maanantai 19. marraskuuta 2018

S-kaupan kysely ja kyselyn toteuttaja

Sain S-kaupalta asiakaskyselyyn vastauspyynnön.
Tietysti tutkin ensimmäiseksi, mistä kysely oli tulossa ja ennenkaikkea, minne linkki on menossa.
Kyselyn on toteuttanut saksalainen firma MUTTA... jos minä olisin verkkokyselyjä toteuttava fima, laittaisin jokaisen käyttämäni domainnimen aloitussivulle kertomuksen yrityksestäni. Tämä firma ei sitä ole tehnyt. Sellainen ei herätä luottamusta jota nimenomaan, tämän kaltaisissa verkkoliiketoiminnoissa tarvitaan.  Nyt customervoice360.com näyttää tiedon, että sivua ei löydy
Firma toteuttaa kyselyt alidomainien kautta, joten virallista domainin osoittamaa sivua ei niihin tarvita mutta asiakkaalle viestimiseen, luotettavuuden nimissä, se tarvittaisiin.
Tiedustelun kautta firma löytyy MUTTA kuinka moni vaivautuu tällaisen tiedustelun tekemään?
Firman nimi löytyy alta: "Questback GmbH" omistaa domannimen. Sen verkkosivut ovat asialliset ja kertovat mitä yritys tekee. Verkkoviestintää ei yritys näytä osaavan.


DOMANNIMIKYSELY:toi seuraavan tulosken:

Domain Name: customervoice360.com
Registry Domain ID: 1674866482_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.puredomain.com
Registrar URL: http://www.puredomain.com
Updated Date: 2018-06-13T09:12:51Z
Creation Date: 2011-09-01T00:00:00Z
Registry Expiry Date: 2019-09-01T11:01:08Z
Registrar: Variomedia AG dba puredomain.com
Registrar IANA ID: 1257
Registrar Abuse Contact Email: email@variomedia.de
Registrar Abuse Contact Phone: +49.331237890
Domain Status: ok https://icann.org/epp#ok
Registry Registrant ID: C56307-VRMD
Registrant Country: DE
Registrant Organization: Questback GmbH
Registry Admin ID:  C63751-VRMD
Admin Organization: QuestBack GmbH
Admin Country: DE
Registry Tech ID:  C63751-VRMD
Tech Organization: QuestBack GmbH
Tech Country: DE
Name Server: a1-113.akam.net
Name Server: a18-66.akam.net
Name Server: a22-67.akam.net
Name Server: a3-64.akam.net
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2018-11-13T22:11:11Z <<<

keskiviikko 14. marraskuuta 2018

iZettlen verkkomainosansa

Jos olet, yksityishenkilönä TAI 0% ALV -yhdistyksenä, hankkimassa maksupäätettä. Älä yritä tilata iZettleä. Näillä näkymin sitä ei voi rekisteröidä käyttöön ilman Y-tunnusta ja ALV numeroa.
Vaihtoehtojakin on. Ainakin SumUp maksupääte löytyy ilman tuota ALV vatimusta ja se on puolet edullisempi hankintahinnaltaan.
Rekisteröin juuri sellaisen yhdistyksellemme. Veloituskohtainen provikakaan ei ole kovin suuri. Creditillä isompi kuin Debetillä.

--------------- KIRJEENI iZettlen tukeen -------------------------
From: Hannu Kuukkanen [hannu.kuukkanen@elisanet.fi]
Sent: 2018-11-14 14:57
To: tuki@izettle.com
Subject: iZettle harrastaa Vilpillistä mainontaa


IZettle mainoksessa sanotaan:
  • Kenelle?

    iZettle kortinlukijat sopivat
    yrittäjille ja yksityishenkilöille.
    --------------------------------------------------------------------
Eipä sovikkaan yksityishenkilölle. Yksityishenkilöllä pitää olla yritystunnus ja ALV numero = firma jonka jälkeen hän ei enää ole "yksityishenkilö"

Kutsuisin tätä ylläolevaa tekstiä vilpilliseksi mainonnaksi joka tulisi pikimnmiten poistaa sivulta tai antaa väitteelle linkki joka selvittää miten tämä voisi olla mahdollsta. Tilauslomakkeenne ei tue tätä mahdollisuutta.
Tappelin viime kesästä asti teidän tilauskaavakkeenne kanssa, täysin turhaan. Jokaisen lomakkeen sivuvaihdon jälkeen tuli uusi "pommi" ja jokainen niistä viittasi, että yksityisasikkaat älkööt vaivautuko. Kuitenkin, koska tein tilausta yhdistyksen puolesta kävin kamppailun loppusuoralle asti Y-tunnuksineen (joka hankittiin vain iZettleä varten) MUTTA koko homma kaatui ALV numeroon. Olemme 0 ALV yhdistys joten meillä ei ole ALV numeroa, eikä tule.
Tilasin yhdistyksellemme kilpailijan laitteen jossa ei ole tällaisia rajoituksia.

T:Hannu Kuukkanen

--------------------------------VASTAUS------------------------------
(tämä oli ensimmäinen tukivastaus joka tuli todella nopeasti (n.3tuntia). Yleensä meni tukipyyntöihin useita vuorokausia, kun selvittelin lomakesivu sivulta, miksi lomake ei hyväksy sitä tai tätä). Tämä viesti saapui Wed, 14 Nov 2018 14:18:04 +0000 (GMT)
---------------------------------------------------------------------------
Hei!
Pahoittelen tosiaan tästä, koska iZettleenhän ei yksityioshenkilö ilman Y-tunnusta voi rekisteröityä. Otan siis asian eteenpäin jotta tämä tieto korjataan sivuillamme.
Pahoittelen vielä kerran tästä harhaanjohtavasta tiedosta ja toivotan teille mukavaa päivänjatkoa.
Ystävällisin terveisin
Izettle Support
075 326 77 85



 

lauantai 10. marraskuuta 2018

Gigantti Cloud tilin sulku?

Kirje on sikäli mielenkiintoinen, että se toistuu ja toistuu ja 10 vuorokauden varoitusaika ei lyhene mihinkään. Minun puolestani tilin saa vapaasti lakkauttaa. En aijo klikkailla osoitteisiin jotka eivät vie Giganttiin tai yleensä minnekään järkevään osoitteeseen. Tämä linkki olisi viennyt mandrillapp.com:n palvelimelle joka on "postitus"-alusta, ei pilvipalvelu, tai Gigantti. JOS Gigantti ei pysty itse hoitamaan tilejään, en vaivaudu niihin minäkään puuttumaan. Kirje "näyttää" tuleen Gigantista MUTTA se ei todista vielä mitään. "mandrillapp(.)com" on verkkoturvasivuilla julistettu vaaralliseksi.

Varoitan kaikkia koskemasta tällaisiin tuntemattomiin osoitteisiin vieviin linkkeihin. Mm. mandrillapp.com:n kautta saapuu roskapostia, eli siihen osoitteeseen EI tule luottaa millään tavoin. Vastaava huijjaus ja varoitus löytyy mandrillapp-postitoimistosta mm:
https://www.scamwarners.com/forum/viewtopic.php?f=34&p=309911#p310066


--------KIRJE--------------------------

Gigantti Cloud-tilisi suljetaan

Tällä viestillä ilmoitamme, että Gigantti Cloud-tilisi on umpeutunut, ja se suljetaan 10 päivän kuluttua. Tämä on viimeinen lähettämämme varoitus, jonka jälkeen palautamme Gigantti Cloud-tilin ilmaistiliksi ja poistamme kaikki sen tiedostot.
Tilauksen uusiminen on yhä mahdollista – napsauta vain alla olevaa painiketta ja valitse maksuvaihtoehto:


Ystävällisin terveisin
Gigantti Cloud 
--------------------------------------------

tiistai 6. marraskuuta 2018

Kun haluat menettää rahasi, ota yhteys Dr Frostiin

Tämä on sarjassamme yksi kömpölimmistä huijjausyityksistä mutta ihan hauskaa luettavaa jos ei satu olemaan parempaa tekemistä. Vastaavia posteja kannattaa tutkia tarkemmin, ennen kuin vastaa niihin.
Kirjeen lähettäjä oli: bunlop.k@cck-engineering.com ja palutusposti menisi dr.david.froost@gmail.com-osoitteeseen
cck-engineering.com sivulla sanotaan: "CCK Construction Services, Inc. has been providing turn key cast-in-place concrete services throughout the southeastern United States" Eli rakennusalan firman s-posti osoite on varastettu spämmäys-tarkoitukseen. Kyseessä ei siis ole pankki, kuten Dr. Frost kirjeessään väittää. Vastaava kirje saattaa tulla myös muista varatsetuista osoitteista. Paluuosoite on ilmaisosoite joka ei takaa henkilön aitoutta mitenkään. Pankit eivät käytä henkilöosoitteita eivätkä ilmaisosoitteita. Yleensä spämmerit tekevät vastaavalla tavalla, koska paluuosoite ei toisi palautepostia lähettäjälle. Rahat katoavat ilmaisosoitteista yleisimmin tuuleen, kuin tuhka, eikä huijjaria tulla tavoittamaan koskaan vastaamaan rikoksestaan.

---------------------------------KIRJE-----------------------------------
Dr.David Frostista,
Puhelin: +447548526200


 Kiinnittäkää huomionne ja ymmärrä, että tavoitteenani on tänään lähettää sinulle sähköpostia, nimeni on UDC: n aluejohtaja, Dr.David Frost, UBS Investment Bank Plc Lontoossa. Pyydän teitä harkitsemaan tätä kauppaa tarkasti ja luottamuksellisesti. UBS-pankin ylimpänä johtajana löysin numeroitun tilin, jonka luottotase oli 16,100,000 euroa (16 miljoonaa, sata tuhatta puntaa), joka kuuluu johonkin ulkomaisiin asiakkaisiimme (SYLVESTER ZIEGLER). hirmumyrsky Katrinan uhri elokuussa 2005. Minun asuntoni pankilla, minulla on kaikki pääsy, salaiset tiedot ja tarvittavat yhteydet näiden varojen pyytämiseen ilman minkäänlaisia ​​vinkkejä. Tarvitsen vain apuasi ulkomaalaisena ottamaan vastaan ​​edunsaajan, koska minun asemani virkamiehenä ja pankin henkilökunta ei salli minua tai sukulaiseni tehdä tätä vaatimusta. Siksi haluan, että olette "ulkomaisena edunsaajana", ja vakuutan teille täydellisen siirtostrategian, joka asetetaan nimellesi laillisesti, jotta kukaan ei epäilisi vaatimuksiasi.
 

Apuasi tämän suuruuden saavuttamiseksi oikeutesi on 40% summasta GBP £ 16,100,000.00. Kun olet harkinnut tätä tarjousta, antakaa (Täydellinen nimi, yhteyshenkilö, matkapuhelinnumero ja syntymäaika) kerää rahasto nimesi edunsaajana ja ohjaa yhteystietojasi UBS-pankkiin, jotta rahasto vapautuu ja siirretään haluamaasi pankkitilille. Voit soittaa minulle selkeistä selityksistä. Kiittää sinua ennakoivasi välitöntä vastaustasi.
 

Sinun,
Dr.David Frost
-------------------------------------------------- 


sunnuntai 4. marraskuuta 2018

Epäilyttävä business tarjous

Kaikki postit eivät välttämättä ole ansoja MUTTA aina kannattaa harkita ennen kuin ottaa yhteyttä. Varsinkin jos kirjeen teksti on "epämääräinen" ja firmaa ei verkosta löydy.
Yhteydenottopyyntö saattaa tarkoittaa, että "olen saanut sinut naruun" ja voin jatkaa narutusta, koska olet altis "epämääräisille tarjouksille".
Tämän kirjeen lähettäjän osoite on Britaniasta MUTTA palautusosoite olisi G-mailiin. Merkillistä?  Myös epäilystä herättää, että "Acexata" yritysnimi on plokattu kirjainta vaihtamalla yritysnimestä Acedata, joka on merkittävä ohjelmistoalan toimija. Google ei löydä tätä "Acexata - kloonifirmaa", eli sellaista ei ole verkossa. Domannimi antaa linkkinä ilmoituksen "Arquivo nao encontrado" joka on porttugalia ja kertoo "Tiedostoa ei löytynyt" joka tarkoittaa, että domannimelle ei ainuttakaan sivua ole käytössä. Merkillinen firma ja business. Ei herätä suurta luottamusta.


--------------------KIRJE------------------------

Hello,

 
I have a business to discuss with you. Please do not ignore this message, just let me know you received it and I will tell you more about this business which will benefit the both of us.

 
Thanks and I look forward to read from you soon.

 
Warm Regards
Mariah Hills.
 
----------------------------------- 


domain: acexata.com.br
owner: CONTABILIDADE EXATA LTDA  (tämännimiselle firmalle löytyy hittejä mutta lähiinnä puhelinnumerolle, eli numero- ja osoitetiedustelun kaltaisia. Osoite löytyy Brasiliasta)
ownerid: 20.932.547/0001-32
responsible: AFONSO CELSO
country: BR
owner-c: CEL880
admin-c: CEL880
tech-c: PTI5
billing-c: CEL880
nserver: ns3.paranet.com.br
nsstat: 20181102 AA
nslastaa: 20181102
nserver: ns4.paranet.com.br
nsstat: 20181102 AA
nslastaa: 20181102
created: 20051104 #2456380
changed: 20171019
expires: 20181104  (osoite vanhentuu 4.11.2018, eli parin päivän kuluttua)
status: published  (tämä "julkaistu" ei tarkoita mitään muuta, kuin että se on olemassa, vaikka käytännössä osoitteen sivusto ei ole toiminnassa)

sunnuntai 28. lokakuuta 2018

Sähköpostitilisi on kaapattu - kiristyskirje

Nyt kiertää sähköpostina kiristyskirje, joka "näyttää tulevan" sinun oman sähköpostitilisi osoitteesta ja siinä väitetään jotakin salasanaa sinun tilisi salasanaksi. Kirjeessä väitetään myös, että koneesi lukitaan 48 tunnin kuluttua jos et maksa lunnaita. Samoin kirje on täynnä muitakin uhkauksia mutta nämä ovat ainoastaan keksittyjä joista osan voit todeta itsekin huijjaukseksi.
Samankaltaisia kiristyskirjeitä tulee nyt vaihtelevin tekstein. Pääviesti on sama. Olen asentanut koneellesi "Rat" (jonkun nimisen) applikaation (ohjelman) jolla olen kaapannut salasanasi ja koneesi jne., maksa lunnaat.

Tämä on HUIJAUSKIRJE. Hävitä kirje ja korkeintaan vaihda tiliesi salasanat. Myös FaceBook ja Twitter ym. sosiaalisen median salasanasi, koska jostakin tuo sinun salasanasi on voitu kaapata aiemman kirjautumisesi yhteydessä.
Useat suljetut sivut vaativat asiakasta kirjautumaan G-mail, Twitter tai FaceBook (jne) tilin tunnuksilla. ÄLÄ kuitenkaan tee koskaan niin, vaan perusta jokaiselle suljetulle sivustolle oma salasana ja tunnus (jokaiselle oma ja erilainen). Tämä on hyvä varotoimenpide tällaisia vastaavia tapauksia vastaan. Myös tärkeimmät salasanasi on näin turvattu. Salasanalista kannattaa piilottaa pois koneesi lähettyviltä todellisen kotimurron varalta.

Tästä kiristyskirjeestä kerrotaan myös sivulla:
https://www.pcrisk.com/removal-guides/13912-hacker-who-cracked-your-email-and-device-email-virus

Tämän kirjeen headerista löytyy rivi:
X-PHP-Originating-Script: 10000:c.php
Tämä PHP scripti on spämmerin käyttämä postitusohjelma jolla hän on näitä "häkkäys"
-viestejään lähetellyt.


 Alla kopio kirjeen sisällöstä. Sähköpostiosoite on muutettu:

----------------------------------------------------------------------

Subject: sinun.sahkopostiosoitteesin@kolumbus.fi has password sejase123. Password must be 
changed

> Hello!
>
> I'm a programmer who cracked your email account and device about half year 
> ago.
> You entered a password on one of the insecure site you visited, and I 
> catched it.
> Your password from sinun.sahkopostiosoite@kolumbus.fi on moment of crack: sejase123
>
> Of course you can will change your password, or already made it.
> But it doesn't matter, my rat software update it every time.
>
> Please don't try to contact me or find me, it is impossible, since I sent 
> you an email from your email account.
>
> Through your e-mail, I uploaded malicious code to your Operation System.
> I saved all of your contacts with friends, colleagues, relatives and a 
> complete history of visits to the Internet resources.
> Also I installed a rat software on your device and long tome spying for 
> you.
>
> You are not my only victim, I usually lock devices and ask for a ransom.
> But I was struck by the sites of intimate content that you very often 
> visit.
>
> I am in shock of your reach fantasies! Wow! I've never seen anything like 
> this!
> I did not even know that SUCH content could be so exciting!
>
> So, when you had fun on intime sites (you know what I mean!)
> I made screenshot with using my program from your camera of yours device.
> After that, I jointed them to the content of the currently viewed site.
>
> Will be funny when I send these photos to your contacts! And if your 
> relatives see it?
> BUT I'm sure you don't want it. I definitely would not want to ...
>
> I will not do this if you pay me a little amount.
> I think $856 is a nice price for it!
>
> I accept only Bitcoins.
> My BTC wallet: 1PL9ewB1y3iC7EyuePDoPxJjwC4CgAvWTo
>
> If you have difficulty with this - Ask Google "how to make a payment on a 
> bitcoin wallet". It's easy.
> After receiving the above amount, all your data will be immediately 
> removed automatically.
> My virus will also will be destroy itself from your operating system.
>
> My Trojan have auto alert, after this email is looked, I will be know it!
>
> You have 2 days (48 hours) for make a payment.
> If this does not happen - all your contacts will get crazy shots with your 
> dirty life!
> And so that you do not obstruct me, your device will be locked (also after 
> 48 hours)
>
> Do not take this frivolously! This is the last warning!
> Various security services or antiviruses won't help you for sure (I have 
> already collected all your data).
>
> Here are the recommendations of a professional:
> Antiviruses do not help against modern malicious code. Just do not enter 
> your passwords on unsafe sites!
>
> I hope you will be prudent.
> Bye.

tiistai 23. lokakuuta 2018

EU ja linkkivero

TM 18/2018 Sami Rainisto, nosti kolumnissaan esille tärkeän asian. EU:n Tekijänoikeusdirektiivi meni läpi mutta sen seurauksista ei ole toistaiseksi tarkempaa tietoa, koska jokainen maa voi soveltaa direktiiviä omalla tyylillään.

Artikla 11:n ajatus on sikäli merkillinen, että esimerkiksi kaikki Googlen, muiden medioiden sivuille johtavat hakulinkit saattaisivat tulla "maksullisiksi" eli tekijänoikeusmaksuja kerättäisiin jokaisesta hakutuloksesta jonkin julkaisun sivuille. Tämä on perin outoa, koska eihän tälläkään hetkellä ole minkäänlaista estettä medialle, kuin medialle, laittaa maksullista kirjautumista (estettä) omaan aineistoonsa, kuten on paljolti jo tehty. Tässä mennään jotenkin amatöörimisellä tyylillä ja "isovelivalvoo" menttaliteetilla ja jälkijättöisesti suojelemaan kaupallisia sisältöjä jotka jo periaatteessa on suojeltu niin haluttaessa.
Tämän seuraavan linkin päässä on tämä mainittu artikkeli MUTTA, et pääse sitä lukemaan ilman "oikeuksia" joista joudut lehdelle, sen niin halutessa, maksamaan. Tekniikan maailma on, arvatenkin, vain iloinen jos saa näin uusia maksavia tilaajia. Mihin tässä EU:ta taas tarvittiinkaan?

https://tekniikanmaailma.fi/lehti/18b-2018/elakoon-linkkivero/

Höh!

keskiviikko 17. lokakuuta 2018

Panamalaista Bittirahaa tarjolla

Bitcoin huijjaus kehnolla suomenkieleellä Panamasta. Minulla ei ole ollut mitään tekemistä bitcoinin kanssa mutta toivossa on ilmeisesti hyvä elää. Jospa osuisi pimeään sohimalla kohteeseen :)

ÄLÄ myöskään kuittaa postia saapuneeksi perille, koska se tarkoittaa, että sinua ei sen koommin jätetä rauhaan tämän huijjausyrityksen jatkotoimilta.

Ikävä sanoa mutta viisainta olisi sulkea koko Panama ulos sähköpostiliikenteestä. Sieltä tunkee nykyään eniten s-postihuijjauskirjeitä mitä mielikuvituksellisemmin tekstein ja vippaskonstein. Alkaa muistuttaa entistä Nigeriaa. Nigeria on jo aika hyvin suodatettu ulos spämmeistä, vaikka aina sieltäkin jotain läpi pääsee kiertoteitä käyttäen.


Tämän kirjeen alalaidassa oli vielä pari riviä tekstiä jossa oli "Bitcoin saldo" jollaista minulla siis ei ole lainkaan, sekä tilin vanhenemisaika, jollaista tiliä minulla ei ole lainkaan, sekä vahvistuspyyntö joka linkittyi piiloitettuun liitetiedostoon joka mitä ilmeisimmin on VIRUS tai sen osakomponentti.
Jokaisen domainnimen omistajatieto oli peitetty, eli ketään ei näistä osoitteista tulla tavoittamaan tilille huijjauksesta tai sen yrityksestä.

Linkit johtavat Panamalaisen toimijan koneelle ja posti on lähtöisin toiselta Panamalaiselta koneelta. Pitäisikö nykyaikana sanoa, että kaikki tiet johtavat Panamaan, ainakin näissä huijjauspiireissä. 

Vastaavasta BitCoin ansasta varoitetaan sivulla. Siinä rikoksen yritykseen oli käytetty mandrillapp.com palvelinta:

tiistai 16. lokakuuta 2018

Pankkien tietoturvapäivitykset ovat ansoja

Minulle sapui Nordean tietoturvapäivitys pyyntö joka ei oikeasti ole tullut Nordeasta, vaikka sähköpostiosoite siltä näyttää. Tuo turvapäivitys-linkki veisi kuuluisalle huijjareiden suosimalle "tietovarkaussivulle jotformeu.com" eli ei missään tapauksessa Nordeaan.
Mitään tietoja ei näihin "turvapäivityskyselyihin" tule antaa.
Tämä kirje on tunnistettavissa  huijjaukseksi jo kehnosta käännöksestä mutta usein huijjauskirje saattaa vaikuttaa myös aivan asialliselta.

Pankkeja ei nämä huijjausyritykset tunnu isommin kiinnostavan.
Pankkien etusivuilla tai piiloitetummissakin paikoissa saattaa olla
varoitus huijjauskirjeistä mutta muuten pankit ovat erittäin passisiivisia,
ilmiantamaan näitä huijjareita. Sain Jotformin kanssa kirjeenvaihdolla
poistettua tämän ID varkaan heidän sivustoiltaan. Ei se iso vaiva ollut.
https://vaarallinenweb.blogspot.com/2018/11/pankkien-paivitykset-ovat-ansoja.html

Alla kirjeen lähdekoodi. Kommenttini suluissa.

---------------------e-mailin lähdekoodi--------------------------

Received: via tmail-2007f.2015-sau for fp6592.200; Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
Received: from fe21.mail.saunalahti.fi (fe21.mail.saunalahti.fi [62.142.5.26])
 by be408.mail.saunalahti.fi (Postfix) with ESMTP id 8D2046038B;
 Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
X-Client-Addr: 162.219.251.219 (alussa spämmisuodattimen hakkerointia)
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
Received: from mets.unisonplatform.com (mail219.mets.unisonplatform.com [162.219.251.219])
(rekisteröity palvelimelle USA:ssa Kirklandin kaupungissa oleva palveln. Muut reksiteritiedot 
on salattu) 

(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
 (No client certificate requested)
 by fe21.mail.saunalahti.fi (Postfix) with ESMTPS id C236A20004;
 Tue, 16 Oct 2018 13:23:40 +0300 (EEST)
Received: from [::1] (port=54362 helo=mets.unisonplatform.com)
 by mets.unisonplatform.com with esmtpa (Exim 4.89_1)
 (envelope-from <asiakaspalvelu@nordea.fi>)  (tämä nordean osoite on 
saatu aikaiseksi seuraavalla metodilla: Kun viesti palautetaan, palautusvastaus 
lähetetään yleensä kirjekuoressa (evelope) lähettäjälle. 
Roskaposti-sivustot ovat oppineet tämän sähköpostin 
ominaisuuden ja voivat käyttää sitä saadakseen virhellisen lähettäjänimen 
kirjeeseensä)

 id 1gCItR-0006vs-OV; Mon, 15 Oct 2018 23:31:49 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="=_3782c37711968b63c65629452622c297"
Date: Tue, 16 Oct 2018 00:31:49 -0600
From: Nordian Verkkopankkia <asiakaspalvelu@nordea.fi> 
(tästä "lähettäjäväärennöksestä" on edellä selostus)

To: undisclosed-recipients:;
Subject: =?UTF-8?Q?--__Hyv=C3=A4_asiakaamme=2C?=
Message-ID: <f6e3e52dac878d00e032e8354c319f0b@nordea.fi>
X-Sender: asiakaspalvelu@nordea.fi (tästä "lähettäjäväärennöksestä"
 on edellä selostus)

User-Agent: Roundcube Webmail/1.3.3
X-AntiAbuse: This header was added to track abuse, please include it 
with any abuse report
X-AntiAbuse: Primary Hostname - mets.unisonplatform.com
X-AntiAbuse: Original Domain - elisanet.fi
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - nordea.fi (selitetty alussa mistä tämä periytyy)
X-Get-Message-Sender-Via: mets.unisonplatform.com: authenticated_id: 
nor@dawnprince.com (Rekisteröity Illinois, USA. Tarkemmat reksiteritiedot salattu)
X-Authenticated-Sender: mets.unisonplatform.com: nor@dawnprince.com

--=_3782c37711968b63c65629452622c297
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8

-- 
 
------------------KIRJEEN SISÄLTÖ------------------------- 
 
Hyvä asiakaamme,
Verkkopankissa tietoturvapäivitysten vuoksi verkkopalvelujen käyttäjien
on hyväksyttävä päivitys ja päivittää yhteystiedot ajantasalle. 
 Päivitä tietosi ja tee tietoturvapäivitys tästä  (linkki poistettu vaarallisena) 
Prosessi järjestelmän ja tietojen päivittämiseksi on tehty
mahdollisimman helpoksi ja sujuvaksi. 
Käsittelemme rekistereissämme kaikkien asiakkaidemme tietoja samojen käsittely- ja tietoturvaperiaatteiden mukaisesti. 
Kaikkien asiakkaidemme tiedot ovat esimerkiksi pankkisalaisuuden,
vakuutussalaisuuden tai vastaavan salassapitovelvoitteen alaisia tietoja riippumatta siitä, onko kyse henkilö- vai yritysasiakkaasta.
Tietojen luovuttaminen on mahdollista vain asiakkaan antaman suostumuksen tai lain perusteella. 
Ilman päivitystä pankkipalveluita voidaan joutua rajoittamaan.
Rajoitukset perustuvat 01.01.2018 voimaan tulleeseen uuteen rahanpesulakiin. 
Rajoitukset koskevat maksukortteja ja verkkopankkia tai muuta tilin käyttöä.
Terveisin 
Asiakaspalvelu 
Nordian Verkkopankkia
  

Links:
------
[1] https://form.jotformeu.com/82881057654364
--=_3782c37711968b63c65629452622c297
(tämä linkki vie tietokalastuslomakkeelle jossa kysellään pankkitietosi tai 
"ikäänkuin" pyydetään kirjautumaan tilillesi. Kirjautumisen yhteydessä tunnuksesi 
kopioidaan rikolliseen käyttöön) 

keskiviikko 10. lokakuuta 2018

VIRUS kuvatiedostoissa?


Kun näet konellasi - e-mail-viestin liittenä laatamanasi tämän kuvan, on koneesi jo mahdollisesti saastunut. (tämä kuva tässä julkaisussa on 100% puhdistettu viruksista).VARO kaikkia liitetiedostoja. Lue tekstiä eteenpäin ymmärtääksesi miksi myös kuvia on syytä varoa.

Olen kerran aikaisemmin kirjoittanut aiheesta, epäileväni: "Voiko kuvatiedosto sisältää viruksen?". Vastaus on KYLLÄ.

Olen saanut lähiaikoinaa muutamia e-maileja jotka ovat sisältäneet liitteen joka on ollut kuva. Nyt viimeksi pääasiassa JPG - kuva. Joskus BMP -kuva. Nämä kirjaimet löytyvät kuvanimen jälkeen viimeisenä pisteen erottamana. Viruksia kantamaan pystyy suuri määrä muitakin kuva ja tiedostomuotoja. Näistä olen maininnut aikaisemmissa kirjoituksissani. 
Näitä liitekuvia ei tule avata turvallisuussyistä Viruskoodi voidaan piiloittaa useampaan kuvaan jotka sittemmin toimivat yhteistyössä, tuhoamalla koneesi tiedostoja, tai saatat varomattomuuksissa ladata verkosta ilmaisohjelman johonkin tarkoitukseesi MUTTA se saattakin olla juuri tuon kuvatiedostossa olevan viruksen laukaiseva komponentti..

Myös liitetiedosto, jonka nimenä on esim. kuva.jpg.exe onkin ohjelma jonka WIndows saattaa "autorun" komennollaan toteuttaa ja tietokoneesi on sen jälkeen saastunut.

Myös on mahdollista, että kuvatiedosto sisältää linkin verkossa olevaan virukseen.

Sen lisäksi, että ei avaa kuvia joiden alkuperää ei tunne, kannattaa estää myös kuvien näkyminen suoraan sähköpostiselaimessasi.

JA vielä tämänkin lisäksi, älä vieraile verkkosivuilla joiden turvallisuudesta ei ole takuuta. E-mailissa ja/tai verkkosivulla olevat linkit saattava ladata tai käynnistää virusohjelman koneellasi.

Näistä ansoista kertoo mm. PC World-lehti, sekä Symatec.
Alla linkit aiheeseen näille sivuilla:

Symatec: https://www.symantec.com/security-center/writeup/2002-030110-3845-99?tabid=2
PC World: https://www.pcworld.com/article/2105408/3/watch-out-for-photos-containing-malware.html

Symatec analysoi Mosquito-viruksen sivuillaan. (Suluissa omia kommenttejani)
Writeup By: Patrick Nolan

Discovered: February 25, 2002 (vanha tekniikka joka vasta hiljan on alkanut yleisrtyä)
Updated: February 13, 2007 11:38:24 AM
Also Known As: Bat/fz, BAT/Cream.A, BAT.Mosq.B (viruksen komponenttien nimiä)
Type: Virus

This virus is actually a two-part file. The first part of the file is a bitmap image, which is displayed if the file has a .bmp extension. The other portion of the file is a BAT script virus, which will execute if the file has a .bat extension, regardless of the .bmp header. (virus jaetaan kahtena eri komponettina = tiedostona)

This virus contains the string "MO§QUITO CREAM II" in a comment statement. (viruksen koodin kommenttirivillä, lukee tuo lainausmerkeissä oleva teksti)

What the virus does depends on its extension when it is run.
If Bat.Mosquito.B.gen is run as a .bmp file
If Bat.Mosquito.B.gen is run as a .bmp (bitmap) file, it displays this image: (jos virus aukeaa ainoastaan kuvamuodossa, näkyy vain kuva)

No other actions are performed if run as a .bmp file.
If Bat.Mosquito.B.gen is run as a .bat file
If Bat.Mosquito.B.gen is run as a .bat (batch) file, it does the following: (jos virus avataa BAT muodossa, se saa aikaan ilkeitä)

Tämän jälkeen tulee lista ilkeistä operaatioista koneellasi. Lue ne Symatcin linkistä, koska on tarpeetonta toistaa niitä tällä sivulla. Oleellista on välttää, tuntemattoman lähettäjän  liitetiedostojen aukaisemista olipa liitetiedosto minkä niminen tahansa.

HUOM! Myös saattaa olla, että spämmeri on varastanut kaverisi sähköpostiosoitteen, joten lue huoella ensin kirjeen teksti joka ilmeisimmin paljastaa onko viesti todellinen vaiko spämmerin keksimä. Myös tyhjiä kirjeita saattaa saapua virusliitteillä varuistettuina.

Olen kirjoittanut aikaisemmin PNG-viruksesta helmikuussa:
https://vaarallinenweb.blogspot.com/2018/02/voiko-png-tiedosto-sisaltaa-viruksen.html