keskiviikko 28. helmikuuta 2018

Cloudfront.net palvelimesta lisätietoa

cloudfront.net palvelimelle viittaavista linkeistä olen varoittanut useammankin kerran.
Amazon on sulkenut palvelimen mutta näitä roskaposteja he eivät voi lopettaa joten ne on vain heitettävä roskikseen, tai pyrittävä suodattamaan roskaposteiksi. Spämmeri vaihtaa varmasti jossain vaiheessa linkkipalvelinta ja SIKSI muistakaa, että tämän tyyppisen mainonnan kanssa ei koskaa ole liian varovainen. "onmicrosoft.com" lähettäjäosoite on aina kyseenalainen.
Peliriippuvaiset ovat yksi erittäin suosittu kohde tällaisille hyökkäyksille. Karamba.com on verkkokasino MUTTA jos tuo "cloudfront.net" olisi ollut tominnassa, "Karamba.com" linkki ei suinkaan olisi vienyt sinua Karambaan, vaan ihan muualle kynittäväksi.



Tämän kirjeen lähettänyt robotti ei ole onnistunut asettamaan nimeäni kohtaan "[FirstName]" kuten sen olisi ilmeisimmin pitänyt. Eli huonosti menee hakkerillakin. Virukset eivät ole tästä maailmasta, eli totta puhuu tämä spämmi-anonssi.

Käyttääkö FBI G-mailia?


Tuskimpa käyttää ainakaan tässä tapauksessa. Muutenhan kaikki on sille mahdollista ;)

Tämä on jälleen puhdas ID-varkausyritys.
Varastetun lähettäjän domainnimen omistaa: Maxrotec is the only supplier of wireless gantry robot in Korea. MAXROTEC. Company Name : Maxrotec Co., Ltd.
Sivusto on myös luokiteltu verkossa vaaralliseksi. Luultavasti juuri siksi, että se on hakkeroitu.


Jos postin aihe on "Re", sen olisi pitänyt lähteä ensin sinulta ja asiallinen toimija kirjoittaa myös todellisen aiheen kirjeeseensä, eikä jätä kenttää tyhjäksi.



maanantai 26. helmikuuta 2018

Voiko PNG tiedosto sisältää viruksen?

Onko PNG-virus mahdollinen? Sitä on pohdittu eri verkkosivuilla ja ainakin yhdessä tapauksessa sen on todettu voivan sisältää viruksen. Lue koko sivu loppuun ajatuksella.

Sain tänään tyhjän sähköpostin jonka liitteenä oli PNG - tiedosto. PNG on kuvatiedosto jonka ei pitäisi olla vaarallinen. Kuva oli kilotavuiltaan pieni, eli ei pitäisi voida sisältää koodia. MUTTA.
ÄLÄ sinäkään missään tapauksessa luota onneesi virusten kanssa, vaan heitä tällaiset epämääräiset kirjeet roskiin ja tyhjennä roskis.



Minun kirjeeni saapui venäjältä ja se pyydettiin kierrättäämään epämääräiseen g-mail osoitteeseen. En tietenkään tehnyt niin.

"Brasilialaisen" PNG-viruksen toimintatavasta kertoo venäläinen verkkosivu: https://securelist.com/png-embedded-malicious-payload-hidden-in-a-png-file/74297/

Vapaa käännös SecureListin (Kaspersky Lab) tekstistä joka on sinänsä täyttä asiaa:

Brasilian virushyökkäykset kehittyvät päivittäin, yhä monimutkaisemmiksi ja tehokkaammiksi. On syytä olla varovainen tuntemattomista lähteistä peräisin olevien sähköpostien suhteen, erityisesti on varottava niiden linkkejä ja liitteitä sisältäviä tiedostoja.

Koska PNG-tiedostoon upotettuja haittaohjelmia ei voida suorittaa ilman sitä suorittavaa ohjelmaa, sitä ei voida käyttää tärkeänä saastuttajakomponenttina joka toimitetaan postilaatikkoosi, joten viruksen toimeenpaneva ohjelma on asennettava erikseen (siitä syystä kenties tuo kiertokirje jonka paluupostissa saattaisi saapua tuo toinen viruskomponentti, tai sitten ihan muuta kautta).

Tämä tekniikka mahdollistaa rikollisten piilottaman binaarikoodin tiedoston sisälle, joka näyttää olevan PNG-kuva. Se myös tekee virusanalyysimenetelmistä vaikeampia ja ohittaa automaattisen prosessin, haittaohjelmien havaitsemiseksi isäntäpalvelimilla.

-----------------loppusanat--------------------

Mielenkiintoista tässä myös on, että tämä Kaspersky Labin sivu tulee Googlauksessa ensimmäisenä ja Kaspersky Lab toimittaa virustorjuntaohjelmia jotka kuulemma estävät tämän PNG hyökkäyksen.
En uskaltaisi ladata tuota Kasperskyn ohjelmaa koneelleni ihan vaan syvistä ennakkoluulosyistä. Sehän saattaa olla juuri SE viruksen laukaiseva ohjelmakomponentti?
Verkossa kaikki on mahdollista :)

Verkkolehti WIRED kertoo tarinaa Kasperskysta
. Näissä asioissa kannattaa luottaa omaan terveeseen järkeen, ei propagandaan: https://www.wired.com/story/kaspersky-russia-antivirus/


lauantai 24. helmikuuta 2018

Finnairin lahjakortti on henkilötietokalastus

Tämä on vanhan spämmerilähteen tuottama ID kalastusansa. Henkilötietosi urkitaan ja käytetään rikolliseen toimintaan. Lähettäjänä on jälleen "onmicrosoft.com" domain josta on verkkosivuilla varoituksia. "specialsurveys" on hämäystarkoituksissa luotu alidomain ja linkit vievät vanhalle tutulle huijaaripalvelimelle "cloudfront.net". Tällainen e-mail on syytä siirtää tai jättää roskikseen siihen koskematta. EI edes tuota postituskieltolinkkiä tule koskea. Se on se vihoviimeisin ansa näissä roskaposteissa.


keskiviikko 21. helmikuuta 2018

E-mailtilin sulku on muodissa

Spämmiansoissa on jäleen menossa e-maili-tilin sulkubuumihyökkäys. Tänään saapui roskapostiin kolme uhkausta e-mailtilin sulkemiseksi sellaisilta toimijoilta joilla ei ole mitään tekemistä minun e-mail-tilieni kanssa. Tämä kuvassa olevan kirjeen liitteeseen EI TULE koskea. Se on varmasti haittaohjelma. ZIP päätteiset tiedostot ovat pakattua dataa joka voi sisältää nimenomaan - esimerkiksi haittaohjelman tai viruksen. Jatka lukemista kuvan alapuolelta -->



Noissa parissa, listassa alemmassa olevassa postissa oli linkki "Secure and update your account" joka tarkoittaa (vapaasti käännettynä) suomeksi, että "sinulle on tulossa harmeja" kun klikkaat tästä.
Näistä e-mailin sulku-spämmeistä varoitetaan verkossa useammallakin sivulla: http://www.hoax-slayer.net/de-activation-request-phishing-scam-email/ 
Tuolla linkitetyllä sivulla kerrotaan, että linkin takaa aukeaa sivu jossa kysytään e-mailtunnuksesi ja jos erehdyt ne antamaan ne otetaan käyttöön rikolliseen toimintaan sinun nimissäsi. Mm. lähetetää näitä spämmiposteja.


tiistai 20. helmikuuta 2018

Melkein kaikki "cloudfront.net" linkatut postit ovat huijjauksia

Kun viet kohdistimen linkin päälle (ÄLÄ KLIKKAA), näet alapalkissa sen osoitteen, jonne linkki on menossa. Tässä ja näissä vastaavissä spämmeissä, linkissä on loppuosana cloudfront.net. Kaikki posti jossa on linkkejä tälle palvelimelle ovat vaarallisia riippumatta itse kirjeen sisällöstä. Sisältö vaihtelee kaikille elämän alueille, koska spämmeri haluaa huijjata mahdollisimman monia ihmisä ja ilmeisesti on onnistunut, koska spämmejä satelee hyvin tiuhaan. MYÖS huomionarvoista on, että lähetyksen käytetään "onmicrosoft.com" osoitetta jota spämmerit suosivat sen lähettäjätietojen  piilottavien ominaisuuksien vuoksi.



maanantai 19. helmikuuta 2018

Amazon lahjakortti on vaarallinen ansa

Tämä e-mail kuuluu samaan sarjaan kuin edelliset huijjausviestit. Taustalla on sama postittaja. Lähdekoodiin on tässäkin tapauksessa jäänyt vanhan Asus-huijjauspostin rippeet piiloon. ÄLÄ KLIKKAA mihinkään linkkiin. "onmicrosoft.com" on huijjareiden yleisesti käyttämä spämmialusta, josta olen varoittanut jo aikasemmisaakin teksteissä. Linkit vievät "cloudfront.net" domainiin joka on verkossa laajasti todettu VIRUSTA levittäväksi.


perjantai 16. helmikuuta 2018

Verkkosivuansa GOOGLE-haussa

Kun etsit Googlesta jollakin hakutermillä, saat tulosten joukossa merkillisellä otsakkeella (vaihteleva mutta järjetön) muutamia hakutuloksia joissa on osoitteena aina sama domannimi, (reptilhsalgs.tk) joka domannimirekisterin mukaan olisi luotettava MUTTA domainissa tapahtuu uudelleenohjaus palvelimelle jota "ei verkossa ole". SAAVUT ANSAAN.


Kun saavut sivulle näet alla olevan ilmoituksen - ÄLÄ KLIKKAA linkkejä, et ole voittamassa mitään, tai edes osallistumassa kyselyyn, vaan tämä on ANSA.


kuuluu vingahtava äänimerkki ja sinulle pomppaa alla oleva ikkuna. ÄLÄ KOSKE SIIHENKÄÄN, vaan sulje koko selainsivu jo tässä vaiheessa. TÄMÄ ON ANSA..



JOS onnistut peruuttamaan sivulta, saat mahdollisesti seuraavan ilmoituksen.

ÄLÄ kuitenkaan luota onneesi, sillä tämä on hyvin nokkela ANSA joka on kaivanut Googlesta mielenkiintosi kohteen hakutuloksena, kopioinut sen ansatekstiksi ja pommittaa nyt sinua turkimustyyppisillä ansasivuilla tai kuten tuo alla oleva, jollakin palkinnolla. ÄLÄ klikkaa buttonia vaan sulje selainsivu tai koko selain.



Kehoitan sulkemaan sivun tai selaimen ja tekemään uudesta avatusta selaiikkunasta  uuden haun JA VAROMAAN klikkaamasta tätä verkko-osoitetta  (reptilhsalgs.tk)  hakutuloksissa uudellen.

Edelleenlinkityksen domannimen tarkistus antaa tuloksen joka kertoo, että tällaista domannimeä ei ole löydettävissä verkossa mutta siihen voidaan linkittää asiakas verkosta. Se on siis pelkkä ANSA.
Olen ilmoittanut ansastaa Googlelle joten saattaa olla, settä se saadaan plokattua pois jossain vaiheessa. Harvinaisempi hakutermi tuo näitä hakuja ja yleisimmissä termeissä tulokset jäävät hakujen häntäpäähän.


torstai 15. helmikuuta 2018

Dream dates - on ansakirje

Tämä noudattaa edellisten ansapostien kaavaa väripalkkeineen. Aiheet vaihtelevat ympäri eri elämänalueet mutta tarkoitus on aina sama. HUIJJAUS.
Vastaava deittiansa oli edellinen: http://vaarallinenweb.blogspot.fi/2018/02/ala-mene-deitti-lankaan.html


JOS kirje oli roskapostissasi, se on sen oikea paikka.

Älä koske linnkeihin. Tässä on selvitys kahden, sähköpostissa olleen linkin domainnimitiedoista:

Tämä dommainnimi viittaa Romanialaiseen omistukseen
troglodyte00.com 
Tämä lähettäjän domannimi on poistettu käytöstä.
realonlinedates.com

keskiviikko 14. helmikuuta 2018

Melatoniina lompakollesi

Tämä ansaposti kuuluu edellisten joukkoon. Lähdekoodissa oli jälleen Asus-spämmi jäänteenä eli on saman konnan viritelmä. Nyt myydään melatoniinia jota tuskin tulet saamaan muussa kuin koneesi tainnuttavan viruksen muodossa tai sitten henkilötietosi kalastetaan seuraavaan huijjaukseen pankkitilisi tyhjentämiseksi.
Suomalainen lähettäjänimi ei takaa, että posti on Suomesta. Lähettäjänimeksi voi laittaa mitä tahansa. Kirjeen koodissa esiintyvä domannimi: "cmailsmtp1.com":illa on panamalainen omistaja ja domaanimi on peräisin Liettuasta. Samoin koodissa esiintyvä "mailersend.net" on Panamasta.  Domannimet on luokiteltu 57%  ja 47% turvattomaksi eli viittaa sen spämmäyskäyttöön.
Nämä tekstisisällöt on yleensä kaapattu jonkun liikkeen mainoksista joten suomenkieli ei ole tuottanut vaikeuksia.

Lähettäjäosoite "onmicrosoft.com" on Microsoftin palvelu jota käytetään hyvin paljon roskapostitarkoituksiin ja jonka takana voi säilyä "tuntemattomana".  Lue varoitus:  https://www.onlinethreatalerts.com/article/2015/9/22/beware-of-malicious-and-spam-emails-from-onmicrosoft-com-microsoft-office-365/

Tuo mainoksen alalaidassa oleva väripalkki on tunnusomainen näille huijjauksille ja tämän tyyppisiä mainoksia kannattaa varoa tämän toistuvan ulkoasunkin perusteella.