torstai 15. maaliskuuta 2018

DHL spämmejä jällen liikkeellä

Jos saat DHL:n tai minkä tahansa postipalvelun e-mailin jossa on liite, tarkista miten se on lähetetty.
Tässä tapauksessa, tämä kirje on spämmi ja liite on luultavimmin virus tai muu haittaohjelma. ZIP tiedosto voi sisältää mitä tahansa, myös ohjelman.

Kirje paljastuu spämmiksi tuosta useammalle vastaanottajalle menneestä lähetyksestä "undisclosed recipients", eli siis spämmi. Lähetys näyttää olevan lähetetty DHL:n palvelimelta mutta tuo lähetysosoite ei takaa mitään.



Aikaisempi 10.8.2016 saapunut DHL ansa oli tähän verrattuna kömpelö ja paljastui heti lähettäjän g-mail osoitteesta. http://vaarallinenweb.blogspot.fi/2016/08/dhl-liite-sisaltaa-viruksen.html?view=sidebar

lauantai 3. maaliskuuta 2018

Miten estän roskapostin pysyvästä osoitteesta

Kaikki onmicrosoft.com lähettämät sähköpostit joissa on pysyvä osoitteen muu osa, on helppo suodatta pois sähköpostiohjelmassa.
Tämä coudfront.net:n spämmäyskampanja on vertaansa vailla laajuudessaan. Aihe vaihtelee mutta sylttytehdas on aina sama ja vastaanottajalle mahdollisesti tuotetut vahingot myös.
Koska lähettäjän osoite säilyy samana, roskaposti on helppo ohjata roskikseen (tai deletoida) sähköpostiselaimessa.

Esimerkiksi ThunderBird selaimessa (kaikissa selaimissa on vastaavat asetukset - suomennetut tekstit saattavat olla erilaiset mutta merkitys säilyy):
1) Valitse valikosta "Tools" (työkalut) seuraava kohta
2) "Message Filters" (Sähköpostisuotimet)
3) Nimeä suodatin vaikkapa "CloudFront"
4) valitse painike "Match all of the following" (kohdistuu kaikkeen seuraavaan)
5) valitse "Getting New Mail" (saapuva sähköposti)
6) valitse "From"
7) valitse "Is" (on)
8) kopioi kenttään tuo haitallinen lähettäjän sähköpostiosoite. Tässä tapauksessa:
quiz@specialsurveys.onmicrosoft.com
9) Valitse "Move Message to" (siirrä viesti)
10) "Junk" (roskakori) tai edellisestä kohdasta "Delete" (poista)

Voit testata heti suodattimesi toiminnan. SUlje viimeisin ikkuna ja klikkaa "Message Filters" (Viestisuotimet) ikkunassa "Run" (Aja tai käynnistä).


Tämä kirje tulee spämmirobotilta ja sen linkkeihin EI SAA KOSKEA.




keskiviikko 28. helmikuuta 2018

Cloudfront.net palvelimesta lisätietoa

cloudfront.net palvelimelle viittaavista linkeistä olen varoittanut useammankin kerran.
Amazon on sulkenut palvelimen mutta näitä roskaposteja he eivät voi lopettaa joten ne on vain heitettävä roskikseen, tai pyrittävä suodattamaan roskaposteiksi. Spämmeri vaihtaa varmasti jossain vaiheessa linkkipalvelinta ja SIKSI muistakaa, että tämän tyyppisen mainonnan kanssa ei koskaa ole liian varovainen. "onmicrosoft.com" lähettäjäosoite on aina kyseenalainen.
Peliriippuvaiset ovat yksi erittäin suosittu kohde tällaisille hyökkäyksille. Karamba.com on verkkokasino MUTTA jos tuo "cloudfront.net" olisi ollut tominnassa, "Karamba.com" linkki ei suinkaan olisi vienyt sinua Karambaan, vaan ihan muualle kynittäväksi.



Tämän kirjeen lähettänyt robotti ei ole onnistunut asettamaan nimeäni kohtaan "[FirstName]" kuten sen olisi ilmeisimmin pitänyt. Eli huonosti menee hakkerillakin. Virukset eivät ole tästä maailmasta, eli totta puhuu tämä spämmi-anonssi.

Käyttääkö FBI G-mailia?


Tuskimpa käyttää ainakaan tässä tapauksessa. Muutenhan kaikki on sille mahdollista ;)

Tämä on jälleen puhdas ID-varkausyritys.
Varastetun lähettäjän domainnimen omistaa: Maxrotec is the only supplier of wireless gantry robot in Korea. MAXROTEC. Company Name : Maxrotec Co., Ltd.
Sivusto on myös luokiteltu verkossa vaaralliseksi. Luultavasti juuri siksi, että se on hakkeroitu.


Jos postin aihe on "Re", sen olisi pitänyt lähteä ensin sinulta ja asiallinen toimija kirjoittaa myös todellisen aiheen kirjeeseensä, eikä jätä kenttää tyhjäksi.



maanantai 26. helmikuuta 2018

Voiko PNG tiedosto sisältää viruksen?

Onko PNG-virus mahdollinen? Sitä on pohdittu eri verkkosivuilla ja ainakin yhdessä tapauksessa sen on todettu voivan sisältää viruksen. Lue koko sivu loppuun ajatuksella.

Sain tänään tyhjän sähköpostin jonka liitteenä oli PNG - tiedosto. PNG on kuvatiedosto jonka ei pitäisi olla vaarallinen. Kuva oli kilotavuiltaan pieni, eli ei pitäisi voida sisältää koodia. MUTTA.
ÄLÄ sinäkään missään tapauksessa luota onneesi virusten kanssa, vaan heitä tällaiset epämääräiset kirjeet roskiin ja tyhjennä roskis.



Minun kirjeeni saapui venäjältä ja se pyydettiin kierrättäämään epämääräiseen g-mail osoitteeseen. En tietenkään tehnyt niin.

"Brasilialaisen" PNG-viruksen toimintatavasta kertoo venäläinen verkkosivu: https://securelist.com/png-embedded-malicious-payload-hidden-in-a-png-file/74297/

Vapaa käännös SecureListin (Kaspersky Lab) tekstistä joka on sinänsä täyttä asiaa:

Brasilian virushyökkäykset kehittyvät päivittäin, yhä monimutkaisemmiksi ja tehokkaammiksi. On syytä olla varovainen tuntemattomista lähteistä peräisin olevien sähköpostien suhteen, erityisesti on varottava niiden linkkejä ja liitteitä sisältäviä tiedostoja.

Koska PNG-tiedostoon upotettuja haittaohjelmia ei voida suorittaa ilman sitä suorittavaa ohjelmaa, sitä ei voida käyttää tärkeänä saastuttajakomponenttina joka toimitetaan postilaatikkoosi, joten viruksen toimeenpaneva ohjelma on asennettava erikseen (siitä syystä kenties tuo kiertokirje jonka paluupostissa saattaisi saapua tuo toinen viruskomponentti, tai sitten ihan muuta kautta).

Tämä tekniikka mahdollistaa rikollisten piilottaman binaarikoodin tiedoston sisälle, joka näyttää olevan PNG-kuva. Se myös tekee virusanalyysimenetelmistä vaikeampia ja ohittaa automaattisen prosessin, haittaohjelmien havaitsemiseksi isäntäpalvelimilla.

-----------------loppusanat--------------------

Mielenkiintoista tässä myös on, että tämä Kaspersky Labin sivu tulee Googlauksessa ensimmäisenä ja Kaspersky Lab toimittaa virustorjuntaohjelmia jotka kuulemma estävät tämän PNG hyökkäyksen.
En uskaltaisi ladata tuota Kasperskyn ohjelmaa koneelleni ihan vaan syvistä ennakkoluulosyistä. Sehän saattaa olla juuri SE viruksen laukaiseva ohjelmakomponentti?
Verkossa kaikki on mahdollista :)

Verkkolehti WIRED kertoo tarinaa Kasperskysta
. Näissä asioissa kannattaa luottaa omaan terveeseen järkeen, ei propagandaan: https://www.wired.com/story/kaspersky-russia-antivirus/


lauantai 24. helmikuuta 2018

Finnairin lahjakortti on henkilötietokalastus

Tämä on vanhan spämmerilähteen tuottama ID kalastusansa. Henkilötietosi urkitaan ja käytetään rikolliseen toimintaan. Lähettäjänä on jälleen "onmicrosoft.com" domain josta on verkkosivuilla varoituksia. "specialsurveys" on hämäystarkoituksissa luotu alidomain ja linkit vievät vanhalle tutulle huijaaripalvelimelle "cloudfront.net". Tällainen e-mail on syytä siirtää tai jättää roskikseen siihen koskematta. EI edes tuota postituskieltolinkkiä tule koskea. Se on se vihoviimeisin ansa näissä roskaposteissa.


keskiviikko 21. helmikuuta 2018

E-mailtilin sulku on muodissa

Spämmiansoissa on jäleen menossa e-maili-tilin sulkubuumihyökkäys. Tänään saapui roskapostiin kolme uhkausta e-mailtilin sulkemiseksi sellaisilta toimijoilta joilla ei ole mitään tekemistä minun e-mail-tilieni kanssa. Tämä kuvassa olevan kirjeen liitteeseen EI TULE koskea. Se on varmasti haittaohjelma. ZIP päätteiset tiedostot ovat pakattua dataa joka voi sisältää nimenomaan - esimerkiksi haittaohjelman tai viruksen. Jatka lukemista kuvan alapuolelta -->



Noissa parissa, listassa alemmassa olevassa postissa oli linkki "Secure and update your account" joka tarkoittaa (vapaasti käännettynä) suomeksi, että "sinulle on tulossa harmeja" kun klikkaat tästä.
Näistä e-mailin sulku-spämmeistä varoitetaan verkossa useammallakin sivulla: http://www.hoax-slayer.net/de-activation-request-phishing-scam-email/ 
Tuolla linkitetyllä sivulla kerrotaan, että linkin takaa aukeaa sivu jossa kysytään e-mailtunnuksesi ja jos erehdyt ne antamaan ne otetaan käyttöön rikolliseen toimintaan sinun nimissäsi. Mm. lähetetää näitä spämmiposteja.


tiistai 20. helmikuuta 2018

Melkein kaikki "cloudfront.net" linkatut postit ovat huijjauksia

Kun viet kohdistimen linkin päälle (ÄLÄ KLIKKAA), näet alapalkissa sen osoitteen, jonne linkki on menossa. Tässä ja näissä vastaavissä spämmeissä, linkissä on loppuosana cloudfront.net. Kaikki posti jossa on linkkejä tälle palvelimelle ovat vaarallisia riippumatta itse kirjeen sisällöstä. Sisältö vaihtelee kaikille elämän alueille, koska spämmeri haluaa huijjata mahdollisimman monia ihmisä ja ilmeisesti on onnistunut, koska spämmejä satelee hyvin tiuhaan. MYÖS huomionarvoista on, että lähetyksen käytetään "onmicrosoft.com" osoitetta jota spämmerit suosivat sen lähettäjätietojen  piilottavien ominaisuuksien vuoksi.



maanantai 19. helmikuuta 2018

Amazon lahjakortti on vaarallinen ansa

Tämä e-mail kuuluu samaan sarjaan kuin edelliset huijjausviestit. Taustalla on sama postittaja. Lähdekoodiin on tässäkin tapauksessa jäänyt vanhan Asus-huijjauspostin rippeet piiloon. ÄLÄ KLIKKAA mihinkään linkkiin. "onmicrosoft.com" on huijjareiden yleisesti käyttämä spämmialusta, josta olen varoittanut jo aikasemmisaakin teksteissä. Linkit vievät "cloudfront.net" domainiin joka on verkossa laajasti todettu VIRUSTA levittäväksi.


perjantai 16. helmikuuta 2018

Verkkosivuansa GOOGLE-haussa

Kun etsit Googlesta jollakin hakutermillä, saat tulosten joukossa merkillisellä otsakkeella (vaihteleva mutta järjetön) muutamia hakutuloksia joissa on osoitteena aina sama domannimi, (reptilhsalgs.tk) joka domannimirekisterin mukaan olisi luotettava MUTTA domainissa tapahtuu uudelleenohjaus palvelimelle jota "ei verkossa ole". SAAVUT ANSAAN.


Kun saavut sivulle näet alla olevan ilmoituksen - ÄLÄ KLIKKAA linkkejä, et ole voittamassa mitään, tai edes osallistumassa kyselyyn, vaan tämä on ANSA.


kuuluu vingahtava äänimerkki ja sinulle pomppaa alla oleva ikkuna. ÄLÄ KOSKE SIIHENKÄÄN, vaan sulje koko selainsivu jo tässä vaiheessa. TÄMÄ ON ANSA..



JOS onnistut peruuttamaan sivulta, saat mahdollisesti seuraavan ilmoituksen.

ÄLÄ kuitenkaan luota onneesi, sillä tämä on hyvin nokkela ANSA joka on kaivanut Googlesta mielenkiintosi kohteen hakutuloksena, kopioinut sen ansatekstiksi ja pommittaa nyt sinua turkimustyyppisillä ansasivuilla tai kuten tuo alla oleva, jollakin palkinnolla. ÄLÄ klikkaa buttonia vaan sulje selainsivu tai koko selain.



Kehoitan sulkemaan sivun tai selaimen ja tekemään uudesta avatusta selaiikkunasta  uuden haun JA VAROMAAN klikkaamasta tätä verkko-osoitetta  (reptilhsalgs.tk)  hakutuloksissa uudellen.

Edelleenlinkityksen domannimen tarkistus antaa tuloksen joka kertoo, että tällaista domannimeä ei ole löydettävissä verkossa mutta siihen voidaan linkittää asiakas verkosta. Se on siis pelkkä ANSA.
Olen ilmoittanut ansastaa Googlelle joten saattaa olla, settä se saadaan plokattua pois jossain vaiheessa. Harvinaisempi hakutermi tuo näitä hakuja ja yleisimmissä termeissä tulokset jäävät hakujen häntäpäähän.