IF VAKUUTUS - ANSAT

IF:n nimissä saapuu jälleen maksuansoja.

Olen varoittanut näistä, pääasiassa yrityksiin ja nimenomaan pienyrityksiin kohdistuvasta pankkikirjautumistunnuksia varastavista ansakirjeistä.

Kirje näyttää tekstimuodossa lähinnä HTML-koodisotkulta, joten se on helppo todeta rikoksen yritykseksi, eli haittapostiksi. Kannattaa katsella outoja kirjeitä myös TXT muodossa, jos selain sen mahdollistaa. Yritysten viralliset kirjeet ovat aina luettavissa kaikissa näyttömuodoissaan.

----------------------------------KIRJE HTML MUODOSSA------ -------------------------

VASTAAVIA  HUIJAUSKIRJEITÄ

https://vaarallinenweb.blogspot.com/2025/10/if-vakuutusmaksu-ansa.html

https://vaarallinenweb.blogspot.com/2022/11/if-vakuutuksen-kyseenalainen-sms-viesti.htm

https://vaarallinenweb.blogspot.com/2025/03/ilmainen-vakuutus.html

Kirjeessä on kuvalinkkejä palvelimelle, joka on ilmeisesti poistumassa käytöstä ja varsinaisia sisältölinkkejä, jotka vievät norjalaisen purjehduskoulun osoitteeseen: "app.stavanger-seilsportsenter. no". Linkki viittaa "applikaatioon" eli ohjelmaan, joten siihen ei ole syytä koskea. 

IF:in sivuilta varastettuja kuvia on talletettu osoitteeseen: "if-stargate-cdn.azureedge. net/img/logo/logo-new-150. png". Vaikka kuvatiedostoissa harvemmin on viruksia, sellaisiakin tapauksia verkosta löytyy. https://vaarallinenweb.blogspot.com/2018/10/virus-kuvatiedostoissa.html

----------------OSA KIRJEESTÄ NÄYTTÄÄ TÄLTÄ TXT MUODOSSA------------------

<html><body><div class="rcmBody" id="message-htmlpart1" style="margin-top: 0 !important; margin-bottom: 0 !important; margin-right: 0 !important; margin-left: 0 !important; padding-top: 0; padding-bottom: 0; padding-right: 0; padding-left: 0; background-color: #ffffff; width: 100%; table-layout: fixed; -webkit-text-size-adjust: 100%; -ms-text-size-adjust: 100%">

<div style="max-width: 600px; margin: 0 auto">

<table class="v1outer" style="border-collapse: collapse; border-spacing: 0; border: none; margin: 0 auto; width: 100%; max-width: 600px" width="100%">

<tbody><tr>

<td class="v1column-content v1pad-top-xlarge v1pad-bot-xlarge v1pad-horizontal-default v1bg-wht" style="border-collapse: collapse; border-spacing: 0; border: none; padding-top: 48px; padding-bottom: 48px; padding-left: 64px; padding-right: 64px; text-align: center; background-color: #ffffff" align="center" bgcolor="#ffffff">

<img alt="Jos logo" class="v1logo-header" width="48" height="auto" src=" https://if-stargate-cdn.azureedge. net/img/logo/logo-new-150. png"  style="display: block; margin: 0 auto; border-width: 0; width: 48px; height: auto">

</td>

</tr>

...

<td class="v1button-content v1primary" style="border-collapse: collapse; border-spacing: 0; border: none; font-family: Arial, sans-serif; border-radius: 6px; background-color: #0054f0" bgcolor="#0054f0"><a href=" https://app.stavanger-seilsportsenter. no/lTE8eX9dfinfii/panel/go"  class="v1button-link v1primary" style="line-height: 26px; display: block; text-decoration: none; text-align: center; font-weight: normal; font-size: 16px; padding: 8px 26px 8px 26px; border-radius: 6px; background-color: #0054f0; border-top: 2px solid #0054f0; border-bottom: 2px solid #0054f0; border-left: 2px solid #0054f0; border-right: 2px solid #0054f0; väri: #faf9f7" target="_blank" rel="noreferrer"><span class="v1visitedlinkfix" style="color: #faf9f7">Kirjaudu Omille sivuille</span></a></td>

</tr>

</tbody></table>

....

IF VAKUUTUSMAKSU - ANSA

Mikä tahansa e-maililla saapuva "maksumuistutus" jossa on linkkejä, on VAARALLINEN.

Syystä, että oleellista huijarille ei ole saada tuo toistasataa oleva raha, vaan sinun pankkikirjautumisesi, joilla hän pääsee tunkeutumaan tilillesi ja tyhjentämään sen.
Molempi tietysti mahdollista, jos ansaan lankeat.

Tämä on ikäänkuin yritryksiin kohdistettu (lue teksti), mutta jokaisen kirjeen saaneen tulee olla varovainen. Tätä kirjettä ei voi lukea, kuin HTML -kieltä ymmärtävässä selaimessa. Itse katson kirjettä (kuvakaappaus) HTML editorin kautta, joten se ei näytä ihan siltä, miltä se HTML selaimissa näyttää mutta antaa osviittaa, mitä tulee varoa.
TXT selaimissa kirje on tekstisotkua.

--------------------------------KIRJE------------------------------

IF VAHINKOVAKUUTUS - LASKU - ANSA

ÄLÄ KOSKAAN MAKSA MITÄÄN LASKUJASI E-MAILISSA OLEVAN LINKIN KAUTTA!
Tämä on ANSA. 

Kirje on luettavassa muodossa vain HTML kykyisen selaimen tai e-mailohjelman kautta.
Kuvakaappaus on TXT esitysmuotoisen selaimen näytöstä.

Mikään yritys ei tällaista sotkua laita edes osalle kohderyhmäänsä, saati "persoonalliseen" maksukehoitukseensa. Kirje ei edes saavu IF:istä, vaan norjalaisesta autoalan firman osoitteesta ja lähettänyt konetunnus on mustalla listalla.

Kirjautumislinkit vievät norjalaisen  "trondheimpsykologsenter. no" palvelimen "pinel" aliosoitteeseen.
Psykologiakeskusta tuskin on valjastettu IF vakuutusnmaksujen perintään, joten ainoa vaihtoehto on, että palvelin on hakkeroitu. ÄLÄ KOSKE LINKKEIHIN!

Kirjeeseen saapuisi HTML esityksessä kuvia koneelta "azuredge. net". Verkossa tiedetään kertoa, että: "3.1.2025 — Edgio-niminen yritys on mennyt konkurssiin ja azureedge.net-CDN poistuu käytöstä 15. tammikuuta 2025. Microsoftilla on korvaava CDN joillekin päätelaitteille."

----------------------------------------KIRJE--------------------------------------------

KIRJE KUVATTUNA HTML EDITORISTA
KUVAT ON ESTETTY. Tekstikentät esitetään katkoviivoilla.

KIRJE JATKUU

 

ONKO VENÄJÄLLÄ HÄTÄ?

Sinullekin tulee hätä ja mielenrauha katoaa, jos klikkailet tällaisen e-mailin buttoneita.
Kyseessä on venäläinen POMMI - kirje.
Yksi Roni Kamras on ainakin suomalainen muusikko, joka ei lähettele tällaisia kirjeitä kenellekään ilmaisosoitteen takaa. Tämä kirje ei saavu IF-vakuutuksesta, vaan Venäjältä.
Vastaanottajaa Tom Swahn, en tunne lainkaan. Tuskimpa sinäkään.

Muistakaa varoa näitä kone-IP:llä alkavia (numerosarja pistein eroteltuna) linkkiosoitteita:
"45.156.21. 68/fwd/P2Q9MjIwMiZlaT0xNTI0NzAwNjMmaWY9MTA2MCZs.."
Kuvan alapuolelta löytyy analyysiä osoitteesta.

---------------------------------------------KIRJE--------------------------------------------

Virustorjunta Falcon Sandbox Reports kertoo linkin päästä löytyneen: "Malicious domain detected"

Input URL or Contacted Domain: "topnewlink. com" has been identified as malicious.

                                                                                  

ILMAINEN VAKUUTUS

Tämä kirje muistuttaa Elisa - ansaa. Kirjeessä oleva linkki vie kone-IP osoitteeseen (173.195.100.00 muutettu).

Falcon Sandbox Reports tuomitsi March 4th 2025 10:09:40 (UTC) linkin VAARALLISEKSI "Malicious". Input URL or Contacted Domain: "topnewlink. com" has been identified as malicious. Eli linkin päästä löytyi jatkolinkki vaaralliseen osoitteeseen.
Ohjelma, joka linkin päästä löytyi, pystyy mm. luomaan, hankkimaan tai varastamaan koodin allekirjoitusmateriaaleja haittaohjelmiensa tai työkalujensa allekirjoittamiseksi. Tämä tarkoittaa, että VIRUS pystyy asentamaan itsensä ilman lupaa koneellesi. Niin, että kyseessä onkin KALLIS VAIKUTUS, eikä ilmainen vakuutus.

Falcon raportti jatkuu. Tässä on vain murto-osa, eli tärkeimmät, koneellesi tunkeutuneen viruksen toimintojen aiheuttamat haittamahdollisuudet.

Vastustajat = verkkorikolliset

Vastustajat voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin.
(kerätään kirjautumisen tunnustietoja)

Vastustajat voivat käyttää hämärtyneitä tiedostoja tai tietoja piilottaakseen tunkeutumisen artefaktit analyysistä. (virustorjunta ei löydä virusta)

Vastustajat voivat siirtää työkaluja tai muita tiedostoja ulkoisesta järjestelmästä vaarantuneeseen ympäristöön. (koneelle voidaan ladata haittaohjelmia)

SAMALLA TEKNIIKALLA TOIMIVIA ANSAKIRJEITÄ

https://vaarallinenweb.blogspot.com/2025/03/ilmainen-vakuutus.html

https://vaarallinenweb.blogspot.com/2025/03/erittain-vaarallinen-kone-ip-linkki.html

https://vaarallinenweb.blogspot.com/2025/03/linkki-suoraan-venalaiseen.html

https://vaarallinenweb.blogspot.com/2025/03/painonpudotus-ansa-kone-ip-osoitteessa.html