Näytetään tekstit, joissa on tunniste windows.net. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste windows.net. Näytä kaikki tekstit

sunnuntai 2. toukokuuta 2021

PAKETTIANSA

Tällaisiin viesteihin ei tule vastata tai koskea linkkeihin.
Jos odotat pakettia, tarkista ensin, mistä tällainen tai vastaava viesti on peräisin. Se näkyy yleensä lähettäjän osoitteesta MUTTA sekään ei aina takaa mitään. Jos viestissä on linkki, on syytä katsoa viestin lähdekoodista (tai vie kohdistin linkin päälle ÄLÄ KLIKKAA). 

Tämä "näyttäisi" tulevan Keskosta "noreply.k-plus@kesko.fi"  MUTTA ... linki vie rikollisen rakentamaan ansaan.

https://ueshqrdwxkakx.blob.core.windows.net/xqolkavqrdwxkakx/1dqgqcalkdh.html (olen muuttanut osoitetta vahinkojen välttämiseksi. Ansa on Mcrosoftin palvelimella alidomainin alla.)

----------------------------------VIESTI------------------------------------

Varastollamme on (1) pakettia odottamassa kuljetusta sinulle.
From     Jakelukeskus
To     No Reply
Sun, 02 May 2021 09:13:54 +0200
Reply-To     No Reply
Date    Today 10:13    



perjantai 11. joulukuuta 2020

UNSUBSCRIBE pakettilähetysansa

Virustorjunta alkaa löytää tämän "UNSUBSCRIBE" huijarin lukemattomat kirjeet mutta edelleen niitä näyttää saapuvan harvakseltaan. Tunnistettavan niistä tekee tuo yksi ainoa sana ja siitä lähtevä linkki, sekä järjetön tyylipalettidatamössö (näkyy kirjeen lähdekoodissa) joka on jokaisessa kirjeessä. Myös jokaisen kirjeen tiedostokoko on sama eli 740 KB. Mitä data sitten tekisi koneellasi, jää arvoitukseksi. Tuota dataa voi käyttää luovemminkin, kuin ainoastaan kirjeen stailaamiseen (mikä tässä tapauksessa on täysin absurdi ajatus). Data tuottaisi, tuskin mitään terveellistä tuon PHP ohjelman avustuksella jonne "UNSUBSCRIBE" linkki veisi. Hakkereilla on ohjelmistoja joilla voi yhdistää eri koodinosia ja yhden koodin (linkin) laukaisu saattaa sitten muodostaa jo ennetään koneella olevan koodin kanssa viruksen, jota ei virustorjunta huomaa.

Kone jonne "UNSUBSCRIBE" linkki nyt osoittaa on Turkissa, Istambulissa.
Aikaisemmin se oli samalla windows.net koneella kuin muutkin kaksi linkkiä (kuva ja html - sivu. (HTML sivu saattaa sitten viedä aivan minne tahansa hyppylinkkinä).

Valeosoitteesta lähetetty kirje on lähtenyt palvelimelta, jonka kone IP:n omistaa:
person: Shawn Arcus
address: PO Box 50767, Henderson, Nevada 89074-0767, USA
Hän tuskin on lähettäjä. Huijari piiloittaa itsensä.

----------------------------------KIRJE-----------------------------------

Varastollamme on (1) pakettia odottamassa kuljetusta sinulle.


From     Jakelukeskus  (tämä on lähetetty feikkiosoitteesta joka ei sijaitse missään)
To     sinun.osoitteesin@joku.fi
Date     Today 05:38

[contactphoto]  (kuva on linkitetty windows.net palvelimelta jonne olen roskapostittajasta jo ilmoittanut - vaikutusta ilmoituksella ei näytä olevan, koska spämmäys saa jatkua linkkeineen)
 

UNSUBSCRIBE (Linkin takana on turkkilaisella palvelimella oleva huijarin PHP ohjelma joka saataa olla virus tai muu haittaohjelma)


torstai 3. joulukuuta 2020

ANSAPOSTIRYPÄS Panamasta

 Panamalaiset spämmerit ovat olleet olan takaa liikenteessä.
Tänä aamuna saapui kahden tunnin sisällä kahdeksan huijauskirjettä. Kaikki vakiohuijausfraasit oli heitetty kehiin. Onkohan epätoivo yllättänyt, kun kukaan ei enää mene halpaan?
Jokaisessa kirjeessä oli ainoastaan yksi PNG kuva ja kolme linkkiä, joista jokainen vei windows.net palvelimelle ja kaikki linkit laukeavat jos klikkaa kuvaa tai "Unsibscribe" linkkiä. En kehoita. Kaikki oli lähetetty "tekaistusta" osoitteesta.


Tarkempaa analyysiä kirjeistä:
Nuo .fi päätteiset - ikäänkuin lähettäjän sähköpostiosoitteet, eivät ole aitoja.
Kirjeet on lähetetty eri palvelimista, joista "FINLANDLESS.XYZ" postattu kirje on kotoisin Panamalaisesta osoitteesta joka on rekisteröity "namecheap" ilmais- tai puoli-ilmaisosoitteina, ilmaiselle palvelimelle.
Rekisteröijän tiedot on peitetty.

Muitakin palvelimia on käytetty: mm. co.uk alidomainia, joka päädomain sijaitsee Minerva House, Edmund Halley Road, Oxford Science Park, Oxfordissa. Ilmeisesti hakkeroitu palvelin.

Jokainen kirje sisältää täsmälleen saman määrän käsittämätöntä tyylipalettikoodia. Onko verkkorikolliset keksineet, miten tyylipaletista voi saada "vaarallisen"???
En kuitenkaan kehoita kokeilemaan.