Roskaposti - ryöppy Venäjältä jatkuu

Toistasataa roskapostia on saapunut Venäjältä Moskovan seudulta, marraskuun alusta 2021, ilmeisen varmasti samasta lähteestä tai saman roskapostittajaryhmän koneilta. Kirjeitä saapuu useita päivässä.
Kirjeissä olevat linkit vievät vaarallisisksi luokiteltuihin palveinosoitteisiin.

Lähettäjäosote vahtelee (nyt on menossa tuo Kookossaarten osoite info@vaiddzed.cc). Kun edellinen osote plokataan ulos verkosta, postittaja siirtyy seuraavaan. Tyyli on sama, jopa osia headereita ja tekstejä on kopioitu. Kun lähdekoodeja vertailee on helppo todeta kirjeiden sukulaisuus. Viimeisimmissä kirjeissä header- osuus alkaa olla jo melkoista mössöä, mutta smankaltaista, osittain tai täysin kopioitua mössöä. HTML sivunkuvaus on joissakin kirjeissä sekavaa ja sisältää tarpeetonta koodia.

Aiheita on kaikkea mahdollista taivaan ja maan väliltä. Yleensä erilaisia terveystuotteita (ilmaisia koe-eriä ja alennuksella - tarjoustuotteita) mutta joukossa on ollut myös polkupyörä, McAfee virustorjunta ja sähkösopimus. Kannattaa heittää kaikki vastaavat sähköpostimainokset roskiin. Näistä on ollut tässä blogissa useita kuvauksia. 

Jos erehdyt klikkaamaan linkkiä, se voi tuoda koneellesi viruksen. Toinen vaihtoehto on, että sinulta udellaan henkilötiedot ja mahdollisesti luottokorttisi numero ja tunnusluku. Jos nämä tiedot annat, sen jälkeen on odotettavissa tilisi tyhjennys.

Kirjeissä on linkki tai linkkejä jotka on lyhennetty piiloon, "bit.ly" tai "cut.ly" palvelujen avulla.
Domainnimien omistajatiedot on peitetty, vaarallisin linkki vie no-ip palvelun kautta joka putsaa konetunnuksen.

VAROITUKSIA NÄISTÄ SPÄMMEISTÄ ON TÄSSÄKIN BLOKISSA RUNSAASTI

LISTAA SPÄMMIEN OTSAKKEISTA. MUITAKIN VASTAAVIA ON LIIKKEELLÄ
https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html

ESIMERKKIKIRJEITÄ
https://vaarallinenweb.blogspot.com/2022/01/sahkosopimus-spammia-saapuu-nyt-tiuhaan.html

https://vaarallinenweb.blogspot.com/2022/01/mcafee-virusvaroitus-suoraan-ansaan.html
https://vaarallinenweb.blogspot.com/2021/12/mcafee-vaarallista-virustorjuntaa.html

https://vaarallinenweb.blogspot.com/2021/12/epaterveellinen-terveysportaali.html

Viimeisin esimerkki vaarallisesta spämmistä 6.1.2022
Otsake: "Varjostavatko vararenkaat talvilomaasi?"
Tämäkin rasvanpoltto tulee kalliiksi. Kirje on lähtöisin Moskovasta.

Analysoin tämän kirjeen osoitteet. Lähettäjä oli sotkenut headeria olan takaa. Posti olisi sen mukaan lähetetty kolmelle henkilövastaanottajalle joiden sp-osoitteet ovat näkyvillä, kuten jokaisessa muussa aikaisemmassa postissa (kuitenkin tämä on mitä ilmeisimmin robottipostia, joka leviää laajalti kertalähetyksenä). Jokainen lähetys oli eri koneista Venäjältä.
Kirjeen linkit olisivat vieneet kahdelle eri koneelle joita molempien osoitteet oli luokiteltu vaarallisiksi.

Linkki1 vie Kanadaan (sharedtris.com joka on rekisteröity: Registrant State/Province: Charlestown Registrant Country: KN (kaikki muu tieto on peitetty) Kone on listattu vaaralliseksi)

Linkki2 (https:/)/aksacli.servehttpXXX.com Registrant Name: Dan Durrer, Organization: No-IP.com, City: Reno, State/Province: NV, Country: US, ("no-ip" putsaa konetunnuksen, eli konetta ei sen perusteella löydy verkosta. Nämä identiteettiturvaajat ovat verkkorikollisten sateenvarjo)

Sähkösopimus - spämmiä saapuu nyt tiuhaan, ELISA ei toimi

Huijauskirjeissä ratsastetaan Elisan rekisteröimällä "sahkosopimus.fi" - verkkotunnuksella ja tuotenimellä "Sähkösopimus.fi", joka ei edes ole tällä hetkellä käytössä. ELISA ei halua ottaa vakavasti kantaa verkko-osoitteensa väärinkäyttöön. Olen kirjoittanut sinne varoituksen tästä spämmityypistä mutta vastaus vaikuttaa lähinnä "copy - paste" vastaukselta. Vastaanottaja ei vaikuta mitenkään perehtyneen asiakkaille vaaralliseen ansaan.
ELISA voisi edes asentaa tuon "sahkosopimus.fi" osoitteensa index-sivulle varoituksen tuotenimen väärinkäytöstä. Joku saattaa ryhtyä etsimään verkosta tuota "100% suomalaista" toimijaa.

------------------------------ELISAN VASTAUS------------------------------

-- Elisa DNS Domain-admin --

 Hei,
 Saamassanne markkinointiviestissä on lähettäjänä info@vaiddzed.cc, [mailto:info@vaiddzed.cc,] jolla ei ole tekemistä Elisan kanssa.
 Viesti on ilmeisimmin lähetetty nimenomaisesti teille jonkin sivuston postituslistan perusteella, koska viestissä on myös linkki "_Peruuta uutiskirjeen tilaus_".
Voitte ko. linkistä peruuttaa tilauksen. (ÄLKÄÄ KLIKATKO TÄTÄ LINKKIÄ ROSKAPOSTISSA, SE VIE YLEENSÄ SAMAAN ANSAAN, KUIN MUUTKIN LINKIT*)

Ystävällisin terveisin,
Elisa DNS Domain-admin <domain-admin@elisa.fi>
 Lisätietoa henkilötietojen käsittelystä ja tietosuojasta Elisalla: https://elisa.fi/tietosuoja [https://elisa.fi/tietosuoja]

') BLOGIN PITÄJÄN VAROITUS

-------------TOINEN SÄHKÖPOSTINI +CC VIESTINTÄJOHTAJALLE-------------

VASTAUKSENNE (domain-admin@elisa.fi) EI OLLUT ASIALLINEN JA SITÄPAITSI SE OLI VAARALLINEN
Tässä olisi henkilöstökoulutuksen paikka.

Tiedän lähettäjän, joka on venäläinen roskapostittaja, jonka toimintaa olen seurannut pitkän aikaa ja saan sieltä päivittäin roskapostia.

ELISALLA Kirjeeseeni vastaaja ei tainnut vaivautua lukemaan analyysiä antamastani osoitteesta? Lähetysosoite vaihtelee mutta aina jäljet johtavat Venäjälle. Sikäli kirje on erittäin huolestuttava.

ÄLKÄÄ IHMEESSÄ kehoittako ketään klikkaamaan noita "peruuta tilaus" linkkejä. Roskapostissa ne vievät yleensä aina samaan ansaosoitteeseen, kuin kaikki muutkin kirjeen linkit.

Ainut neuvoni on, että lisäätte oman postipalvelimenne roskapostisuodattimeen tuon lähetysosoitteen.

En enää ihmettele, miksi suomalaiset menettävät miljoonia verkkorikollisille, jos suhtautuminen kaikkien palveluntarjoajien taholla sähköpostiansoihin on vastaavanlainen.

Hannu Kuukkanen
vanhempi erikoistutkija
VTT/Tietotekniikka/Media

(eläkkeellä mutta aktiivisesti verkossa toimiva)

--------------------------------------------------------------------------------------

ELISAN ASIALLISEMPI VASTAUS SEN JÄLKEEN, KUN LAITOIN CC:n VIESTINTÄJOHTAJALLE

-------------------------ELISAN UUSI VASTAUS----------------------------

- Elisa DNS Domain-admin --

Hei,

 

Kyseinen lähettäjäosoite on ilmoitettu Elisan sähköpostivälityspalvelimista vastaavalle taholle.

 

Valitettavasti roskapostittajat kehittävät aina uusia lähettäjäosoitteita joten kokonaan tällaista postia ei saa estettyä.

Ystävällisin terveisin,

Elisa DNS Domain-admin <domain-admin@elisa.fi>

Lisätietoa henkilötietojen käsittelystä ja tietosuojasta Elisalla: https://elisa.fi/tietosuoja

  --------------ALKUPERÄINEN VAROITUSKIRJEENI ------------------

  Mikäli tällä kirjeellä on mitään tekemistä Elisan (sähkösopimus.fi)
kanssa, lopettakaa välittömästi tämä kampanja. Taustalla toimii
hämäräbusiness.
JOS taas teillä ei ole kirjeen kanssa mitään tekemistä, varoittakaa
asiakkaitanne tästä kirjeestä välittömästi. Linkki vie vaarallisiksi
luokitelluihin palvelimiin ja kirjeet ovat lähtöisin Venäjälle
rekisteröidyistä osotteista.

Olen kommentoinut kirjeen osoitteessa:
https://vaarallinenweb.blogspot.com/2021/12/sahkosopimus-venajalta.html?fbclid=IwAR2aDw_aaRBGXRx-9Sr2E3W1rWp_szIZQR9R4LRbx5F0XvG6ZJz8YoU0oME

--------------------------KIRJE PÄÄTTYY---------------------------------------

Elisa itse on osasyyllinen sähköpostini joutumisesta rikollisten käsiin, koska heiltä varastettiin joukko osoitteita vuosia takaperin. Tein havainnon, kun sain avoimella postilistalla (järkyttävä määrä pelkkiä elisan osoitteita), erään roskapostin. Olen säilyttänyt saastuneen osoitteen, koska seuraan roskaposteja tässä blogissa ja saan yleensä kaikki liikkeelle lasketut roskapostiversiot melko varhaisessa vaiheessa.

Sähkösopimus Venäjältä?

Tämä kirje kuuluu siihen valtavaan spämmisarjaan, josta olen varoittanut jo aikaisemmin. Kirjeissä tarjotaan kaikkea mahdollista maan ja taivaan väliltä, lääkkeistä - sähkösopimuksiin.

Kaikissa kirjeissä tunnusomaista on, että kirjeessä on linkki tai useita linkkejä joiden osoitteet on piiloitettu linkinlyhennyspalvelun taakse. Olen testannut kirjeen linkin ja se vei vaaralliseksi luokitellulle sivulle. Kirjeissä näkyy usein (kuten tässä) myös jonkun vieraan henkilön osoite vastaanottajana. Kirjeet saapuvat eri osoitteista mutta lähes kaikille osoitteelle on ominaista sen "outous" suhteessa kaupiteltuun tuotteeseen. Tämäkään kirje ei saavu Sähkömittari.fi osoitteesta, kuten tekstissä osoite mainitaan.

Kaikkien näiden kirjeiden tarkoitus on kerätä ihmisten osoite ja henkilötietoja verkkorikosta varten. Yleensä tiedoilla ostellaan verkko-ostoksia tai tilataan verkkopalveluja. Myös saatat saada laskun olemattomasta sähköntoimituksesta, virallisen laskun lisäksi. Kaikikissa tapauksissa tietojen antaminen tulee uhrille kalliiksi.

"sähkösopimus" tekstin alta paljastuu tuo Venäjälle (kookossaarten maatunnuksella) vievä sähköpostiosoite ja linkki on "bitly.ws" lyhennyksen taakse piiloitettu.

Vaaleanpunaisen suorakaiten sisällä on kuva, jonka selaimessa esitän saapumasta koneelleni. Suosittelen tapaa muillekin. Kuvan voi erikseen sallia, jos katsoo, että viesti on turvallinen.

Tästä roskapostikampanjasta olen varoittanut aikaisemmin postauksessani:
https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html

Sähkösopimus huijaus CIA:n nimiin

Lähettäisivätkö entiset CIA:n agentit sinulle sähkötarjouksia?

Tuskinpa vaan. Kyseessä on huijaus jolla yritetään kalastella henkilötietojasi. 

Tämän kirjee "reply" menisi SPYBRIEFING.COM-sähköpostiosoitteeseen, eikä yhteisö, sivuston kuvauksen mukaan, markkinoi sähkösopimuksia ainakaan. Tätä osoitetta näytetään käyttävän nyt useammissakin huijauskirjeissä. Olisiko CIA veteraanien postipalvelin hakkeroitu? Linkit veisivät Puolaan vaaralliseksi luokitellulle palvelimelle. Lähettäjän postiosoite voi olla myös "feikki".

---------------------KIRJE------------------------

Edullinen sähkösopimus Sähkömittari.fi:n avulla
Sähkömittari.fi -palvelun kautta voit helposti löytää parhaan sähkösopimuksen vertaamalla useiden sähköyhtiöiden sähkösopimuksia. Kilpailuttamalla sähkön voit säästä satoja euroja vuodessa.

Sähkön hinta on laskenut, kannattaa vaihtaa vanha kallis sopimus uuteen.

- Paras sähkösopimus 2 minuutissa
- Vertaa helposti useita sähköyhtiöitä
- Solmi sähkösopimus parissa minuutissa
- Sähkösopimuksen kilpailutus on ilmaista

SähköMittari.fi on 100% suomalainen palvelu, jonka avulla jo kymmenet tuhannet ovat kilpailuttaneet sähkösopimuksen.

Kilpailuta sähkösopimus ja säästä!   

Viestin lähettäjä ei ole Sähkömittari.fi, vaan markkinointikumppani.

Peruuta uutiskirje

------------------------------------------------------------------

Viestin lähettäjä ei ole mikään laillinen firma, vaan sähköpostihuijari!

Sähkötarjouskilpailutusansa

OTSAKE: Edullinen sähkösopimus Sähkömittari.fi:n avulla!!!!!!!!!!!!!!

Sähkön hinta on kaikille merkityksellinen ja nyt juuri on sähkösopimusten kilpailutus suurinta muotia. EI kuitenkaan kannata langeta tällaisen sähköpostimainoksen ansaan.
Tässä kirjeessä linkki "Sähkömittari.fi" EI vie tuohon osoitteeseen, vaan aivan muualle. Lue edelleen.

Tutkin minulle saapuneen sähkökilpailutus e-mailin linkityksen ja totetsin sen vaaralliseksi.
TAI vähintäänkin varsin todennäköisesti vaaralliseksi.

Perusteena lyhennetty linkki joka kattoi koko e-mailin, eli tekstin linkinnäköisillä sanoilla ei ole mitään merkitystä. Jos klikkaat mihin tahansa kohtaan kirjettä, menet samaan ansalinkkiin. Tämä on yksi spammereiden kikoista, saada uhri ansaan, vaikka ihan vahinkokosketuksella.

Kun laitoin lyhennetyn linkin seurantaan, tulos oli todella arveluttava. Linkki oli runsaasti ketjutettu. Ketjutus taas tarkoittaa eksytystä.

https://wheregoes.com/retracer.php (palvelu joka avaa lyhytlinkit)

http://bit.do/fuC2x  (tämä oli se ainut lyhytlinkki joka kirjeessä oli. Jokainen "redirect" kertoo linkityksestä, eli lopullinen sivusto on jossakin Googlen tietokannassa. Mikään ei takaa, etteikö kannasta tule virus tai muu ansa, kuten henkilötietovarkauslomake. Giigle itse varottaa lukuisten kirjautumistunnusten joutuneen hakkereille ja näillä tunnuksilla voidaan anonyyminä istutta Googlen kantaan mitä tahansa laitonta. Syyn saa niskaan se onneton, jolta tunnukset on varastettu)

301 Redirect
https://hylatreat.com/?a=1055&oc=11301&c=32969&m=3&s1=
??
302 Redirect
https://muw.fastestpacedtracks.company/?kw=1055&s1=&s2=32969
??
302 Redirect
https://google.com/?&%3F%3Fkw=1055&group_id=483&cntrl=00000&pid=21683&redid=82411&gsid=483&campaign_id=1228&p_id=21683&id=XNSX.%3A%3A32969-r82411-t483&impid=173d1df4-51b6-11ea-a690-12c26be3c49e
301 Redirect
https://www.google.com/?%3F%3Fkw=1055&group_id=483&cntrl=00000&pid=21683&redid=82411&gsid=483&campaign_id=1228&p_id=21683&id=XNSX.%3A%3A32969-r82411-t483&impid=173d1df4-51b6-11ea-a690-12c26be3c49e
??
Trace Complete

Tässä kirjekopiossa oleva linkki on purettu.

 -----------------------------------------KIRJE--------------------------------------------
 

Sähkömittari.fi (älä koske tähänkään linkkiin. Jokainen linkki vie samaan ansaan. Tässä kirjeessä on koko tekstin kattava sama lyhytlinkki)
 Sähkömittari.fi    Edullinen sähkösopimus Sähkömittari.fi:n avulla
Sähkömittari.fi -palvelun kautta voit helposti löytää parhaan sähkösopimuksen vertaamalla useiden sähköyhtiöiden sähkösopimuksia. Kilpailuttamalla sähkön voit säästä satoja euroja vuodessa.

Sähkön hinta on laskenut, kannattaa vaihtaa vanha kallis sopimus uuteen.

- Paras sähkösopimus 2 minuutissa
- Vertaa helposti useita sähköyhtiöitä
- Solmi sähkösopimus parissa minuutissa
- Sähkösopimuksen kilpailutus on ilmaista

SähköMittari.fi on 100% suomalainen palvelu, jonka avulla jo kymmenet tuhannet ovat kilpailuttaneet sähkösopimuksen.

Kilpailuta sähkösopimus ja ja säästä!




Viestin lähettäjä ei ole Sähkömittari.fi, vaan markkinointikumppani. (tämä on osittain totta. Lähettäjä on huijari. Yksikään rehellisesti toimiva firma ei tee tällaista piillolinkkisotkua)

Peruuta uutiskirje  (älä koske tähänkään linkkiin. Jokainen linkki vie samaan ansaan)

Viesti lähetettiin osoitteseen hannu.kuukkanen@elisanet.fi.
Rekisterilähde: markkinointirekisteri.   (tietääkseni en ole antanut osoitettani koskaan yhdellekään markkinointirekisterille, enkä ainoalle muullekaanspämmerille)
------------------------------------------------------------------------------------