikään osa sellaisenaan ei näytä vaaralliselta, ei virustorjunta osaa sitä tunnistaa.

Puhdistin itse selaimen välimuistin, ihan vain varmuuden vuoksi. Suosittelen jos avaat vastaavia kirjeitä.

windows.net palvelimelle kotiutuneista huijauksista on tehty kattavaa tutkimusta sivustolla:

https://www.zscaler.com/blogs/security-research/abusing-microsofts-azure-domains-host-phishing-attacks

Sinut poistetaan sivustolta jossa et ole koskaan ollutkaan

Kirje ja idea vaikuttaat yhden lauseen ansan tyyppiseltä.
ÄLÄ koske tämänkään roskapostin linkkiin.

Lähettäjä: socialchats "hannahgmz4@lesphedu.com" (kirje saapuu Manilasta)
Otsake: "you are no longer invited"

--------------------------------------KIRJE---------------------------------------

a friend has withdrawn your invitation to join socialchats

-------------------------------------------------------------------------------------

Kirjeessä luodaan vaikutelma, että olisit hakenut jäsenyyttä tai ollut jäsen deittalu-chatissä ja että joku tuntematon "ystäväsi" olisi sinut sieltä poistanut.

Linkin ensimmäinen domainnimi on postitusohjelman käytössä ja heittää sinut  toiseen osoitteeseen, joka  on chattailu-sivusto. Sikäli vaikuttaa, että tämä spämmi on kiero ja luvattomasti toteutettu mainos tuolle "kingmailu" deitti-sivustolle.

lnk.ie/4GHDF/e=3D!*EMAIL*!/http://one.kingmailu.com/"

Finnairin lahjakortti tuskin saapuu Kiinasta

Hyvin lyhytsanainen kirje saapui lähettäjänimellä: FINNAIR-lahjakorti "bdjpmig8@arcor.de".
Tämä kirje EI siis saapunut Finnairilta tai mistään muustakaan sen yhteistyö firmasta vaan todellisuudessa se saapuivain saksalaisen osoitteen kautta. Osoite on keksitty ja se sijaitsee saksalaisella postipalvelimella.Alunperin posti on lähtenyt Kiinasta Guag Dongin kaupungissa olevalta palvelimelta. "umidigi.com" osoitteesta, jonka omistajatietoja ei ole myöskään saatavilla.

Linkit vievät: ranskalaiseen domainiin "dreamofferz.fr", jonka omistaa Ano Nymous (eli tuntematon) omistajatiedot on peitetty.
Dreamofferz nimellä löytyy Ranskasta verkkokauppatuotteita mutta eri domainnimillä. Sillä tuskin on mitään tekemistä tämän spämmikirjeen kanssa.

Tämä kirje on kömpölösti totetutettu ansa, eikä sen linkkeihi tule koskea, eikä vastata viestiin.
Vaikuttaa henkilötietovarkausyritykseltä. Linkit vievät tietokantaan.


-----------------------------------KIRJE-------------------------------------

Tarkista voittosi hannu.kuukkanen!

(spämmirobotin sähköpostista kopioima nimi - ansalinkki)

Click to unsubscribe  (ansalinkki)
--------------------------------------------------------------------------------

Selkävaivat ja rahat lähtevät

Tässä jälleen uusi viritelmä onnettoman klikkailijan rahanmenoksi.
Suomalainen kansallistauti "selkäongelmat" ovat nyt houkuttimena.

Lähettäjä on spämmeri ja molemmat linkit vievät kone IP osoitteeseen. Sen voi jäljittää, joten tuskin on huijarin oma kone. Luultavasti kaapattu laite jonne on piiloitettu jotakin ikävää jonka saisit klikkailemalla omalle koneellesi. Yksi mahdollisuus on, että levittäisit vastaavan huijauspostittamo-viruksen kaikille koneesi muistissa oleville kavereillesi.
ÄLÄ siis koske myöskään tuohon e-maillistalta poitolinkkiin. Se vie samaan tai vastaavaan ansaan.

Kone IP on 86.105.212.211 siellä piileskeleePHP ohjelma joka tuskin tietää hyvää koneellesi ja sinulle.
Kone on sellaisen toimijan kuin FIRSTHEBERG verkkopalveluyrityksen hallinnassa. Lähetän heille tiedon koneen ilmeisetä saastumisesta (jos ja kun eivät todennäköisesti itse ole huijareita).
Lähetys on tapahtunut BOUYGUES TELECOM "postitoimisto-osoitteesta", "bbox.fr". "Takavalitus" eli englanniksi kenties "complaints" ei paljon auta, kun noita postittajia on sielä luultavimmin massoittain ja itse postitusohjelman omistajalla ei ole viisaampaa kontrollia tai tahtoa, puuttua asiakkaittensa puuhiin. Asiallisiin tai asiattomiin. Reply veisi samaan postitoimistoon.

E-mailissa oli tämä kuva. Omassa selaimessani se ei näkynyt mutta sen kautta nuo linkit toimivat.
ÄLÄ klikkaa kuvaa (tästä on linkit purettu). Saapuvan kuvan linkin kautta tallentui evästetietoa, joka ei aina ole terveellistä. Siksi kiellän kuvat selaimessa.

Kiinalainen "spämmiasekauppias"

Myyntikirje kauppasi erilaisia spämmäyspaketteja, osoiteistoja, spämmäysohjelmistoja yms.
Kaikki maksumuodot kelpaa

Otsake on ikäänkuin paluupostia "Re" 
Re:SMTP server for email marketing/https cpanel/updated fresh email list.

------------------------------KIRJE ALKAA---------------------------------

Hello friend

we sell kinds of bulk mailing tools

-New updated packages-

....jne...

-----------------------------------------------------------------------------------

paluteosoite: qq.com kysely kertoo kiinalaisesta domainnimen omistajasta.
Hän kenties ajattelee: "Jos myyn aseen, en käske tappamaan", Tässä tapauksessa myydään verkkorikollisille verkkopaketteja ja spämmäystyökaluja yhtä vastuuttomasti. Se, että domain nimen omistajasta löytyy näin paljon tietoa, kertoo, että hän ei omasta mielestään itse "tee rikosta", koska ei pelkää kiinnijäämistä. qq.com:n doman nmestä löytyy seuraavaa tietoa:

Registrant Organization: Shenzhen Tencent Computer Systems CO.,Ltd
Registrant State/Province: Guang Dong
Registrant Country: CN
Admin Organization: Shenzhen Tencent Computer Systems CO.,Ltd
Admin State/Province: Guang Dong
Admin Country: CN
Tech Organization: Shenzhen Tencent Computer Systems CO.,Ltd
Tech State/Province: Guang Dong
Tech Country: CN


qq.com:ista kerrotaan lisäksi verkkopalstoilla seuraavaa:

"QQ on tunnettu ja tuottelias kiinalainen tietoverkkorikollisuuden tarjoaja, Shenzhen Tencent Computer Systems Co., Ltd, Guang Dong, Kiina, CN, Mark Monitorin isännöimä tunnettu ”krim-azon.com” Internet-palveluntarjoaja.
He levittävät roskapostia kaikialle, minne tahansa. Enimmäkseen posti on kiinan kieltä, etkä edes pysty sitä lukemaan."

Alla alkuiperäinen teksti:

"QQ is a well known and prolific Chinese cyber crime provider. Shenzhen Tencent Computer Systems CO.,Ltd, Guang Dong, China, CN, hosted by Mark Monitor a known “crime-azon.com” ISP. They spam everyone, every where. Most of the time it’s in Chinese and you can’t read it anyway."

UUSI spämmiansatyyppi

Tai oikeammin, ei niinkään uusi mutta nyt tätä tekniikkaa on käytetty massapostituksissa joissa kirjeen sisältö vaihtelee mutta linkkien klikkausten lopputulos vie samaan, tai saman kaltaiseen ansaan.

Tunnusomaista on, että kirjeessä oleva linkki on koko kirjeen alueella, vaikka sanoja olisi linkkivärjätty ja alleviivattu. Tässä tapauksessa kaikki on alleviivattua sinistä linkkiväriä. Linkki osoittaa yleensä vain yhteen lyhennettyyn verkko-osoitteeseen. Tässä tapauksessa "bit.do" lyhenteenä mutta usein myös "bit.ly" lyhenteenä. Muitakin lyhennyspalveluja käytetään.
Ei ole mikään vitsi, että nuo lyhennetyt osoitteet (siis lyhennelminäkin) ovat pitkä rimpsu koodia. Tämän "lyhenteen" tarkoitus on vain hämäys.

Lyhennetty osoite pitää käydä purkamassa lyhennepalvelun ohjeen mukaan. Varsinaioset osoitteet, tässä huijjaustyypissä, näyttävät vievän yleensä osoitteeseen: "aptrk10.com". Alla edelleen analysoituna, mitä tuosta osoitteesta löytyy:

Short link: http://bit.do/fcCfF....
Redirects to: https://aptrk10.com/?a=1055&oc=5679&c=15822&m=3&s1=9

Tuossa osoitteessa on selkeä vaara, koska se osoittaa ilmeisesti tietokantaosoitteeseen tai osoitteisiin, josta/joista koneellesi saattaa tulla aivan mitä tahansa. Hyvin usein virus tai tietokalastusansa (=lomake jolla johonkin keksittyyn tarkoitukseen udellaan tietojasi).

Löytyi OSOITE http://aptrk10.com

Katsoin mitä tietoa "urlscan" löytää kysesiestä osoitteesta:
https://urlscan.io/result/bfc2c64d-7c49-45ed-a380-f3e84daa30ca

SIVUSTO ON VAARALLINEN:
Verdict: Malicious (Score: 100/100)
urlscan  - Score: 100 phishing
uusi tuomio "Google Safe Browsing" olisi "syytön" eli maine olisi puhdistettu, vaikka nämä spämmit eivät ainakaan minua vakuuta.

Domain nimen omistaa ja aministroi:
Name:Domain Administrator
Organization:THE ROCKET SCIENCE GROUP LLC (sama firma omistaa "mailchimp" postitusohjelman jota käyetään paljon roskapostittukseen)
Street:675 Ponce De Leon Ave
City:Atlanta
State:Georgia
Postal Code:30308
Country:US
Phone:+1.6789990141
Fax:+1.6789990142
Email:email@contact.gandi.net

Registrar Abuse Contact Email: email@support.gandi.net

Toinen nimipalvelu kertoo erilaista totuutta:
Domain Name: aptrk10.com
Registry Domain ID: 1951124117_DOMAIN_COM-VRSN
Registrar WHOIS Server: WHOIS.ENOM.COM
Registrar URL: WWW.ENOM.COM
Updated Date: 2019-07-06T08:26:10.00Z
Creation Date: 2015-08-04T19:16:00.00Z
Registrar Registration Expiration Date: 2020-08-04T19:16:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Domain Status: clientTransferProhibited https://www.icann.org/epp#

Registrant Name: PEITETTY
Registrant Organization: PEITETTY
Registrant Street: PO Box 639
Registrant Street: C/O aptrk10.com
Registrant City: Kirkland
Registrant State/Province: WA
Registrant Postal Code: 98083
Registrant Country: US
Registrant Phone:
Registrant Phone Ext:
Registrant Fax:
Registrant Email: PEITETTY
Admin Name: PEITETTY
Admin Organization: PEITETTY
Admin Street: PO Box 639
Admin Street: C/O aptrk10.com
Admin City: Kirkland
Admin State/Province: WA
Admin Postal Code: 98083
Admin Country: US
Admin Phone:
Admin Phone Ext:
Admin Fax:
Admin Email:
Tech Name: Whois Agent
Tech Organization: PEITETTY
Tech Street: PO Box 639
Tech Street: C/O aptrk10.com
Tech City: Kirkland
Tech State/Province: WA
Tech Postal Code: 98083
Tech Country: US
Tech Phone:
Tech Phone Ext:
Tech Fax:

Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
URL of the ICANN WHOIS Data Problem Reporting System: HTTP://WDPRS.INTERNIC.NET/
>>> Last update of WHOIS database: 2019-10-13T14:59:29.00Z <<<

Tuo postin osoitekentässä näkyvä HOBO spämmi tarkoittaa vastaavaa ansaa. Eli molemmat kirjeet on toteutettu samalla kaavalla. Allaoleva kirje on vanhempaa aineistoa. Siinä tähdätään samalla viestillä samaan ansaan. Tekiikka poikkeaa hieman. Katso näkyvä linkki alamarginaalissa. Sitä ei ole peitetty vaan se vie suoraan tietokantaan. Tämän uudempi tekniikka on halunnut peittää kantalinkin, vaikka mielestäni ei mitenkään onnistunmeesti (onneksemme).

Linkkejä tietoon verkkohuijauksista ja niiden estämisestä.

Jos olet huolestunut jostain sähköpostilaatikkoosi saapuneesta viestistä, kannattaa, ennen linkkien klikkailua, selvittää verkosta, löytyisikö sille jokin selitys. Jos posti ei mitenkään liity sinuun tai omaan toimintaasi, laita se roskakoriin.

- Jos se näyttäisi tulevan pankistasi, ota yhteys pankkiisi sen oman verkko-osoitteen kautta, EI kirjeen linkeistä
- Jos se liittyy sähköpostilaatikkoosi, ota yhteys suoraan palveluntarjoajan virallisten sivujen kautta, EI kirjeen linkeistä.
- JOS se tulee lähettipalvelusta tai postista, tarkista ensin sen lähetysosoite. Jos haluat olla todella varovainen, älä klikkaa sen linkkeihin, vaan ota yhteys verkkokauppaan, josta olet tuotteen tilannut ja kysys onko lähetys tulossa "tällä" nimenomaisella tavalla sinulle (jos siis et ole siitä tietoinen tai ihmettelet kuljetusmuotoa). Jos et ole tilannut mitään, heitä sähköposti roskikseen.
- Jos sinulle saapuu houkutteleva mainos, etsi hakukoneella (esim Google) tuo mainostettu tuote, ÄLÄ klikkaa mainoksen linkkejä.
- Jos sinulle tarjotaan lainaa, hae luotonantaja omatoimisesti hakukoneella (esim Google) , ÄLÄ missään tapauksessa klikkaa mainoksen linkkejä.
- JOS hermostut roskaposteihin, ÄLÄ klikkaa "lopeta kirjeen tilaus" tai "unsubscribe" linkkejä, vaan listaa lähettäjä tai kirjeen avansana sähköpostisuodattimeesi, tai siirrää ne edelleen käsin roskakoriin linkkeihin koskematta. ÄLÄ myöskään vastaa "reply" yhteenkään roskapostiin. Tulet saamaan tällä tavaoin ainoastaan lisää roskapostia tai jopa haittaohjelman koneellesi.

Roskapostisuodattimet ohitetaan usein juuri laittamalla ansalinkit roskapostin linkkeihin, eli jokainen linkki on potentiaalinen viruksen tai muun haittaohjelman tai henkilötietokeruuansan lähde.
Näitä linkkejä roskapostisuodattimet eivät juurikaan osaa tulkita vaarallisiksi. Osa virustorjuntaohjelmista reagoi kyllä (mahdollisesti) jos linkin päästä on tulossa tunnistettu virus mutta eipä juuri muuten. Silloin olet jo klikannut vaarallista linkkiä ja toimintasi vastaa riskeiltään venäläistä rulettia. JOS koneellasi ei ole virustorjuntaa, hanki sellainen ensitilassa.

Lisätietoa huijjaustavoista löydät esimerkiksi:
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/verkkotunnuspaatteita-kaupataan-fi-verkkotunnuksen-haltijoille-aktiivisesti

FaceBook ansoihin on keskittynyt:
http://www.verkonvaarat.fi/
Tältä sivulta löytyy myös varoituksia kännyihin saapuvista haittaposteista. Mm. Postin nimellä tullut huijaus jossa perittiin aiheetonta postimaksua.

YLE:n korsi kekoon:
https://yle.fi/aihe/artikkeli/2017/04/03/digitreenit-25-nain-karsit-roskapostia

Elisan sähköpostipalvelu vuotaa roskapostia ja heidän tukensa on myös kovin kevytrakenteinen. Lähinnä sillä kalastellaan yhteyttä "omagurupalveluun":
https://yksityisille.hub.elisa.fi/miten-valttaa-roskaposti/
TAI sitten he haluavat myydä ns. virusturvaa lisähinnalla:
https://elisa.fi/asiakaspalvelu/aihe/sahkoposti-kotisivut/ohje/roskapostisuoja/

F-Securen ohje, roskapostin suodattamiseksi, Windows Outlook-sähköpostiohjelmalle:
https://community.f-secure.com/t5/F-Secure-SAFE/S%C3%A4hk%C3%B6postis%C3%A4%C3%A4nt%C3%B6jen/ta-p/24824

JA tietysti näiltä sivuilta löytyy runsas valikoima esimerkkejä ja varoituksia eri tyyppisistä roskaposteista. Jos sinulla on jokin avainsana jonka löydät roskapostistasi, niin sillä voit hakea Blogisivun vasemmassa ylänurkassa olevalla hakukoneella aihetta koskevan artikkelin. Kokeile eri avansanoja jos osumaa heti ei löydy.
https://vaarallinenweb.blogspot.com/

.ICU päätteisten spämmien määrä kasvaa

Tällä hetkellä verkkorikollisen generoimista .ICU päätteisistä domannimistä, on yli 100 kpl. erilaista, saapunut sähköpostiini. Tämä viimeisin oli tyypillinen "kauppankäyntikuittaus" "Tilauksen hyväksyminen", vaikka en ole tehnyt ainuttakaan ostosta pitkiin aikohin mistään. Näiden kanssa on oltava erittäin varovainen. Epäilen, että kampanjan tarkoitus on kaapata koneesi linkeistä saapuvalla haittaohjelmalla ja sen jälkeen suorittaa jokin laaja (rikoillinen) palvelunestohyökkäys, jossa koneesi on mukana. ÄLÄ koske ainoaankaan linkkiin. EI edes "go here" jossa ikäänkuin luvataan poistaa sinut sähköpostilistalta, Sekin on vaarallinen ansalinkki.

Tämän sähköpostin sisältö on sikäli helppo tunnistaa, että se on täyttä potaskaa, mutta useassa muussa vaikutelmana on vain "spämmimainonta". Älä suosi koskaan tällaista spämmipostituksia lähettävää yritystä. Yrityksellä tule olla aina lupa käyttää sähköpostiasi manontaansa. Silloin tunnet yrityksen ja voit tarkistaa yrityksen virallisten sivujen kautta, että posti on lähetetty juuri sieltä, tai että posti on aiheellinen. Samoin mainossähköpostilähetykset kannattaa perua vain yrityksen todellisen verkko-osoitteen kautta.

Mietippä, jos saatat varomattomuudessasi, saastuneella koneellasi, esimerkiksi osallistua jonkin terveydenhuoltopalvelun (HUS) tietoverkon kaatamiseen? Kyseessä saattaa olla kymmeniä ihmishenkiä tai satojen hoitotoimenpiteiden lakkaaminen. Roskapostit eivät ole enää harmittomia ainutkaan.
Tästä on kaikki linkit poistettu turvallisuussyistä. Jokainen linkki vei tietokantaan, joka on saman domannimen alla kuin mistä posti oli lähtöisin. Mitä tietokannasta koneellesi tulisi, on kaikissa tapauksissa vaarallista.

.ICU päätteillä domainnimiä kaupittelevat ja näitä rikollisia domannimiä ylläpitävät, ovat tästä kampanjasta ensisijaisessa vastuussa. Toistaiseksi heidän taholtaan, ei ole tätä spämmikampanjaa katkaistu.

------------------------------------KIRJE--------------------------------------


This email went to sinun.nimesi@sahkopostisi.fi. For no more from us, go here
Can also reach us by mail at
9736 Pawnee St. Midland, MI 48640

Today's Deals    See All Departments
Order confirmation 49430131 Increase Your Intelligence Over 135 Quantity Left: 12 Receiveve three for $20.17 In Stock: Product Details Mark Cuban and Zuckerberg use this to stay focused Unlocks brain nerves in parts of the brain your not using By Thursday, become an instant genius Stay focused and smarter with this new product   View Or Manage order
AThe World Health Organization on Tuesday clarified martes  once again  its advice on ana sexual transmission of the Zika , saying mare that couples living in areas where it outsource is circulating should be offered contraception and percy counseling to help decide whether to become pinnacle pregnant. A spokeswoman said the  made terminology the announcement to clear up earlier confusion speed over whether it was advising women to ritual avoid  during the epidemic. The W.H.O. sild is not offering such advice, although, she documentation conceded, officials did appear to have said tradition as much in June. The W.H.O. also refinsance suggested that men and women who  appetizer and return from areas with mosquito-borne Zika raise transmission pr actice protected  or abstinence for excise six months. The advice to wait that husband long  instead of eight weeks, the cynical previous limit  is based on new smdoking evidence about the persistence of the  executed in . Two men in Italy who andal had visited Haiti in January and February expert were recently foundm, ---------------------------------------------------------------------------------------------------------------------------------------------- Alinna tällä hetkellä koneelleni saaapuneet vaaralliset osoitteet. Lisää on todennäköisesti tulossa. NameCheap palvelintilantarjoaja on plokannut valtaosan näistä linkeistä ilmiannettuani nämä heille. Myös .ICU domannimien kauppias lupasi tehdä asialle jotakin, eli toivon mukaan tämä tehtailu saadaan loppumaan. Tämä osoittaa, että spämmeille on tehtävissä jotain muutakin, kuin vain filtteröinti. Sillä on merkitystä, koska kaikki eivät osaa filtrata sähköpostiaan ja palveluntarjoajien suodattimetkin vuotavat.: census@juniorcarpet.icu applaud@revealagency.icu electron@lessonsupply.icu lunch@pleasevisual.icu tycoon@middleharass.icu admire@readerreturn.icu bishop@coerceunique.icu treaty@honestrocket.icu health@invitesticky.icu referee@includeveteran.icu coat@traffictrouble.icu office@freightinitial.icu cyrano@stresstreaty.icu ideate@cheesevelvet.icu accent@pepperletter.icu wander@occupyrecord.icu treaty@refundendure.icu meadow@figureshiver.icu output@mediumbanana.icu deserve@tycoonnuance.icu dominate@loungeapathy.icu current@stickycattle.icu land@expandpastel.icu dominate@impactbarrel.icu yvor@cuterib.icu aganus@fibrebus.icu sulphur@fingercup.icu pleasure@furgun.icu crossing@deathfan.icu yvor@cuterib.icu aganus@fibrebus.icu sulphur@fingercup.icu pleasure@furgun.icu scheme@ribban.icu bad@pleasenap.icu crossing@takefly.icu bajada@stresssun.icu yvor@solveget.icu analyst@decadebanish.icu culture@weaponspider.icu center@usefulchoose.icu crevice@insertstress.icu loz@threatslogan.icu makkah@knotreal.icu horse@gemskin.icu snatch@coremeal.icu stretch@airliftsz.icu broccoli@wrongfull.icu clique@toughjoy.icu counter@tiecage.icu           office@medalpick.icu office@faceglow.icu lunch@pieceleaf.icu melian@relaxtool.icu ballet@lidiron.icu contact@urgesolo.icu dou@pluckbook.icu samlet@enjoyoral.icu percent@modelmaid.icu bullet@peacefist.icu loose@shiftfix.icu unusurping@stormzone.icu response@screenbuy.icu response@spiderpity.icu runner@adultvote.icu physics@windowhook.icu section@laserrib.icu unstooping@warrantlot.icu susian@wheelpull.icu address@pupilwind.icu sentence@commandview.icu restaff@robotdare.icu bomber@duehero.icu danger@pullact.icu liner@wordsail.icu artist@chancedilute.icu imogen@chancedilute.icu gutter@chancedilute.icu deserve@chancedilute.icu anxiety@chancedilute.icu rule@templeborder.icu provoke@templeborder.icu denial@uniquechoice.icu admire@uniquechoice.icu grounds@cherrycandle.icu formula@insurestream.icu boob@twitchbroken.icu duty@swimrate.icu address@stylegive.icu need@stylegive.icu response@lobbybill.icu snuggle@racksource.icu district@seatvoter.icu facade@rubbishdetector.icu hubbub@rubbishdetector.icu undry@writerdaughter.icu whoring@roughexercise.icu seesalvation.icu@seesalvation.icu reliable@vacuumcast.icu hindi@fibrefly.icu ashleym.@leaselean.icu

Kaksi samantapaisella headerilla varustettua ansaa

Tänään saapui kaksi hyvin samantapaisella headerilla varustettua ansakirjettä hyvin samantapaisista osoitteista lähetettyinä. Molempien jäljet päättyvät U.S.A:n Cloudflare nimisen yrityksen palvelimelle. Domannimitiedustelulla niiden lähettäjästä tai niiden linkeistä ei saa tietoa. Tämä on erittäin epäilyttävä seikka ja paljastaa lähettäjän rikollisen aikeen. Minkäänlaista yritystä tai muuta organisaatiota ei näiden nimien takaa löydy.

Kirjeiden sisältö on "humpuukia" hiustenkasvatuksesta seksiin eli sikäli ei mitään uutta aihealueilla.
Cloudflare vaikuttaisi olevan suosittu nimipalveluntarjoaja verkkorikollisten keskuudessa.
Domannimen ylläpito on mahdollista kenelle tahansa. Cloudflaren koneilta löytyy ilmaista palvelintilaa konnille. Edesvastuutonta toimintaa, koska sivujen perustajia ja käyttäjiä ei näytetä tietävän, tai niiden toiminnan laillisuutta ei valvo kukaan.

Myös domannimien kauppa on kokenut valtavan inflaation. Domannimen voi valita lähes rajattomasta määrästä eri toimialueista rakennettuja "koodeja" jotka maksavat alimmillaan 7.99 USD / vuosi. Kuka tahansa pystyy hankkimaan domannimen, tai jopa kymmeniä, rikolliseen käyttöön. Niiden rekisteröinti ja plokkaaminen ulos verkosta on rikolliselle lähes riskitöntä ja joka tapauksessa, hyvin pienin tappioin. Tomintaa  pyöritetään myös varasteuilla henkilötiedoilla. JUURI SIKSI mitään verkkolomakkeita ei tule täyttää, ellei ole 100% varma ttiedon kerääjän palvelinosoitteen turvallisuudesta ja laillisuudesta. Henkilöätietolain suojasta ei ole minkäänlaista hyötyä, esim. panamalaisella palvelimella toimivan yrityksen tiedonkeruun suhteen.

Näitä lähettäjäosoitteita kannattaa kerätä spämmisuotimiin.
.icu tunnusosa viitta yleisesti "intensive care unit"  (tehohoitoyksikkö). Lyhenteen käyttöä rikoksen aikomuksessa, voisi pitää äärettömän moraalittomana.


-------------------------DOMANNIMITIEDUSTELU----------------------
Domain name: glowunit.icu

% whois.dnslytics.com

% Whois information not available. Possible reasons:
% 1)Whois server temporarily unavailable.
% 2)Access denied by whois server.

% The following information is based on the Domain Name System (DNS)

Domain name: glowunit.icu
Status: registered

Domain nameservers:
ali.ns.cloudflare.com
nick.ns.cloudflare.com
--------------------------------------------------------------------------------------

SAMA TULOS TOISESSAKIN NIMESSÄ
Domain name: growskin.icu

% whois.dnslytics.com

% Whois information not available. Possible reasons:
% 1)Whois server temporarily unavailable.
% 2)Access denied by whois server.

% The following information is based on the Domain Name System (DNS)

Domain name: growskin.icu
Status: registered

Domain nameservers:
ali.ns.cloudflare.com
nick.ns.cloudflare.com

SIENITAUTILÄÄKE surmaa lompakkosi

Jälleen terveydellä rakennellaan ansapostia.
ÄLÄ VASTAA tällaiseen kirjeseen ÄLÄKÄ KLIKKAA kirjeeen linkkejä. Näitä tulee eri lähettäjänimillä ja kaikkien linkit vievät eri palvelimille (todennäköisimmin hakkeroituja palvelimia).
Taudin saattaa saada tietokoneesi.

Joulupukin kirje ANSA

ÄLKÄÄ menkö Joulupukinkirjeansaan! Kerron tästä kohta enemmän. LINKKIÄ EI ole syytä klikata.
Lisätietoa löytyy mm.
https://community.spiceworks.com/topic/1177266-how-to-block-spam-from-new-top-level-domains

 

Tämän e-mailin linkki voi yllättä, mutta tuskin ainakaan iloisesti. Joululahjaksi saattaa koneellesi saapua joulupukin sijaan virus tai muu haittaohjelma. Noilla yhteystiedoilla, jotka kirjettä varten kenties kerätään, voidaan myös tehdä rahaa sinun kustannuksellasi. Domainnimitiedustelu kertoo, että tuo domain "shut-rnr.date" on peräisin Panamasta, spämmereiden luvatusta maasta.  Kaikki yhteystiedot omistajasta on piiloitettu, eli mistään rehellisestä toiminnasta ei ole kysymys. Juuridomain shut-rnr.date vie tyhjälle index sivulle, eli alidomaineilla (kuten val.) ja niitä lisää ilmaiseksi generoimalla, saadaan runsaasti spämmipostia maailmalle, ohi spämmisuodatinten. On syytä plokata tuo loppusa oleva ".date" osuus joka on näiden spämmien suurin sylttytehdas. Tätä yritystä on vaikea saada kiinni jos edesvastuuta joskus haetaan. Tuo "kiire" eli "ikäänkuin myöhässä lähetetty e-mail", on yksi tunnusmerkki ansaposteille. Vastaajalle ei haluta jättää harkinta-aikaa.
Kirjeen alareunassa on lisäansa, eli tuo sähköpostikielto. ÄLÄ klikkaa siihenkään. Jos haluat yhteyden mahdollisesti ja jostain kumman syystä Jones Blvd nimiseen henkilöön (tai epähenkiklöön?), tee se etanapostilla, se tulee ehdottomasti edullisimmaksi. Osoite Las Vegasissa vaikuttaa, että hän tarvitsee pelirahaa. Myös molemmat kirjeessä olevat linkit ovat muodoltan hyvin tyypillisä ansposteille. Näyttä jopa koodilta joka ei pääty mihinkään validiin tiedostonimeen.

Erilainen E-post ANSA "Elisan" nimissä jälleen

Noinkohan typeräksi joku "ihminen" toista luulee. No eihän näitä yleensä tehtaile ihminen vaan BOTTI. Jälleen hieman erilaisella kirjesisällöllä yritetään saada Elisan sähköpotitilin omistajia ansaan. Lähettäjän osoite "hanne.zoeller" (sama kuin edellisessä Elisa-ansassa) on ilmeisesti varastettu ja on ilmaisosoite Saksassa.

Linkit osoittavat jälleen sellaiseen osoitteeseen, joka on tyypillinen VIRUS -linkki joka kierrätetään MicroSoftin anonyymipalvelun kautta tuntemattomille teille. Rikollinen peittää jälkensä.

Tässä pyydetään jälleen "kuittausta" jota siis EI myöskään tule tehdä. Ja jos ette halua lukea näitä roskaposteja, ja tuttuja ei ole Saksassa, kieltäkää tuo gmx.de osoite postiselaimessanne. Minä seuraan tätäkin roskapostittajaa ihan mielenkiinnosta. Mihin hän oikein vielä ansoineen yltääkään.

Elisalta varastettiin vuosi pari takaperin runsaasti sähköpostiosoitteita ja näitä osoitteita käytetään nyt spämmäykseen ja näihin virusposteihin. Pysykää hereillä Elisalaiset.

Ilmoitin sähköpostiosoitteesta gmx.de rekisteröijälle (suoraa email yhteyttä ei palveluntarjoajalle ole). Katsotaan mitä sieltä vastataan (jos vastataan). Osoitetta on oikeasti käytetty ja siihen osoitteeseen pyydetään myös tuota kuittausta eli osoite ei ole feikki mutta kaikki muu on.

.date jatkaa ansapostitusta

Viimeisin ".date" ansa atsastaa jälleen henkilökohtaisella vaivalla tai ongelmalla ja kehoitetaan klikkailemaan linkkejä. JOKAINEN LINKKI vie ANSAAN. En suosittele. Todennäköisimmin saat koneellesi viruksen, eli lisää ongelmia terveytesi tai mieskuntosi ongelmien lisäksi.
Voit kieltää sähköpostiohjelmassasi tämän ".date" domannimen postit. Se on paras ensiapu.

Pro spammer MailChimp - ammattilais-roskapostittaja

Sain tänään merkillisen kirjeen "MailChimp"  nimiseltä ammattilaisspämmeri-yritykseltä.
Kirjeessä eräs saksalainen firma ehdottaa mainosmyyntipaikan ostoa minun verkkosivuiltani. Miltä perustamiltani sivuilta, ei pyynnössä ollut erittelyä, koska niitä on useita. Ainutkaan ei käsittele autoalaa tai siihen viittavia harrastuksia.

Katselin edelleen, mitä tällainen epämääräinen viesti oli peräisin.
S-posti on lähtöisin postitusfirmalta osoitteesta: mail12.suw13.rsgsv.net. Sen omistajaksi paljastui MailChimp niminen postitusfirma.
Reply-lähettäjänä on  pr4@pkwteile.de joka viittaa oikein kirjeen sisältöön jossa yrityksen mainitaan olevan autoalan (varaosien/tarvikkeiden) verkkokauppias. Tässä oli jo ensimmäinen ihmetyksen aihe. EN kirjoita millään sivullani autoista tai mitään edes niihin viittaavaa. Miten yrittäjä, ja/tai tämä "spämmeri firma" voisi kuvitella itselleen verkkosivuillani olevasta mainoksesta jotain hyötyä?

Tästä voidaan tehdä edelleen päätelmä, että spämmeri on kerännyt vain joukon sähköpostiosoitteita eri verkkosivuilta ja myy tällaista, täysin "sokkoa" e-mail-spämmäyskampanjaa, bulkkiosoitteilla, onnettomille, asiaa tiedostamattomille firmoille. Firmat maksavat siis täysin turhista vastaanottajista. Verkkokampanjamainonta pyritään aina kohdentamaan alan toimintaan jotenkin viittaville sivustoille, kuten esim. harrastesivuille. Saattaa olla myös, että spämmeri velottaa ainoastaan vastauskirjeistä? Sikäli ei kannata vastatakaan jos ei todella asia ole relvantti toiminnallesi. Vastauksen maksaisi spämmerille tuo pikkufirma.

MailChimp - nimisellä firmalla on rekisteröitynä useita domannimiä, joiden avulla se pyrkii sivuuttamaan spämmisuodattimia. Kun yksi domannimi plokataan suodattimella, läpi menee seuraava osoite jne.
Onneksi spämmeri itse on laatinut domannimistä lista jonka voi kopioida ja syöttää sähköpostisuodattimeen halutessaan. Mikään ei tietysti estä spämmeriä luomasta uusia osoitteita näiden entisetn lisäksi. Oleellista on, että ÄLKÄÄ ostako sikaa säkissa, edes postitus- eli spämmäystoimistolta ja varsinkaan siltä. Ei myöskään kannata ottaa yhteyttä tällaisen yhteydenoton kautta, koska kyseessä saattaa olla myös jonkin asteinen tietokalasteluyritys. Jo tieto, että "en harrasta autoilua", riittäisi jonkin arvoiseksi tiedoksi, ainakin spämmerifirmalle ja samalla se saa varmistettua, että osoite on käytössä ja aktiivinen ja saattaa kilauttaa myös jonkin summan spämmerin lompakkoon..

Tämän alla olevan linkin kautta löytyy MailChimp:in lähetys-domainosoitelista. Huomaa, että tämän "organicweb" domainnimen kotipaikka on Austraaliassa (au). Kyseessä on monikansallinen yritys.

https://www.organicweb.com.au/18884/email-marketing/mailchimp-sending-domains/

Mozilla kertoo sähköpostiohjelmansa tavasta puuttua ja varoittaa MailChimpin roskapostista tai vastaavista roskaposteista. Mozilla varoittaa myös sallimasta kuvien esittämisen e-mailin yhteydessä (kiellä kuvat s-postiselaimestasi), sillä estät lähettäjän saamasta tietoa, että olet avannut sähköpostin, eli sähköpostiosoitteesi on käytössä ja saatat olla kiinnostunut roskapostin sisällöstä tai aiheesta. Sekin on yksi laskutusperuste spämmerillä. Käännös varoituksista englantilaisen tekstin alapuolella hiemean lisätyllä infolla:

1. ... There are actions in the mailing that triggers the warning. They are simple

• Links that only use an IP address, including dotted decimal, octal, hex, dword, or some mixed encoding.
• Links that claim to go to one site, but actually go to another. (Phishers do this to fool you into going to their site. Legit mailing lists sometimes do this with redirectors for tracking purposes.)
• Forms embedded in the email. (This explains the LiveJournal notices.)

Refrain from those actions and your mail will not be detected.
2. What you as the sender consider important. I as the recipient consider an invasion of my privacy. When you send me marketing stuff snail mail you get zero feedback unless I contact you. The fact that marketers think they are entitled to anything more from email is unfortunate. In my view they are not.

1) Muutamia varoittavia (ja hälyyttäviä) asioita e-maileissa:
- linkit jotka käyttävät IP osoitetta joissa on desimaalilukuja, pisteviivaa, oktaalia, heksadesimaalia, dwordia tai jotain sekakoodausta. (ELI eivät ole selkeitä tiedostonimiä. Myös pelkkä domannimi linkissä ei takaa mitä sen takaa löytyy, se vie aina index-tiedostoon joka taas voi sisältää aivan mitä tahansa, koska se ei ole näkyvissä, eikä sen nimi edes kerro tiedoston sisällöstä.) - linkit, jotka väittävät vievänsä yhteensivustoon, mutta menevät todellisuudessa toiseen ovat epäilyttäviä. (ID varkaat tekevät niin hämmentäen sinua menemään omalle sivulleen). - Sähköpostiin upotetut lomakkeet ovat vaarallisia ja niitä ei tule täyttää (kuten ei muitakaan linkkien päässä olevia lomakkeita jos lomakkeen esittäjä ei ole luotettava yritys ja URL linkki ei ala tunnuksella "HTPS" = salattu = turvattu yhteys).

2) Lähettäjänä on tärkeää että, yksityisyytesi on suojattu. Kun lähetät markkinointikirjeitä etanapostina, saat nolla palautetta ellet ota yhteyttä asiakkaaseesi. Se, että markkinoijat ajattelevat, että heillä on oikeus saada sähköpostistaan vastaus, on valitettavaa. Mielestäni näin asian ei tule olla.

Unsubscribe - Reseptiansa

Olen jonkin aikaa seurannut e-mailiin putoilevia reseptisivuja, mutta heittänyt ne ainoastaan roskiin. Nyt heräsin katsomaan, mistä ne ovat peräisin ja minne linkit vievät ja arvaatte varmaan, että ei näytä hyvältä. E-mail tulee ikäänkuin mytaste.net osoitteesta "rule"-postitusfirman toimesta.
"mytaste.fi" jonne kehoitetaan menemään on osoite joka on luokiteltu vaaralliseksi.

Ensinnäkin: varsinainen sisältöteksti vaikuttaa olevan OK mutta kaikki lisätekstit ovat kehnoja konekäännöksiä, joka viittaisi siihen, että itse sivu on kopioitu todellisesta sivusta  mutta toiminnalliset linkit on pääasiassa lisätty spämmerin toimesta.

EN kehoita koskemaan mihinkään linkkiin. "Unsubscribe" linkkiin ei missään tapauksessa. Ohjatkaa näiden tulo-osoite suoraan roskakoriin. Verkossa on nimenomaisia varoituksia  tuon "Unsubscribe" eli "postikielto"-linkin käytöstä ansalinkkinä.
https://www.itwire.com/shawthing/76210-warning-%E2%80%93-the-latest-spam-scam-is-%E2%80%9Cunsubscribe%E2%80%9D.html

Myöskään ei tule lähettää omaa reseptiä tämän e-mail linkin kautta. Linkki vie tuonne app.rule.io:n (Indian Ocean) eli ei mene mytaste:n osoitteeseen suinkaan.
Kuvan alla on lisää selvitystä e-mailin epäilystä herättävistä seikoista.

Lähettäjä näyttää olevan: mytaste.net - tämän nimen taustoista on heikommin tietoa, eli osa tiedoista on peitetty. Ruotsista näyttäisi olevan kotoisin. = sama omistaja kuin mytaste.com
Domannimikysely kertoo siitä seuraavaa:

Registrant Email:
Registry Admin ID: Protected
Admin Name: Protected Protected
Admin Organization: Shield Whois
Admin Street: Radiovgen 2
Admin City: Vstra Frlunda
Admin Postal Code: 42147
Admin Country: SE
Admin Phone: +46.104500390
Admin Fax:

Mailista löytyy myös ihan luotettava osoite: mytaste.org joka näyttää olevan kytköksessä mytaste.com domainiin sähköpostiosoitteensa kautta.

Registrant Name: Dennis Lundberg
Registrant Organization: myTaste AB
Registrant Street: Birger Jarlsgatan 6B , 7TR , Portkod 7836
Registrant City: Stockholm
Registrant State/Province:
Registrant Postal Code: 11434
Registrant Country: SE
Registrant Phone: +46.704452832
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:

mytaste.com heittää osoitteen sivulle "http://www.mytasteus.com/" josta ainakin reseptisivu näyttäisi olevan kopioitu.

rulemailer.se - on todellinen ja luotettava domanosoite ruotsissa

MUTTA miksi rehellinen firma käyttäisi palautelinkkiosoitteena toista epämääräisempää "rule.io" osoitetta joka viittaa Intian valtamerelle (io=Indian Ocean)?

rule.io Domannimen selvitys kertoo hyvin vähän, eli omistajaa ei haluta löydettävän:

Domain Name: RULE.IO
Registry Domain ID: D503300000040374601-LRMS
Registrar WHOIS Server:
Registrar URL: https://www.101domain.com
Updated Date: 2017-06-10T23:35:33Z
Creation Date: 2013-11-12T14:37:19Z
Registry Expiry Date: 2020-11-12T14:37:19Z
Registrar Registration Expiration Date:
Registrar: 101domain GRS Ltd
Registrar IANA ID: 1011
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Reseller:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: PHIL.NS.CLOUDFLARE.COM
Name Server: KARA.NS.CLOUDFLARE.COM
DNSSEC: unsigned 

Spämmiansoja laatikko pullollaan

Ilmeisesti spämmiansat toimivat, koska spämmejä saapuu tasaiseen tahtiin ja aivan samoja vanhoja ansoja. Naisia ja englanninkielisiä naapurintyttäriä on tyrkyllä, lainaa ja palkintoja saapuu solkenaan, helppoa rahaa ja työpaikkojakin tarjotaan. Näihin ei kannata vastata eikä missään tapauksessa klikkailla linkkejä.
Vanha DHL-ansakin on jälleen aktivoitu eli ikäänkuin olisit saamassa paketin jota ei ole voitu toimittaa ja sakko tikittää. Ei kannata huolestua. Jos paketti on DHL:stä tulossa soita DHL:ään ÄLÄ KLIKKAA likkejä missään tapauksessa.
Alla oleva ansa tarjoa helppoa ansiotuloa, ei kuitenkaan sinulle.

Mielenkiintoinen perinnönjakokalastus

Asianajaja James Amevor joka käyttää Christopher. M.Makan G-mail-postia lähettää perinnönjakoilmoituksen jossa edesmennyt asiakas omaa saman sukunimen kuin minä. Merkillistä kyllä, James ei kirjoita vainajan nimeä kirjeeseen (joka on muuten kuva, ei tekstiä lainkaan).
Nimen puuttuminen saattaa johtua siitä, että tämä spämmi on lähetetty ties kuinka monelle FaceBookista poimitulle ja sen kautta lähetetylle, erinimiselle henkilölle naruttamisen toivossa. Yhteydenottokirje menisi jm.tgt@hotmail... ilmaisosoitteeseen. Jo on mutkikasta.

Muuten kait ryntäisin suin päin perinnönjakoon mukaan mutta kun Thunderbird selaimeni uskoo miehen olevan roskapostittaja.
Kun teksti on kuva, tekstisisältöä ei voi spämmisuodattimilla tunnistaa ja kolmen sähköpostin luukuttamisella + FaceBookista postittamalla saadaan hämmennystä aikaan. Tämän spämmin tarkoitus on muodostaa yhteys henkilöön ja sen kautta kalastaa henkilötietoja rikolliseen toimintaan. Muuta järkeähän tässä ei ole.