keskiviikko 4. huhtikuuta 2018

Deittaus kirjeet ovat 99% ansoja

Olen näistä varoittanut useasti aiemminkin. Tämä oli vain uusi kuvio joka vaikutti mielenkiintoiselta sekavuudessaan.

Tyypillinen deittaus-ansa joka paljastuu jälleen linkkien peittely-yrityksenä.
Tutkin interwecs11.com domainin taustaa ja se oli rankattu verkossa viidelletoista eri mustalle listalle. Sinne linkki oikeasti sinut veisi.

Lähetysosoite "mailbomba.com" on domainsbyproxy.com:in taakse rekisteröity godaddy.com:issa reisteröity domannimi. Godaddy.com:ia on verkon halpisdomannimikauppias. mailbomba.com sivuille ei Google tai selain pääse. domainsbyproxy.com sivua käytetään domainnimien omistajien taustojen salaamiseen. Varsinainen scammeri-kopla.

https://datingscams.cc/search/celeste@interwebs11.com
The following e-mail celeste@interwebs11.com has been checked by our team . If you have become the victim of the scammers who used his e-mail address for contacting you and trying to get the finances from you, please, use the special facilities of our site in order to get ...

Vapaasti käännettynä Googlaustulos: seuraava e-mail  "celeste@interwebs11.com" on tiimimme tarkistama. Jos olet joutunut, tätä osoitetta käyttävän roskapostin uhriksi ja tämän s-postin käyttäjän kanssa johonkin liiketoiminnallisiin yrityksiin, käytä sivustomme erikoispalveluja...

(Mitä ne sitten lienevätkään, koska tälläkin sivustolla, selaimeni turvaluokitus, kielsi vierailemasta)
Godaady kertoo: Registrant Email: DATINGSCAMS.CC@domainsbyproxy.com eli omistaja ja omistajan sähköposti on salattu. Salaus yleensä viittaa hämärähommiin.Periaatteessa deittaus sähköposteihin ei kannata vastata, se on suosituin ansatyyppi.

perjantai 30. maaliskuuta 2018

BIT.LY linkit ovat yleensä vaarallisia

Älkää missään nimessä koskeko e-maileihin joissa linkki vie "bit.ly" osoitteeseen. Se tarkoittaa, että määränpää on tuntematon. Ketään ei sieltä vastuuseen saada ja linkin päästä voi koneellesi tulla aivan mitä tahansa. Yleensä virus tai muu haittaohjelma. Kukaan rehellinen toimija ei tarvitse linkin kohteen salausta. Lähetysosoite ja reply-osoite saattaa olla tekaistu tai varastettu, vaikka se "näyttäisi" luotettavalta.

tiistai 20. maaliskuuta 2018

K-Marketko huijjaisi sinua?

Tuskimpa K-Marketilla on mitään tekemistä tämän postin kanssa, paitsi, että se varoittaa näistä huijjausposteista sivuillaan.
https://www.k-ruoka.fi/k-kaupassa/varoitus-huijauskilpailusta


Roskaposti on lähetetty jälleen onmicrosoft.com osoitteesta ja linkki vie vanhalle tutulle "cloudfront.net" "huijjauspalvelimelle". Ihmettelen, ettei sitä saada suljettua? Tosin nämä spämmit eivät ehkä tule sieltä, vaan vievät sinne.

Venäjänkielinen palaute

Venäjältä löytyy näköjään robotteja jotka osaavat täyttää palautelomakkeita. Ja miks' ei osaisi.
Vastaavaa puppua ne tuottavat myös keskustelupalstoille.
Tässä eräältä sivustoltani saapunut venäjänkielinen palaute jonka kyrilliset kirjaimet ovat muuntuneet koodiksi. Sinänsä SE ei ole ihmeellistä, koska sähköpostiselaimeni ei tue kyrillisiä kiejaimia. Linkatut osoitteet sen sijaan ovat ihmeellisiä.

E-mailosoite on venäjältä, kuten kirje MUTTA linkatut osoitteet vievät ihan muualle: XN - kansallistunnus vie "Atlantic Ocean Area" eli Atlantin pikkusaarille. Näitä eksoottisia palvelimia käyttävät useat huijjarit. Eikä luultavasti maksa paljon, eikä koira perään hauku jos asiakas ei olekaan tyytyväinen saamaansa "palveluun". Domainrekisteritietoja ei nimittäin löydy Verkkodomain ilmoitetaan "ei aktiiviseksi", joka ilmeisesti tarkoittaa, että se on suljettu, tai domain ei ole enää ylimalkaankaan käytössä. Kaikkien onneksi..

Löysin selväkielisen version eräältä keskustelupalstalat joten käännätin sen uteliaisuuttani selaimessa:

"Jokaisessa huoneistossa on neljä tasoa. [url = https: //xn--80aieocueqr8g.xn--p1ai] Mytishchin kaksikerroksiset asunnot uusissa rakennuksissa [/ url] Tässä vaiheessa tutkitaan värilaskuja, yksityiskohtaista materiaalien valintaa (tapetit, huonekalut, kivi, laatta, katot ja niin edelleen. [url = https: //xn--80aieocueqr8g.xn--p1ai] Zhk tervetuloa ostaa asunto [/ url]
Lähettäjä Mytishipet / 13.2.2018 "



maanantai 19. maaliskuuta 2018

BitCoin huijjaus

Herra Pala Denizin yritys yrittää saada minulta 250 euroa. Hän väittää sijoittaneensa BitCoin tililleni 7.800 euroa. Enpä tuota usko, koska minulla ei ole tuollaista tiliä, enkä aijo sellaista edes hankkia. Tämä on tyypillinen "sijoitusansa". 
Herra Pala Deniz käyttää  tämän huijjausyrityksensä levitykseen Camal.Adneanen  Yahoon ilmais-e-maililla rekisteröityä e-mail-osoitetta. Pala Denizin allekirjoittamasta reksiteristä löytyy maakoodi joka osoittaa Marokkoon ja puhelinnumero USA:n. Miksi rehellinen yrittäjä tekisi niin?

Linkit vievät mynumerology.us - domainin palvelimelle joka on myös Camal.Adneanen sähköpostilla mutta Pala Denizin nimellä reksityeröity, kuten se domannimi joka on hänen e-osoitteessaan. mynumerology sijaitsisi reksiteritietojen mukaan Saksassa mutta puhelinnumero osoittaa USA:n? Investointeja domannimiin on kuitenkin suoritettu joten hän ilmeisesti aikoo rikastua nopeasti ja sen jälkeen sulkea firman, koska näillä eväillä palvelimet plokataan hyvin nopeasti (hit and run business) ja poliisi alkaa kolkutella ovilla (jos nyt mitään ovia koskaan edes löytyy).
BitCoin sijoituksia EI saa tehdä, kuin erittäin luotettavien toimijoiden kanssa.

En kehoita ketään sijoittamaan senttiäkään tällä pohjalla toimivaan yritykseen.
Kuvan alla on domannimikyselyn tulokset, jotka tukevat huijjaritaustaa sekavilla osoitetiedoillaan.


DOMAINKYSELYN TULOKSET:

mynumerology.us

Registry Admin ID: CC3CD5F507A554B40A6F80D5EDE0BF8BD-NSR
Registrant Name: pala deniz

Registrant Organization:
Registrant Street: rue 3 n 12 malabata  (kadunnimi on Marokossa)
Registrant Street:
Registrant Street:
Registrant City: rabat (Marokossa)
Registrant State/Province: Alabama (USA:ssa tietääkseni. Voisko Marokossa olla myös?)
Registrant Postal Code: 70000
Registrant Country: MA (Marokko)
Registrant Phone: removed phone number (tämä on tiedossa ja viittaa USA:n)
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: removed email address (tämä on tiedossa = Camal.Adneanen Yahoon ilmaisosoite)
Registrant Application Purpose: P1
Registrant Nexus Category: C11

1thebest4you.us

Registry Registrant ID: CB25A3CBB371E46D3A03BE58F1B5F63F0-NSR
Registrant Name: pala deniz
Registrant Organization:
Registrant Street: rue 3 n 12 malabata (kadunnimi on Marokossa vaikka maakoodi vaihtuu?)
Registrant Street:
Registrant Street:
Registrant City: casa (en löydä Saksasta?)
Registrant State/Province: NA (?)
Registrant Postal Code: 70000
Registrant Country: DE (Saksa)
Registrant Phone: removed phone number (tämä on tiedossa - sama kuin yllä)
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: removed email address (tämä on tiedossa - sama kuin yllä)
Registrant Application Purpose: P1
Registrant Nexus Category: C11

namecheap.com joka on näiden nimien rekisteröintitaho, on heikko maantieteessä, tai sitten se ei ihan ole hereillä mitä rekisteröidään ja minne. Sielä näytetään rekisteröivän muitakin epämääräisiä domannimiä.
Domainista varoitetaan: : https://muut.com/i/localbitcoins/fraud:warning-scam-phishing-ema


Onko PayPalin epl.paypal-communication.com luotettava?

PayPalilta tulee silloin tällöin viestejä (joista olen aiemminkin huomautellut). Ihan asiallisella lähettäjäosoitteella MUTTA senhän voi aina väärentää. JA kaikki linkit vievät domannimen: epl.paypal-communication.com - osoitteeseen joka näyttää aivan spämmerien laatimalta.
Tämä on aiheuttanut verkossa runsaasti keskustelua ja epäilyjä.

Vaikka epäily on aina terveellistä Domannimi ja sen linkit ovat kuitenkin luotettavia.
Domannimitiedustelu kertoo kuka omistaa tuon nimen ja se on PayPal.
Kannatta kuitenkin aina mennä rahalaitoksen tai maksuvälinetoimijan sivuille, heidän oman virallisen verkkolinkkinsä kautta. Se on pieni vaiva mutta suuri turva.

E-mailosoitteet ja puhelinnumerot jäävät pois nykyään aina näistä rekisteritiedoista (niitä ei voi kopioida mutta ne ovat näkyvissä AO reksiterisivulla kyllä).

Registry Registrant ID:
Registrant Name: Domain Administrator
Registrant Organization: PayPal Inc.
Registrant Street: 2211 North First Street,
Registrant City: San Jose
Registrant State/Province: CA
Registrant Postal Code: 95131
Registrant Country: US
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax: removed phone number
Registrant Fax Ext:
Registrant Email: removed email address
Registry Admin ID:

Venäläistä FaceBook rulettia

Sain tällaisen sähköpostin jo aikaa sitten mutta hyvänä esimerkkinä, yhdestä huijjausmuodosta FaceBookissa, tämä käy. En ole koskaan ollut missään tekemisissä tämän "profiilin" sivun tai sen omistajan kanssa ja JOS profiili olisi ollut "suomalainen henkilö" (ikäänkuin) olisi ansa saattanut olla toimivampikin. Spämmeri ei siis ollut kovinkaan nokkela tässä tapauksessa. JA missään tapauksessa ei yhteenkään linkkiin tule koskea.  Ei edes noihin tykkäys yms. buttoneihin.


torstai 15. maaliskuuta 2018

DHL spämmejä jällen liikkeellä

Jos saat DHL:n tai minkä tahansa postipalvelun e-mailin jossa on liite, tarkista miten se on lähetetty.
Tässä tapauksessa, tämä kirje on spämmi ja liite on luultavimmin virus tai muu haittaohjelma. ZIP tiedosto voi sisältää mitä tahansa, myös ohjelman.

Kirje paljastuu spämmiksi tuosta useammalle vastaanottajalle menneestä lähetyksestä "undisclosed recipients", eli siis spämmi. Lähetys näyttää olevan lähetetty DHL:n palvelimelta mutta tuo lähetysosoite ei takaa mitään.



Aikaisempi 10.8.2016 saapunut DHL ansa oli tähän verrattuna kömpelö ja paljastui heti lähettäjän g-mail osoitteesta. http://vaarallinenweb.blogspot.fi/2016/08/dhl-liite-sisaltaa-viruksen.html?view=sidebar

lauantai 3. maaliskuuta 2018

Miten estän roskapostin pysyvästä osoitteesta

Kaikki onmicrosoft.com lähettämät sähköpostit joissa on pysyvä osoitteen muu osa, on helppo suodatta pois sähköpostiohjelmassa.
Tämä coudfront.net:n spämmäyskampanja on vertaansa vailla laajuudessaan. Aihe vaihtelee mutta sylttytehdas on aina sama ja vastaanottajalle mahdollisesti tuotetut vahingot myös.
Koska lähettäjän osoite säilyy samana, roskaposti on helppo ohjata roskikseen (tai deletoida) sähköpostiselaimessa.

Esimerkiksi ThunderBird selaimessa (kaikissa selaimissa on vastaavat asetukset - suomennetut tekstit saattavat olla erilaiset mutta merkitys säilyy):
1) Valitse valikosta "Tools" (työkalut) seuraava kohta
2) "Message Filters" (Sähköpostisuotimet)
3) Nimeä suodatin vaikkapa "CloudFront"
4) valitse painike "Match all of the following" (kohdistuu kaikkeen seuraavaan)
5) valitse "Getting New Mail" (saapuva sähköposti)
6) valitse "From"
7) valitse "Is" (on)
8) kopioi kenttään tuo haitallinen lähettäjän sähköpostiosoite. Tässä tapauksessa:
quiz@specialsurveys.onmicrosoft.com
9) Valitse "Move Message to" (siirrä viesti)
10) "Junk" (roskakori) tai edellisestä kohdasta "Delete" (poista)

Voit testata heti suodattimesi toiminnan. SUlje viimeisin ikkuna ja klikkaa "Message Filters" (Viestisuotimet) ikkunassa "Run" (Aja tai käynnistä).


Tämä kirje tulee spämmirobotilta ja sen linkkeihin EI SAA KOSKEA.




keskiviikko 28. helmikuuta 2018

Cloudfront.net palvelimesta lisätietoa

cloudfront.net palvelimelle viittaavista linkeistä olen varoittanut useammankin kerran.
Amazon on sulkenut palvelimen mutta näitä roskaposteja he eivät voi lopettaa joten ne on vain heitettävä roskikseen, tai pyrittävä suodattamaan roskaposteiksi. Spämmeri vaihtaa varmasti jossain vaiheessa linkkipalvelinta ja SIKSI muistakaa, että tämän tyyppisen mainonnan kanssa ei koskaa ole liian varovainen. "onmicrosoft.com" lähettäjäosoite on aina kyseenalainen.
Peliriippuvaiset ovat yksi erittäin suosittu kohde tällaisille hyökkäyksille. Karamba.com on verkkokasino MUTTA jos tuo "cloudfront.net" olisi ollut tominnassa, "Karamba.com" linkki ei suinkaan olisi vienyt sinua Karambaan, vaan ihan muualle kynittäväksi.



Tämän kirjeen lähettänyt robotti ei ole onnistunut asettamaan nimeäni kohtaan "[FirstName]" kuten sen olisi ilmeisimmin pitänyt. Eli huonosti menee hakkerillakin. Virukset eivät ole tästä maailmasta, eli totta puhuu tämä spämmi-anonssi.