UNSUBSCRIBE pakettilähetysansa

Virustorjunta alkaa löytää tämän "UNSUBSCRIBE" huijarin lukemattomat kirjeet mutta edelleen niitä näyttää saapuvan harvakseltaan. Tunnistettavan niistä tekee tuo yksi ainoa sana ja siitä lähtevä linkki, sekä järjetön tyylipalettidatamössö (näkyy kirjeen lähdekoodissa) joka on jokaisessa kirjeessä. Myös jokaisen kirjeen tiedostokoko on sama eli 740 KB. Mitä data sitten tekisi koneellasi, jää arvoitukseksi. Tuota dataa voi käyttää luovemminkin, kuin ainoastaan kirjeen stailaamiseen (mikä tässä tapauksessa on täysin absurdi ajatus). Data tuottaisi, tuskin mitään terveellistä tuon PHP ohjelman avustuksella jonne "UNSUBSCRIBE" linkki veisi. Hakkereilla on ohjelmistoja joilla voi yhdistää eri koodinosia ja yhden koodin (linkin) laukaisu saattaa sitten muodostaa jo ennetään koneella olevan koodin kanssa viruksen, jota ei virustorjunta huomaa.

Kone jonne "UNSUBSCRIBE" linkki nyt osoittaa on Turkissa, Istambulissa.
Aikaisemmin se oli samalla windows.net koneella kuin muutkin kaksi linkkiä (kuva ja html - sivu. (HTML sivu saattaa sitten viedä aivan minne tahansa hyppylinkkinä).

Valeosoitteesta lähetetty kirje on lähtenyt palvelimelta, jonka kone IP:n omistaa:
person: Shawn Arcus
address: PO Box 50767, Henderson, Nevada 89074-0767, USA
Hän tuskin on lähettäjä. Huijari piiloittaa itsensä.

----------------------------------KIRJE-----------------------------------

Varastollamme on (1) pakettia odottamassa kuljetusta sinulle.

From     Jakelukeskus  (tämä on lähetetty feikkiosoitteesta joka ei sijaitse missään)
To     sinun.osoitteesin@joku.fi
Date     Today 05:38

[contactphoto]  (kuva on linkitetty windows.net palvelimelta jonne olen roskapostittajasta jo ilmoittanut - vaikutusta ilmoituksella ei näytä olevan, koska spämmäys saa jatkua linkkeineen)
 

UNSUBSCRIBE (Linkin takana on turkkilaisella palvelimella oleva huijarin PHP ohjelma joka saataa olla virus tai muu haittaohjelma)

Pitkästä aikaan IKEA lahjakortteja jaossa

Samaa venäläistä huijjauspostia, kuin aikaisemminkin, eli ei näytä spämmereiden kujeet tuoristuvan.
Lähettäjä: Parhaat Tarjoukset <giVs52jQdn5G9yh@outlook.com> (tuntematon ilmaisosoite)
Otsake lupaa: "hannu.kuukkanen, Saat 1000€ IKEA lahjakortti hintaan 1€"
Reply: recommendations@reply.pinterest.com (menisi sosiaalisen median postilaatikkoon)
Tekstikentässä lukee ainoastaan: "image Unsubscribe". Se on linkki joka vie
"<mailto:unsubscribe@post.pinterest.com" palvelimen tietokantaan. Samasta tekstistä (tai piilolinkkinä) lähtee toinen linkki "a href="https://s.free.fr/..." osoitteeseen joka on ranskalaisen palveluntarjoajan palvelimella oleva tietokanta. Linkkejä on itseasiassa useita samalle palvelimelle. Mitä linkeistä ikinä saapuisikaan, en suosittele kokeilemaan. Unsubscribe linkkejä käytetään ansalinkkeinä spämmeissä.

-----------------------HEADERIN lähdekoodi-------------------------------

Received: from startoverlimit.com (134-0-119-53.cloudvps.regruhosting.ru [134.0.119.53])
 by fe27.mail.saunalahti.fi (Postfix) with ESMTP id B57C290005 (lähtöisin Venäjältä)
 for <hannu.kuukkanen@elisanet.fi>; Sun,  6 Oct 2019 19:46:24 +0300 (EEST)
Date: Sun, 06 Oct 2019 16:46:18 +0200
Message-ID: <Bs.Bs.lmQ77ximkZkOhwSI@ag.mta4vrest.cc.prd.sparkpost>
Content-Type: text/html
MIME-Version: 1.0
Reply-To: recommendations@reply.pinterest.com
From:  Parhaat Tarjoukset <giVs52jQdn5G9yh@outlook.com>
Subject:  hannu.kuukkanen, =?UTF-8?B?U2FhdCAxMDAw4oKsIElLRUEgbGFoamFrb3J0dGkgaGludGFhb

Ax4oKs?=Feedback-ID: REMARKETING_SEARCH_CLOSEUP_PINS:explore:pinterest
List-Unsubscribe: <mailto:unsubscribe@post.pinterest.com?subject=unsubscribe:QnmGjY81KyQSgT-

YqUOzeXgjqzeeTHCyBNgsM1mvbPJ~|

IavwauLCRybqaqVrGLmcv144vwrqtQgf3sqF0czWTfQHWEXW8gpx6D0gTm5vJtKpY1MxeBldsDNYveyNWLC7b5qsu

evhgEkbjysYeW2dDmEYhqTsvlPwupeZ2DXhGGpxjv5aMZ4j4ktZaUHbiml5LBvO7my9xeR5ew22CFMvpI2ywLFXgV

Q65cp6Kx61KzF~>
List-Id: <pinterest-1-0>

<div align="center"><a href="https://s.free.fr/6aZXC7Rr" data-mce-href="https://s.free.fr

/6aZXC7Rr"> <img src="https://s.free.fr/4YaBNaMj" alt="image" data-mce-src="https://s.free.fr

/4YaBNaMj"></a> <br> <a href="https://s.free.fr/bnTWCd5u" data-mce-href="https://s.free.fr/

bnTWCd5u">Unsubscribe</a></div>

UNSUBSCRIBE -linkki on vakioansa

Laitan tähän vielä erillisen varoituksen noista "UNSUBSCRIBE" likeistä. Niitä spämmerit käyttävät vakioansaoina, koska spämmeihin hermostuneet onnettomat klikkailevat niitä päästäkseen spämmeistä eroon.

DON'T EVER click the "UNSUBSCRIBE" link. It's the 100% trap trick of the scammers.

Unsubscribe - Reseptiansa

Olen jonkin aikaa seurannut e-mailiin putoilevia reseptisivuja, mutta heittänyt ne ainoastaan roskiin. Nyt heräsin katsomaan, mistä ne ovat peräisin ja minne linkit vievät ja arvaatte varmaan, että ei näytä hyvältä. E-mail tulee ikäänkuin mytaste.net osoitteesta "rule"-postitusfirman toimesta.
"mytaste.fi" jonne kehoitetaan menemään on osoite joka on luokiteltu vaaralliseksi.

Ensinnäkin: varsinainen sisältöteksti vaikuttaa olevan OK mutta kaikki lisätekstit ovat kehnoja konekäännöksiä, joka viittaisi siihen, että itse sivu on kopioitu todellisesta sivusta  mutta toiminnalliset linkit on pääasiassa lisätty spämmerin toimesta.

EN kehoita koskemaan mihinkään linkkiin. "Unsubscribe" linkkiin ei missään tapauksessa. Ohjatkaa näiden tulo-osoite suoraan roskakoriin. Verkossa on nimenomaisia varoituksia  tuon "Unsubscribe" eli "postikielto"-linkin käytöstä ansalinkkinä.
https://www.itwire.com/shawthing/76210-warning-%E2%80%93-the-latest-spam-scam-is-%E2%80%9Cunsubscribe%E2%80%9D.html

Myöskään ei tule lähettää omaa reseptiä tämän e-mail linkin kautta. Linkki vie tuonne app.rule.io:n (Indian Ocean) eli ei mene mytaste:n osoitteeseen suinkaan.
Kuvan alla on lisää selvitystä e-mailin epäilystä herättävistä seikoista.

Lähettäjä näyttää olevan: mytaste.net - tämän nimen taustoista on heikommin tietoa, eli osa tiedoista on peitetty. Ruotsista näyttäisi olevan kotoisin. = sama omistaja kuin mytaste.com
Domannimikysely kertoo siitä seuraavaa:

Registrant Email:
Registry Admin ID: Protected
Admin Name: Protected Protected
Admin Organization: Shield Whois
Admin Street: Radiovgen 2
Admin City: Vstra Frlunda
Admin Postal Code: 42147
Admin Country: SE
Admin Phone: +46.104500390
Admin Fax:

Mailista löytyy myös ihan luotettava osoite: mytaste.org joka näyttää olevan kytköksessä mytaste.com domainiin sähköpostiosoitteensa kautta.

Registrant Name: Dennis Lundberg
Registrant Organization: myTaste AB
Registrant Street: Birger Jarlsgatan 6B , 7TR , Portkod 7836
Registrant City: Stockholm
Registrant State/Province:
Registrant Postal Code: 11434
Registrant Country: SE
Registrant Phone: +46.704452832
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:

mytaste.com heittää osoitteen sivulle "http://www.mytasteus.com/" josta ainakin reseptisivu näyttäisi olevan kopioitu.

rulemailer.se - on todellinen ja luotettava domanosoite ruotsissa

MUTTA miksi rehellinen firma käyttäisi palautelinkkiosoitteena toista epämääräisempää "rule.io" osoitetta joka viittaa Intian valtamerelle (io=Indian Ocean)?

rule.io Domannimen selvitys kertoo hyvin vähän, eli omistajaa ei haluta löydettävän:

Domain Name: RULE.IO
Registry Domain ID: D503300000040374601-LRMS
Registrar WHOIS Server:
Registrar URL: https://www.101domain.com
Updated Date: 2017-06-10T23:35:33Z
Creation Date: 2013-11-12T14:37:19Z
Registry Expiry Date: 2020-11-12T14:37:19Z
Registrar Registration Expiration Date:
Registrar: 101domain GRS Ltd
Registrar IANA ID: 1011
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Reseller:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: PHIL.NS.CLOUDFLARE.COM
Name Server: KARA.NS.CLOUDFLARE.COM
DNSSEC: unsigned