Venäläinen ansapostikampanja jatkuu tiiviinä

Venäjällä valmistellaan uutta cyber-iskua jonnekin, koska nyt saapuu useita samankaltaisia spämmejä. Linkit vievät vaarallisiksi listatuille koneille, joten on syytä olla varovainen jokaisen kirjeen kanssa. Kirjeen tyyli ja "käsiala" on samanlainen, joten kampanjan alkuperästä ei voi erehtyä.
Kirjeissä on yleensä kuvia, tai iso kuva, joka liittyy tai ei liity aiheeseen. Kuvassa on vaarallinen linkki. Samoin tekstissä "click here to remove yourself from our emails list".
MITÄÄN LINKKEJÄ EI SAA KLIKATA
Jos kirjeitä tarkastelee TXT-tilassa, ne ovat usein tyhjiä tai sitten niissä kulkee kymmenittäin jotain samaa lukua tai sähköpostiosotteitasi allekkain.
Otsake saattaa olla koodattu siten, ettei sitä voi kopioida. Kirjasintyyppi on erikoinen.
Vaaralliset domainosoitteet on usein rekisteröity Islantiin, Reykjaviikkiin ja kirje on lähetetty usein Ukrainalaisesta osoitteesta. Venäjällä on vielä osia Ukrainasta hallussaan. Samoin kirje voidaan harhautukseksi lähettää ihan mistä tahansa maasta. Samoin lähettäjäosoitteet on varastettu eri firmoilta, vastaanottajan hämäämiseksi.

-------------------MALLIKSI KIRJEIDEN OTSAKKEITA-----------------------

hannu.kuukkanen Ei tarvitse enää olla sinkku ID:864150
(sähköpostiosoitteestasi kaapattu nimiosa)
Lähettäjä: Sinulla on uusi peli

Laki on muuttunut tänä syksynä. Nyt voit saada lainaa edullisemmin
Lähettäjä: Paras suomalainen laina

Yhdistä lainat ja säästä korkokuluissa | Parhaat lainat sinulle
Lähettäjä: Halpalaina

Varastollamme on (1) pakettia odottamassa kuljetusta sinulle
Lähettäjä: Jakelukeskus

hannu.kuukkanen Hakemuksesi lykätty ID:45446690
(sähköpostiosoitteestasi kaapattu nimiosa)
Lähettäjä: (puuttuu)
Analysoitu tässä blogissa: https://vaarallinenweb.blogspot.com/2022/09/venajan-ansapostia-ukrainalaisesta.html

Älä missaa mahdollisuuttasi voittoon
Lähettäjä: Marie. Asiakaspalvelu

Rekisteröidy tänään ja saat upean tervetuliaisbonuksen!
Lähettäjä: FreeSpins4You

Ei tarvitse enää olla sinkku, hannu.kuukkanen (BEF76978D7)
Lähettäjä: Sinun kirjeenvaihtosi (generoitu osoite=BEF76978D7@bot(.)fi)
Kirje saapuu Omanista mutta kirjeen käsiala viittaa näihin ansaposteihin. Kirjeessä olevan linkin osoite on luokiteltu vaaralliseksi ja spämmeriksi. TXT muodossa kirje esittää massiivisen määrän samaa numerosarjaa. Jos katsoo lähdekoodia, numerosarja saattaa näkyä omana osoitteenasi. Tämä toistuu useissa vastaavissa kirjeissä.

hannu.kuukkanen, Muuta elämäsi NYT (F5143C34BE)
Lähettäjä: Derila
(Osoite on Otavamedian omistamala domannimellä)  F5143C34BE@alibi.fi 

hannu.kuukkanen T.a.r.k.i.s.t.a v.o.i.t.t.o.s.i ! (7EDBA1)
Lähettäjä: Tokmanni
(lyhytosoitepalvelun emailosoite) 3B2623FC717BC@urly(.)fi

hannu.kuukkanen, M.u.u.ta e.l.ä.m.ä.s.i N.Y.T (2784F359B9)
Lähettäjä: Sinulla on uusi peli

hannu.kuukkanen ,muistutus sinulle! <0B2E20>
Lähettäjä: Asiakaspalvelu

 

Näitä otsakkeita on runsaasti erilaisia eri spämmeissä. Ansa on aina sama.

Kasino huijaus

Tämä on saman spämmääjän tekele kuin "Laihduttaa ja pitää hauskaa...".
Lähetysosoitteena käytetään myös pihla.fi -ikkuna ja ovivalmistajan osoitetta (joka ei ole edes todellinen lähetysosoite) ja linkit vievät samalle vaaralliselle koneelle jossa henkilötietosi varastetaan. Saman huijarin laihdutusyritelmä on myös tässä Blogissa analysoituna: https://vaarallinenweb.blogspot.com/2022/09/lompakon-laihdutusta.html
Molemmissa otsakkeissa on kehnoa suomenkieltä joka aina on vakava varoitus.
Muu teksti saattaa olla varastettu verkkosivuilta.

Tämänkin sähköpostin linkissä on tuo PHP ohjelma (redir.php3...), joka siirtää linkin tuntemattomalle koneelle.

Venäjän kyberhyökkäysten valmistelua

Et voi olla koskaan liian varovainen.
Venäjän palkkaamat Trollitehtaat ovat nyt erittäin aktiivisia.
Troillien virittelemiä ansoja löytyy kaikista sosiaalisen median välineistä, sekä e-mail-kirjeistä.

Venäjä tarvitsee yksityishenkilöiden koneita kyberhyökkäyksiään varten.
Mm. tänään on raportoitu useita palvelunestohyökkäyksiä suomalaisia tärkeitä verkkotoimijoita vastaan, mukaan lukien ministeriöiden verkkosivut, Wärtsilä, sekä Osuuspankki.
Mitä enemmän "orjakoneita" Trollit saavat haltuunsa huolimattomilta tietoteknisten laitteiden käyttäjiltä, sitä laajempia ja tehokkaampia palvelunestohyökkäykset ovat.

Suomen tietotoimiston tietomurto tehtiin tietojärjestelmään istutetun viruksen avulla.
Virus on saattanut saapua (esim. kirjeen liitteenä) jollekin käyttäjän työkoneelle tai kotikoneelle ja sittemmin kulkeutua työkoneelle aineiston mukana. https://www.iltalehti.fi/kotimaa/a/d3d0d7b2-6516-4059-84f2-72860c89469e

E-maileissa jatkuvasti esiintyviä ansatyyppejä ja otsikoita:

1000€:n lahjakortti Tokmanni!
Uteliaisiin, pikavoittoja etsiviin tähdätty ansa (erittäin vaaralliseksi todettu osoite)

Rekisteröidy tänään ja saat upean tervetuliaisbonuksen!
Peliriippuvaisiin tähdätty ansa (linkki uudelleen ohjattu vaaralliseksi luokitellulle koneelle)

Hei kulta, älä missaa tätä ja hyödynnä tilaisuutesi!
Irtosuhteita etsiviin tähdätty ansa (erittäin vaaralliseksi todettu linkki)

VOITA ITSELLESI 1000€:N LAHJAKORTTI K-MARKET!
Pelureihin vetoava ansa (erittäin vaaralliseksi todettu linkki)

Arvomme 1000€:N Prisman Lahjakortti!
Pelureihin vetoava ansa (erittäin vaaralliseksi todettu linkki)

Loma aktivoitu! Voita 500 € SAS-lahjakortti!
Pelureihin ja seikkailijoihin vetoaa tämäkin ansa. (Linkin domainnimi on poistettu verkosta - onneksi)

Varastollamme on (1) pakettia odottamassa kuljatusta sinulle.
Verkkokauppojen asiakkaisiin tähdätty ansa. Pakettiansoja on usean eri kuljetusfirman nimissä.

VAROITUS!!! Järjestelmä on havainnut (13) virusta tietokoneellasi....
Links: osoite kertoo, että "crazytulip.com | 521: Web server is down", joka taas on ilmeistä, koska verkkopalvelutarjoaja on havainnut rikollisen sivuston ja plokannut palvelimen ulos verkosta.
Tekaistuja VIRUSVAROITUKSIA saapuu usean virustorjuntaohjelman nimillä. Tämä saapui "Norton Allert" - nimellä ratsastaen. Virus olisi, tässä tapauksessa, vasta tulossa linkin kautta.
Kun hankit tai päivität virustorjuntaohjelman, tee se ohjelman virallisislta sivuilta tai, jos olet apävarma tietotekniikan käyttäjä, mieluiten oman palveluntarjoajasi kautta.

- Vegaaninen ja sokeriton painonhallinta? Kokeile Morya ilmaiseksi
Virustorjuntaohjelmistosivujen VAROITUS: "pishing, malicious" eli linkkiosoite on vaarallinen.
Omien yhteystietojen antaminen verkkorikolliselle tulee sinulle kalliiksi.

Kilpailuta lainasi nyt edullisemmalla korolla
http://www.laselection(.)net/redir.php3?cat=ach&url=0x334BBFE5/cl/16698_md/1/483/668/187/27036
Useat ansalinkit ohjaavat "redir.php3" (tai vastaavalla) ohjelmalla uteliaan uudelle sivulle. Linkkiosoite saadaan näyttämään puhtaalta, koska ensimmäinen linkki osoittaa laillisen toimijan domainiin. Et huomaa linkin muuttumista selaimessasi, ellet osaa olla tarpeeksi varovainen.
Mm. linkkejä on osoitettu usein sivulle info@nazar.fi/... josta ne ohjataan edelleen rikollisen palvelinosoitteeseen.

Aiheesta lisää tässä blogissa:
https://vaarallinenweb.blogspot.com/2022/08/vaarallisen-sylttytehtaan-tuotantoa.html