torstai 14. maaliskuuta 2019

Warren lahjoittaa rahastusansan

Earrenin nimissä tulee uuden laista ansapostia. "Olemme je kerran yrittäneet lahjoittaa sinulle isoja rahoja mutta et ole ottanut meihin yhteyttä". Voihan nenä.
Onpa mennyt ihan ohi miljoonat taas. Nyt on menossa "viimeinen varoitus" mutta tuskimpa viimeinen ansaviritelmä. Vastauskirje pyydetään, jotta jekutusta saataisiin jatkettua eteenpäin.
Taas on luvassa runsaita maksuja, jotta lahjoitus saataisiin tililleni.

------------------------------KIRJE------------------------------

Hello,
I sent you email with donation details, please let me know it you receive it.
Thank you.
W.B. 

-----------------------------------------------------------

Kirje on oikeasti saapunut Romaniasta.
Tässä alla lähettäjä ja vastauspostitieto venäläiseen ilmaisosoitteeseen:
Reply-To: <wb.foundation@yandex.com>
From: "Warren Foundation"<warren.org@contractor.net>
Subject: Still waiting for your response
 
Lähettäjäosoitteen contractor.net, palvelut näyttävät olevan ihan jotain muuta kuin Warren Foundationin toimintaa: | online loans | credit cards | lose weight | cheapest ...
Mutta sinne siis ei kuitenkaan toivota vastauksen menevän, vaan Venäjälle, tai kenties Romaniaan?

torstai 7. maaliskuuta 2019

BMW olisi tulossa. Rahti pitää tietenkin maksaa

Uusi huijjaus BMW:n merkeissä.Agentti Jonesin e-mail on hieman epäuskottavasti jälleen ilmainen gmail. Kyseessä on myös phishing eli henkilötietokalastus,
Vaikka e-mail näyttää olevan tulossa osoitteesta:
From: Dr. Norbert Reithofer<info@bmw.org>
Ei kannata olla sen toiveikkaampi kirjeen aitoudesta. Tämä on huijjausta. Yksikään vastuullisessa asemassa oleva BMW:n pomo ei lähetä firmansa "info" osoitteella e-mailia kenellekään, eikä myöskään laita palaute- tai yhteydenotto-osoitteekseen ilmaisosoitetta..

----------------------------KIRJE-------------------------------------------

Dear BMW Enthusiast,
 
This is to inform you that you have been selected for a prize of 
a brand new 2018 Model, BMW 7 Series Sedan 750LI Car and a Check 
of $10,000,000.00 USD (Ten Million United States Dollars) which 
include IPhone S, and Apple Laptop from international programs 
held at the first section of 2018 in the UNITED STATES OF 
AMERICA.
 
The selection process was carried out through random selection in 
our computerised email selection system (ESS) from a database of 
over 250,000 email addresses drawn from all the continents of the 
world which you were selected. The BMW Lottery is approved by the 
British Gaming Board and also Licensed by the International 
Association of Gaming Regulators (IAGR).
 
To begin the processing of your prize you are to contact our 
fiduciary claims department for more information as regards 
procedures to claim your prize.
  
Agent Name: Mr. Jones Smith
Agent  Email: agent.jonessmithxxxxx@gmail.com
Call or Text: ( +1-669-257-3264 )
 
Contact him by providing him with your secret pin code Number 
BMW:2551256008/18. You are also advised to provide him with the 
under listed information as soon as possible: 
 
1.Name in full.
2.Address.
3.Nationality.
4.Age.
5.Occupation.
6.Phone/Fax.
7.Present Country.
8.Email address.
9.pin code Number BMW:2551256008/18 
 
NOTE: Delivery cost is mandatory in claiming your winning. You 
are advised to furnish Mr. Jones Smith, with your correct and 
valid details. Also be informed that your grand prize is valued 
$10,000,000.00 USD. The only money you will send to him is $550 
for the delivery and Approval Payment Certificate from IMF. 
 
Dr. Norbert Reithofer.
THE BMW SALES DIRECTOR PROMOTIONS
BMW SALES LOTTERY DEPARTMENT
UNITED STATES OF AMERICA

sunnuntai 24. helmikuuta 2019

LIPPU-HUIJJAREISTA varoitetaan

Verkossa myydän "valelippuja". Osta tapahtumalippusi ainoastaan tunnetuilta lipunmyyntisivustoilta ja nimenomaan niiden todellisislta verkkosivuilta. Tarkista aina linkki jonne olet menossa. Jos olet ostamassa lippua Lippu.fi:stä on osoitteen oltava muodossa: "https://www.lippu.fi/" tietenkin ilman lainausmerkkejä.


perjantai 22. helmikuuta 2019

Tässä kirjeessä on liiteansa

Tyypillinen liiteansa. Liite pitäisi avata kiireesti ja rahaa olisi tulossa epäselvästä "laskustasi" jota et ole koskaan lähettänyt.
Katso kirjeen tekstin alta mitä liite sisältäisi.

------------------------------KIRJE-------------------------------------
Good day! We have wired your transfer today as advised by our client who is your customer and it was returned. Please review the attached payment copy to see what needs to be corrected and advise ASAP. Await your reply. SAM
__________________________________________________

------=_NextPart_000_0015_01C2A9A6.03B8ADD6
Content-Type: application/octet-stream;
 name="scan.7z"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename="scan.7z"
 
Tässä osassa kirjeen lähdekoodia kerrotaan selkeästi, että liite on "applikaatio" eli ohjelma ja se on
binäärikoodattuna kirjeen sisälle. Kyseessä on ZIP koodattu tiedosto (7z-ilmaisohjelmalla) joka saattaa sisältää aivan mitä tahansa. eli myös tuon mainitsemani "haittaohjelman".
Tämä on ihan varma pommi - eli virus tai muu haittaohjelma. Tämän voisi virustarkistaa mutta en vaivaudu edes siihen näin selvässä asiassa (virusturvaohjelmatkaan eivät aina pysy ajan tasalla).
Liitelinkkiin EI tule koskea. Koko kirje roskikseen heti.

Jos edelleen haluat uskonvahvistusta, tässä headeriosassa löytyy tietoa mistä kirje on peräisin. Kun lähettäjä ja "reply" osoite on kaksi erilaista ilmaisosoitetta, ei kyseessä ole varteenotettava yritys. Minulla ainakaan ole mitään tekemistä tällaisten firmojen kanssa.
"envelope-from" osa kertoo myös, että lähettäjäosoite ei ole oikean lähettäjän osoite, vaan osoite on varastettu "bounchaamalla". Tätä tekniikkaa käytetään usein juuri gmail osoitteisiin. Myös luotettavien firmojen osoitteita "peilataan" tällä tekniikalla "ikäänkuin" lähettäjäosoitteeksi.
gunimo.com näyttäisi olevan kiinalainen toimija, jonka palvelinta on tässä spämmi-lähetykseen käytetty.
:
Received: from [23.227.207.163] (helo=User)
 by gunimo.com with esmtpa (Exim 4.82)
 (envelope-from <samersh@gmail.com>)
 id 1gwljl-0002Kp-51; Thu, 21 Feb 2019 10:37:54 +0000
Reply-To: <aparanecsh@mail.com>
From: "ALPHA EXCHANGE COMPANY"<samersh@gmail.com>

torstai 21. helmikuuta 2019

Peliriippuvuus-ansat

Samanlainen kirje on mennyt todennäköisesti sadoille henkilöille.
Osoitteet on varasrettu tai ostettu laittomasti kerätyistä osoiterekistereistä.
En ole luovuttanut tälle firmalle oikeutta käyttää sähköpostiosoitettani markkinointitarkoituksiin tai ollut edes koskaan tämän firman asiakas, tai missään tekemisissä sen kanssa.

Kirjeen teksti saattaa pitää paikkansa mutta tarkoitus ilmeisesti onkin saada peliriippuvainen kohde ansaan (tai sitten jokin muu vielä vaarallisempi tarkoitus?)
Kirjeen alla kommentteja miksi epäilen vakavasti kirjeen tarkoitusperää.
Valittujen henkilöiden nimilista vaihtelee eri kirjeissä, niillä tuskin on mitään tekemistä todellisten, tämän nimisten, ihmisten kanssa. Nimesi puuttuu listalta, koska spämmäysohjelma ei osaa sitä siihen e-mailosoitteestasi poimia.


---------------------------------KIRJE-----------------------------------
Aihe: Sinut on viimeinkin varmennettu
Lähettäjä: Palvelukeskus

Hei, !
Valinta osui sähköpostiosoitteeseesi: xxxxxxxxxxx@elisanet.fi


Olemme saaneet kunnian antaa sinulle 1 200 euron arvoinen etu.
Tänään valittiin vain 5 onnekasta, jotka saivat kyseisen mahdollisuuden!
Etu antaa sinulle myös 200 ILMAISKIERROSTA Casumolle.

Valitut henkilöt:
1. Kristiina Virtanen
2.
3. Antti Lehtonen
4. Mikael Koskinen
5. Tiina Mäkinen
Sinun ei tarvitse tehdä talletusta saadaksesi ensimmäiset 20 ilmaiskierrosta!
Klikkaa tästä lunastaaksesi etusi

This message is sent to xxxxxxxxxx@elisanet.fi, . This message is for the designated recipient only and may contain confidential and/or privileged information. If you have received it in error, please delete it and advise the sender immediately. You should not copy or use it for any other purpose, nor disclose its contents to any other person.

Unsubscribe
----------------------------------------------------------------------------------


Kirje on lähetetty osoitteesta:
From: "Palvelukeskus" <no-reply@sinunvoitot.com>
 
DOMANNIMIKYSELY KERTOO että kyseessä on vanhentunut osoiterekisteröinti ja maatunnus SC viitta Seychellien saarelle. ELI veroparatiisiin. Koska lähettäjän osoite on vanhentunut osoite saattaa olla käytössä vain harhautustarkoituksessa (kirjettä ei ole oikeasti lähetetty tästä osoitteesta).
Domain Name: SINUNVOITOT.COM
Registrar Registration Expiration Date: 2019-11-25T04:01:13Z
Registrar Abuse Contact Email: removed email address
Registrar Abuse Contact Phone: removed phone number
Registrant Organization: eMarketing Holdings Limited
Registrant State/Province: Mahe
Registrant Country: SC

Etu-linkki vie puolestaan Casumo pelikasinon osoitteeseen, jossa on edelleenohjaus, eli ei ole minkäänlaista tietoa, minne linkki todellisuudessa vie.Linkin päässä saattaa olla vaikkapa virus tai henkilötietojen keräyslomake. Vaikka domannimi osoittaa, että kyseessä on mahdollisesti tavoitettavissa oleva yritys, en koskisi linkkiin. Kirjeen lähetysosoitteen epäluotettavuus ja kirjeen sisältö viittaa siihen, että kaikissa tapauksissa on kyseessä ilmeinen asiakkaan harhauttaminen:

https://ads.casumoaffiliates.com/redirect.aspx?pid=3D859752&bid=3D1546=

DOMANNIMITIEDUSTELU kertoo, että casumosffiliates domannimen on rekisteröinnyt 
ruotsalainen yritys. Casumo on kuitenkin maltalainen casinopeliyritys joten tämä on Ruotsissa toimiva haarakonttori.
:
Domain Name: casumoaffiliates.com

Registrar: PortsGroup AB   (hosting service - ylläpitäjä)
Registrar Abuse Contact Email: removed email address
Registrar Abuse Contact Phone: removed phone number

Registrant Organization: Casumo Services Ltd.
Registrant State/Province: 
Registrant Country: SE 
Name Server: HUGH.NS.CLOUDFLARE.COM
 
Nimipalvelin on tuo huonomaineinen ilmaispalvelitilaa tarjoava CloudFlare.

keskiviikko 20. helmikuuta 2019

Seurustelupalsta-ansat

Mikään ei ole niin toimiva ansa, kuin seksi ja dating-palstojen mainos tai yleensä seuranahaku-emailit. Tämäkin kirje on tyypillinen ANSA.
Tämä tarkoittaa, että näiden suhteen on syytä aina olla kriittinen ja heittää roskikseen. Seuranhakupalstalle kannattaa mennä suoraan sen oikeasta verkko-osoitteesta.

Kerron tässä miksi (kommentit suluissa lihavoitettuna).

----------------------------------------KIRJE-----------------------------------------


ainutlaatuinen kutsu dating-sivustolta aikuisille
Olet saanut sivuston jäsenen kutsun.
tarkista naisten profiilit, joita näet täällä: maxsexx.com
jos olet kiinnostunut: sukupuoli, 69, sm, ruiskuttaminen, MILF, shemale, anaali ... ja enemmän ...

liittyä: maxsexx.com

Odotamme innolla vierailua
------------
Tämän viestin lähetti yksi jäsenistämme.
Toivotamme teille kaunista päivää fantasioilla.


----------------------------KIRJEEN LÄHTEEN ANALYYSI--------------------

From: Invites <tma@all4me.site> 
(omistajatietoja ei ole saatavilla. Viittaa Liettuan, Aasiaan ja USA:n)
Reply-To: Invites <matthewcarterim@gmail.com> (Palautus ilmaisosoitteeseen)
 
X-Mpnb-Mailer: SwiftMailer - 5.4.x (postitusohjelma)
X-Mpnb-EBS: http://snd.tmsend.site/index.php/lists/block-address
(omistajatietoja ei ole saatavilla. Viittaa Alankomaihin ja USA:n

(Linkkiteksteissä näkyvä maxsexx.com vie jälleen kerran PANAMAAN 
piiloitetun omistajan verkko-osoitteeseen. Ilmoitetusta puhelinnumerosta tuskin irtoaa apua, P.O.Box osoite, kertoo, että firman toiminta ei kestä päivänvaloa)
 
Registrant Street: P.O. Box 0823-03411 
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code: 
Registrant Country: PA
Registrant Phone: removed phone number 

sunnuntai 17. helmikuuta 2019

Rahapesulastako olisi rahaa tulossa?

Naurettavan typerää mutta ilmeisesti tämäkin ansa toimii? Toivottavasti kuitenkaan ei.

E-mail ei tullut Englannista, vaan saapui osoitteesta: xxxx@enfil.com.br Joka on brasilialainen firma. Firmalla tuskin on mitään tekemistä tämän huijjauksen kanssa. Heidän e-mailosoitettaan on käytetty spämmäykseen, tarkoituksella hämätä vastaanottajaa.
JA yhteydenotto tapahtuisi jälleen G-mailin ilmaisosoitteeseen, eli rikoksen tapahduttua, tätä huijjaria on todennäköisesti erittäin vaikea saada kiinni.

-----------------------------------------E-MAIL----------------------------------------
The Office for Professional Body Anti-Money Laundering Supervision (OPBAS)
Anti-Money Laundering Office
London, United Kingdom
Email: loganfoster806@gmail.com
 
Hello!
 
This is urgent and important, Inform me if you are dead or alive, There is a rumour that you are dead by one Mr John Arnold from England UK, He claim to be your next of kin and wants to claim your fund worth 800,000.00 GBP (Eight Hundred Thousand British Pound Sterling) on your name.
 
Reply back if you are still alive.
 
Yours Sincerely,
Mr. Logan Foster
The Office for Professional Body Anti-Money Laundering Supervision (OPBAS)
---------------------------------------------------------------------------------------------

keskiviikko 13. helmikuuta 2019

PayPal käyttää epämääräistä osoitetta

PayPal käyttää itse sellaista osoitetta tiedotuksissaan, jota voisi epäillä verkkorikollisten rakennelmaksi. Linkissä, joita kirjeeessä on, lukee domannimen kohdalla "epl.paypal-communication.com". Linkin kautta saapuu ihan viralliseen "paypal.com" osoitteeseen. MIKSI PayPal ei sitten käytä suoraan virallista osoitettaan vaan käyttää merkillistä domannimeä joista se tietokalastelusta varoittavalla sivullaan nimenomaan varottaa?  Päyristyttävää logiikkaa.
Olen jo aikasemmin kiinnittänyt tähän omalaatuisuuteen huomiota ja ilmoittanut PayPalille mutta asia ei näytä korjaantuvan. https://vaarallinenweb.blogspot.com/2018/03/onko-paypalin-eplpaypal.html

-----------------------------------PayPalin varoitussivu-----------------------------------

Tietojen kalastelun tunnistaminen

Mitä on tietojen kalastelu?

Tietojen kalastelu (phishing) on yksi verkkohuijausten muoto, jolla henkilöllisyytesi yritetään varastaa yleensä taloudellista hyötyä varten.

Tietojen kalastelulla sinut yritetään petollisesti saada paljastamaan arkaluontoisia tietojasi, kuten luotto- ja pankkikorttien numeroita, salasanoja tai pankkitilien tietoja.

Eräs yleisimmistä tietojen kalastelutavoista on lähettää huijaussähköposti, joka näyttää tulevan luotettavalta yritykseltä tai tuotemerkiltä. Tämä sähköposti ohjaa sinut tunnetun verkkosivuston väärennettyyn versioon, joka tallentaa antamasi tiedot, esimerkiksi salasanan ja taloudelliset tiedot.

PayPal on sitoutunut auttamaan näiden sivustojen sulkemisessa ja varmistamaan, että havaitset tietojen kalastelun välittömästi. Meidän tehtävämme on suojata henkilöllisyytesi mahdollisimman hyvin verkossa.

tiistai 12. helmikuuta 2019

Zekistä kirjoittelee Malissa toimiva kersantti?

En lähtisi mukaan keskusteluun tällaiseen kirjeeseen mistään hinnasta. Se saattaa tulla kalliiksi.

-------------------KIRJE------------------
Hello,I am Sgt. Anita Weber of the US Marines stationed in Northern 
Mali. I seek an urgent help which will be benefitial to you too,please 
contact me through ( anitaweber.marine@gmail.com ) so that i can open up 
to you. Thanks in advance.
Sgt. Anita Weber
------------------------------
Kirje on lähtenyt Zekistä:
From: "Sgt. Anita Weber" <info@optikkrouman.cz>
Ja vastata pitäisi ilmaisosoitteeseen:
Mail-Reply-To: anitaweber.marine@gmail.com

Koskaan ei ole terveellistä, että nämä osoitteet ovat erilaiset ja varsinkaan,
jos vastaanottajan osoite on ilmaisosoite (esim. gmail). Se tarkoittaa: "Rahat pois ja pakoon".
Naisten nimet ansaposteissa ovat suosittuja, koska miehillä helposti, ainakin järki seisoo, kun nainen ottaa yhteyttä. Sotilasarvokaan ei haittaa. Kessu tosin ei ole paljon mikään.


DOMANNIMIKYSELY KERTOO AIVAN MUUTA KUIN LÄHETTÄJÄ
Lähettäjäosoite saattaa olla varastettu? Vain tosipöljä konna lähettelee anspostia omasta osoitteestaan.

domain: optikkrouman.cz

contact: SB:KROUMAN-CZ
name: Petr Krouman
address: Merhautova 77
address: Brno
address: 61300
address: CZ
registrar: REG-IGNUM
created: 27.05.2004 16:15:00
changed: 15.05.2018 21:32:00

contact: CEKIT-CZ-MARECEK
name: Martin Mareček
address: Královopolská 3052/139
address: Brno
address: 61200
address: CZ
registrar: REG-IGNUM
created: 02.01.2006 16:45:00
changed: 15.05.2018 21:32:00

nsset: NSS:CEKIT-CZ:1
nserver: ns2.cekit.net
nserver: ns.cekit.cz (83.167.234.126)
tech-c: SB:CEKIT-CZ
tech-c: CEKIT-CZ-MARECEK
registrar: REG-IGNUM
created: 01.10.2007 02:00:00
changed: 10.10.2009 18:05:34

contact: SB:CEKIT-CZ
org: čekit s.r.o.
name: čekit s.r.o.
address: Královopolská 3052/139
address: Brno
address: 61200
address: CZ
registrar: REG-IGNUM
created: 10.08.2001 22:13:00
changed: 15.05.2018 21:32:00

ANSALINKKI Google haussa

Google ei pysty takaamaan hakujen turvallisuutta. Se kerää haittasivuista ilmoituksia mutta niitähän tulee aina uusia kuin sieniä sateella.
Törmäsin juuri yhteen, hakutulosten joukkoon päätyneeseen haittasivuun joka ilmoitti palkinnosta ja pyysi osallistumaan - ikäänkuin - "FireFox käyttäjäkyselyyn". ÄLÄ osallistu. Siinä kerätään henkilötietoja. Kyselijä EI ole FireFox vaan hakkeri joka kerää henkilötietoja rikokselliseen toimintaan - ikäänkuin - palkinnon toimittamista varten. ÄLÄ anna tietojasi. Toisaalta mistä tahansa verkon linkistä saattaa putkahtaa koneellesi haittaohjelma. Jos tällaisen, epämääräisen sivuvierailun jälkeen, koneellesi ilmaantuu ikkuna, jossa pyydetään lupaa asentaa jokin apuohjelma joka on aivan välttämätön, tai -ikäänkuin- päivitys johonkin sinulla jo olevaan ohjelmaan. ÄLÄ hyväksy asennusta. Jos epäilet, että jokin ohjelmasi tarvitsee päivittämistä, mene asianomaisen ohjelmistotoimittajan omalle sivulle ja lataa ohjelma sieltä.


Palvelin, jolle linkki johti, on kyselyn mukaan erittäin "hämäräperäinen" omistukseltaan ja domainnimi sijaitsee tunnetulla, spämmereiden suosimalla ilmaissivustolla "cloudflare.com":

Domain name: junekesq.gq
Status: registered

Domain nameservers:
jocelyn.ns.cloudflare.com
seth.ns.cloudflare.com

Tuolta palvelinsivulta ponnahti seuraava ikkuna, vielä hämnäräperäisempään osoitteeseen:
http://sweeps0074.fromfunny28.live/6447262640/?u=4xfkaeg&o=8mrpkza&t=slayer&f=1

Domannimikysely tuotti yhtä laihan tuloksen ja nimi osoitti jälleen spämmereiden hyödyntämälle ilmaispalvelimelle "cloudflare.com":

% The following information is based on the Domain Name System (DNS)

Domain name: fromfunny28.live
Status: registered

Domain nameservers:
hans.ns.cloudflare.com
molly.ns.cloudflare.com