keskiviikko 14. helmikuuta 2018

Melatoniina lompakollesi

Tämä ansaposti kuuluu edellisten joukkoon. Lähdekoodissa oli jälleen Asus-spämmi jäänteenä eli on saman konnan viritelmä. Nyt myydään melatoniinia jota tuskin tulet saamaan muussa kuin koneesi tainnuttavan viruksen muodossa tai sitten henkilötietosi kalastetaan seuraavaan huijjaukseen pankkitilisi tyhjentämiseksi.
Suomalainen lähettäjänimi ei takaa, että posti on Suomesta. Lähettäjänimeksi voi laittaa mitä tahansa. Kirjeen koodissa esiintyvä domannimi: "cmailsmtp1.com":illa on panamalainen omistaja ja domaanimi on peräisin Liettuasta. Samoin koodissa esiintyvä "mailersend.net" on Panamasta.  Domannimet on luokiteltu 57%  ja 47% turvattomaksi eli viittaa sen spämmäyskäyttöön.
Nämä tekstisisällöt on yleensä kaapattu jonkun liikkeen mainoksista joten suomenkieli ei ole tuottanut vaikeuksia.

Lähettäjäosoite "onmicrosoft.com" on Microsoftin palvelu jota käytetään hyvin paljon roskapostitarkoituksiin ja jonka takana voi säilyä "tuntemattomana".  Lue varoitus:  https://www.onlinethreatalerts.com/article/2015/9/22/beware-of-malicious-and-spam-emails-from-onmicrosoft-com-microsoft-office-365/

Tuo mainoksen alalaidassa oleva väripalkki on tunnusomainen näille huijjauksille ja tämän tyyppisiä mainoksia kannattaa varoa tämän toistuvan ulkoasunkin perusteella.


tiistai 13. helmikuuta 2018

Virustarkistettu liite joka on VIRUS

Saapui tällainen portugalin kielinen viesti, sekä PDF liite. En kehoita koskemaan liitteeseen.

 
Esta mensagem foi verificada pelo sistema de antivнrus e
 acredita-se estar livre de perigo.
 

Google kääntäjän tulos: 

Virustentorjuntajärjestelmä on tarkistanut tämän viestin ja
 sen uskotaan olevan vapaa vaarasta.
Liitteen nimi on: "Mega Internationals.pdf"

Heitä kaikki vastaavat kirjeet roskiin vaarallisina. Tuo viesti on spämmerin kirjoittama hämäys.

Epätervellinen terveysposti

Älkää kokeilko tämän e-mailin linkkejä, eikä rasvanpoistoakaan ainakaan tämän toimijan kanssa. Saattaa palaa jotakin muuta siinä sivussa. Linkit ovat kaikki epämääräisiä. "terveysposti.fi" ei vie minnekään. "cloudfront.net" on mediatutkimustoimisto mutta domainnimi on mustalla listalla, palvelin saattaa olla hakkeroitu. Tuo osoite ei toimi tällä hetkellä myöskään. Sen lisäksi viestin lähdekoodissa on (viestissä näkymätön) jäänne vanhemman Asus- spämmipostin sisällöstä. Katso kuvan alla oleva koodi.



TÄMÄ ALLA OLEVA SISÄLTÖ EI KUULU TÄHÄN ILMOITUKSEEN MITENKÄÄN JA ON JÄÄNNE EDELLISESTÄ SPÄMMISTÄ - ELI EI KANNATA KOKEILLA TÄTÄ RASVANPOLTTOA. SAATTAA TIETOKONEELTASI MENNÄ TERVEYS.

En ole koskaan rekisteröitynyt Asus tilin asikkaaksi. Sitäpaitsi teksti on paikoin muutenkin hieman outoa, ollakseen millään muotoa laillinen viesti. Olin tulkinnut sen apämmiksi jo aikanaan kun tuo Asus e-mail saapui.

Dear Friend,
Thank you for registering ASUS Account. In order to verify your e-mail acco=
unt (xxxxx.xxxxx@elisanet.fi) is active, please follow the instructions=
 below:
Click here to complete registration.
If the above link isn't working, please copy and paste below web address to=
 your browser's address bar.
https://account.asus.com/signup_final.aspx?lang=3Den-us&otp=3D3568ac7a-=
63984624
=C2=A9ASUSTeK Computer Inc. All rights reserved.
Congratulations! Your basic information has already been authenticated.
In order to verify that your email address is valid, we have already sent a=
n email to your inbox. Please open the email and click on the link to enabl=
e your ASUS Member Account.
Did you not receive an account verification email?
If you have not received an email to verify your ASUS Member Account, then =
check your inbox according to the following steps.
Once you have completed email verification, we can provide you with the new=
est product information and services. Welcome to ASUS!
Congratulations! You have already completed registration.
Thank you for registering your ASUS Member Account. You can now use the new=
 functions and services on ASUS website. Welcome to ASUS!
Registration complete. I am willing to fill in personal information to help= 
ASUS provide even better service.
Registration complete - Start Now
Access your data anytime, anywhere.
Upgrade your phone=E2=80=99s storage space.
Sharing from a link.
Dear hannu.kuukkanen@elisanet.fi,
Welcome to ASUS! Congrats on getting lifetime 5GB cloud storage space - ASU=
S WebStorage.
To thank you for becoming our new member this month, we have a supersized s=
torage offer just for you! This plan allows a single file upload limit of 5=
 GB, ten times the normal limit, so that you can thoroughly back up your co=
mputer, and share files with your friends more easily.
72-Hour Limited-Time Offer
Coupon code ESALE250B030
1TB $99.99=09/year
1TB $9.49/year
Don't hesitate! Upgrade now! >>
=E2=80=BB New member exclusive offer:
Backup on one PC=E3=80=81Single file upload limit: 5GB=E3=80=81Member limit=
 for group sharing: 5 users=E3=80=81Version history for 30 days=EF=BC=9BEma=
il customer service (Chinese/English/Japanese/German/French/Russian/Korean/=
Spanish)
=E2=80=BB To log in ASUS WebStorage with your ASUS ID, please click here.
Copyright =C2=A9 2018 ASUS Cloud Corporation All rights reserved.
This letter is mailed through auto-mailing system, please do not reply.
ear Friend,
To reset your Asus Account password, click the link below and input this ve=
rification code (A8X3TQ) on the new web page opened.
Please note that this link will be expired 24 hours after this email is sen=
t.
Click here to reset password.
If the above link isn't working, please copy and paste below web address to=
 your browser's address bar.
https://account.asus.com/resetpwd.aspx?otp=3D5e03c57e-63986435
Please don't worry, If you didn't request to reset your password. It's stil=
l secure and no one has been given access to it. Most likely, someone else =
must have mistyped their email address while trying to reset their own pass=
word.
=C2=A9ASUSTeK Computer Inc. All rights reserved.

maanantai 12. helmikuuta 2018

Älä mene tähänkään deitti-lankaan

Deittipalveluiden varjolla tehdään myös ansapostitusta. Jos haluat deittaila, älä ainakaan vastaa tällaisiin kirjeisiin missään tapauksessa. Perusteluita alla.

Minä en ole rekisteröitynyt tällaiseen palveluun koskaan, enkä aijo myöskään koskea noihin linkkeihin. Kehoitan myös muita olemaan varovaisia tällaisten postien kanssa.
Alapuolella on osittainen tulos kirjeestä linkitetyn domannimen domannimikyselystä joka kertoo, että sivustolla ei ole ihan kaikki kohdallaan. Palvelun otsake kyllä näyttää täsmäävän.
Googlenkaan ei tarvitse kaikkea tietää mutta en itse toimisi yrityksen tai yhteisön kanssa, jonka sivuille Googlella ei löydy yhteyttä.
Deittipalveluiden varjolla tapahtuu hyvin paljon hämäräbusinesta, joten näihin kannattaa aina suhtautua varauksella ja käyttää ainoastaan luotettavia toimijoita ja niiden todellisia verkko-osoitteita näihin tarkoituksiin jos/kun tarvetta on.





Valetilaus jossa on liitepommi

Jos PK-yritys (tai mikä tahansa yritys) saa tällasen kirjeen, se on ilmeinen ansa.
Ansasta kertoo jo "undisclosed recipiets" teksti vastaanottajan sähköpostin tilalla. Se on lähetetty spämmilistalla useille onnettomille roskapostin saajille. Sitäpaitsi, minulla ei ole ainuttakaan tuotetta myytävänä verkkosivuillani.

Liittenä oleva Excell tiedosto sisältää mitä varmimmin haittaohjelman. Sitä ei tule avata. Excell sisältää makro-ohjelmia joita voi rakentaa myös toimimaan haittaohjelmina.


torstai 8. helmikuuta 2018

Raha ei saavu koskaan gmaililla

JOS sinulle saapuvassa "pankilta" tulevassa, tai mistä tahansa "kunnioitettavan" yrityksen nimellä saapuvassa sähköpostissa mikä tahansa viestin lähettäjänä tai reply-vastaanottajana on gmail - tili, kyseessä on huijjaus.
Lähettäjän osoite saattaa olla joko anastettu tai posti saattaa tulla hakkeroidulta koneelta mutta vastaanottaja (reply) menee huijjarille. ÄLÄKÄ koske mihinkään linkkeihin tai liitteisiin tällaisessa postissa.

Kirjeen tulopolun voit tarkistaa avaamalla e-mailin lähdekoodi kuvan osoittamalla tavalla (FireFox selain). Lähdekoodista näkee runsaasti tietoa, mistä päin maailmaa kirje on saapunut ja minne mahdolliset linkit olisivat menossa. Tuossa alinna olevassa kuvakaappauksessa koodista, on näkyvissä kaksi välityspalvelinosoitetta USA:sta (ei siis UK:sta lainkaan). Toisen (pacific-for-less.com) omistaa Bizwala niminen yritys joka välittää bittirahaa ja company.com:in (Social Network & Resource Hub for Small Business) omistaa USA:lainen firma. Myös  lähetysosoite: Received: from mail.blockbusters.co.uk on putkifirman osoite UK:ssa. "offering Trading Standards-approved plumbing and drainage services" ja lähettäjän osoite <toto2@toto.company.com> on rekisteröity saman nimisen yrityksen nimiin USA:ssa. Vaikuttaisi siltä, että putkifirman postipalvelin olisi hakkeroitu ja lähettäjän osoite anastettu verkosta.
. Ikäänkuin luotettavien firmojen nimissä toimitaan MUTTA vastausosoite: Reply-To: <anibalm472@gmail.com>, kertoo, että asialla eivät ole kunnialliset firmat, eikä suinkaan pankki, vaan huijjari. Yritysnimien eri toimialat jo sinällään herättävät aiheelisia epäilyksiä.



sunnuntai 28. tammikuuta 2018

Google palkinto Koreasta

Tämän tyyppisen e-mailin liitteseen (PDF) eikä yleensä minkään muunkaan epämääräisen tai tuntemattoman lähettäjän kirjeen liitteeseen, EI TULE KOSKEA. Liiteansat ovat hyvin yleisiä. Liitteestä voi tulla haittaohjelma koneellesi.



Tämäkään kirje ei ole tullut Googlelta. Lähetys näyttäisi saapuneen hakkerin tekemältä alidomainilta? Alempi lähetysosoite päättyy konetunnukseen. Tämä kone löytyy AbuseIPDB reksiteristä, eli väärinkäytettyjen (hakkeroitujen) koniden listalta. "This IP address has been reported a total of 3 times. 199.180.118.209 was first reported on 08 Mar 2016. There are reports from 3 distinct sources. The most recent report was 3 days ago." eli viimeisin koneen luvaton väärinkäyttö (hakkerointi) löytyy 3 päivää sitten. Ylintä IP:tä ei ole raportoitu mutta se on kotoisin Koreasta. "Daejingpower" näyttäisi olevan korealainen työvälinekauppa, ei siis Google ;)




Koska kaikkia ei jaksa kiinnostaa mistä roskapostit tulevat ja kuinka vaarallisia ne todella voivat olla, on tärkeää, että näitä asioita arkistoidaan verkkoon kaikille löydettäviksi ja varoitukseksi.

lauantai 27. tammikuuta 2018

Paristojen ylösnousemusta luvassa. Halleluja

TRADE-loppuisille domannimille (kuten monelle muullekin vastaavalle erikoisnimelle) luvataan Namecheap.comissa Whois - suojaus, eli kaikki oleelliset yhteystiedot on piiloitettu. Tämä on huijjari-toimijoiden kultakaivos jota näytetään hyödyntävän runsaasti. Sähköpostilla saat kyllä yhteyden mutta et tiedä kuka langan toisessa päässä oikeasti on vai onko kukaan. Rekisteri firmasta kerrotaan: TRADE Domain Name Registration • Namecheap.com (USA:ssa)
Register a .TRADE domain name. Every domain comes with free Whois Protection, Email & URL forwarding, free dynamic DNS & more. Order today!

Tämän minulle saapuneen kirjeen lähettääjäosoitteena on:304 S. Jones Blvd, #466 Las Vegas NV 89107, USA, joka on ollut joisain aikaisemmissakin huijjauskirjeissä. Googlehaku vie https://www.yelp.com/biz/letsdocitations-las-vegas , YELPin osoitteeseen jonka sivuilla on mm. yksi hauska kommentti tästä roskapostiyrityksestä:

"i agree with the other reviewer!!! i will definitely find a way to stop your over 50 emails a day i get from you which i dont even read!!!   i am going to print them all everyday, rip them up and send them you your address in all separate enevlopes to see how you guys like it!
hope you enjoy getting all these envelopes in your mailbox :)"

Eli firman spämmeihin tuskastunut uhkaa postittaa paperiposteina kaikki spämmit takaisin spämmeri-firmaan ja toteaa, että mitäs kaverit siitä tykkäisitte.

Yksi näitä Panmalaisista .TRADE huuhaa kirjeistä lupaa käytetyille parstoille uuden elämän. Toivotan vilpittömästi onnea kaikille rohkeille kokeilijoille. Tässä on kysymyksessä vähintäänkin ID kalastelu, eli rahasi ja yhteystietosi kerätään ja käytetään seuraavaan likaiseen businekseen. Paristojen kovin pitkäaikaiseen ylösnousemukseen en jaksa uskoa, paitsi jos kyseessä ei sitten ole akku. Muista laittaa akkuvaraajan töpseli seinään. ;)



tulsa-ep.trade on rekisteröity Panamaan, roskapostien paratiisiin.

NÄIHIN POSTIESTO LINKKEIHIN EN KOSKISI MILLOINKAAN:

You can halt these messsages here or by writing us below:
304 S. Jones Blvd, #466 Las Vegas NV 89107, USA

*** If you find this marketing material offensive you may report it here

JA lopuksi, ehkä Panamalaisen kauppiaan "Joe" syvällinen slogan kirjeen alareunassa jota en ainakaan minä ymmärrä, ehkä niin on hyvä:

mastermind returned mind ark gate of in rest I Time 0496053 of Joe the my grave I it he Heres leap




maanantai 22. tammikuuta 2018

Kirjeansan pohjanoteeraus

Sain kaksi samanlaista kirjettä. Sama reply-osoite (palautusosoite) mutta allekirjoittajana eri toimija.
Palauteosoite oli gmail.com - eli ilmaisosoite. Kannatta aina ensi katsoa, sekä lähettäjän osoite, että tämä palaute-osoite. Jos jompikumpi tai molemmat ovat ilmaisosoitteita, voi jo heittää business-tarjouksen roskikseen. Tosin tämä oli kaikenlisäksi vielä kehnoa suomenkiletä.


sunnuntai 7. tammikuuta 2018

Vaarallinen deittipalvelu

ÄLÄ KLIKKAILE tämän tyyppisten deitti-palsta-mainosten linkkejä. Sain lyhyellä ajalla peräkkäin kolme samanlaista e-mailia ja niissä jokaisessa linkit näyttivät vievän eri palvelimille. Eli palvelimet oli mahdollisesti kaikki hakkeroituja. Tosin nämä kaikki palvelimet näyttävät domanreksiteritietojen mukaan olevan hyvin hämäräperäisiä, eli voivat myös olla ihan "omia". Palvelimia hänen pitää vaihdella juuri siksi, että kun sähköpostisuotimet plokkaavat scammerin ulos, hän tarvitsee seuraavaa palvelinta hämärä-busineksen jatkamiseksi.

Vaikka tässä e-mailissa on linkkejä "FaceBookkiin" ja "Twitteriin", linkit eivät vie sinne minne lupaavat, vaan aivan samalle palvelimelle, jonne jokainen tämän mainoksen linkki vie, eli tämä on 100% selvä ansa. Kyseessä voi olla henkilötietovarkausyritys tai sitten koneellesi istutetaan virusohjelma linkin päästä. TAI kaikkea siltä väliltä, paitsi tuskin mitään rehellistä toimintaa.