This Blog contains information about suspicious material delivered in Web or by email. The content is in Finnish but as far I have seen, most of the visitors come from all around the world. In most cases from Italy, USA and Russia. Maybe you use browser translators? Hope you will understand the translated content. This Finnish version is important because there are several English pages telling about these same problems but just few in Finnish.
torstai 4. huhtikuuta 2019
Kävisitkö kauppaa epämääräisen yrityksen kanssa?
Firma haluaisi tilata minulta "jotakin"? Älytön ansalogiikka mutta ilmeisesti joku onneton yrittäjä tähänkin lankeaa. Kyseessä on vähintäänkin tietourkinta ja ID varkausyritys ja rahastus.
Ilmeisesti, JOS sinulla on jokin firma ja sillä jokin tuote, tämä rikollinen tilaa todennäköisesti tuotettasi ja jättää sen maksamatta.
Kun yritystä ei verkosta löydy ja se käyttää ilmaisosoitetta (.gmail) e-mailissaan, ei firma ole millään tasolla luotettava.
Kirje on kaiken lisäksi lähtenyt postipalvelimelta joka sijaitsee Cap Kaupungissa Etelä-Afrikassa, eikä suinkaan Turkissa. Alkuperäisen postipalvelimen reksiteritiedoista ei ilmene domainin omistajasta tietoja lainkaan.
En suosittele minkäänlaista yhteydenottoa tällaiseen firmaan tai henkilöön.
-----------------------------------------KIRJE------------------------------------------
Good day,
I'm Asilui Kurtulus from KELOMS GLOBAL TRADES TURKEY.
We got your contact through our research on web and we are interested in making a large order from your company.
We sincerely hope to establish a long-term business relationship with your esteemed company if your
products are of good quality.
Please send us the below information's to our office Email: kelomsglobaltrades@gmail.com
1). Best FOB Prices with clear photos of your latest catalog if available.
2). Lead-time.
3). Payment terms ( LC or TT ).
We hope to receive your quick reply as to enable us proceed accordingly.
Best Regards,
Asilui Kurtulus
KELOMS GLOBAL TRADES TURKEY
kelomsglobaltrades@gmail.com
International Sales and Marketing Manager
Address : Dudullu OSB Imes San. Sit. 405 Sok. No:1 Zip Code : 34776
Umraniye/Istanbul/Turkey
Mobile :+90506 272 14 54 Office:+90216 476 40 01 Fax:+90216 476 40 02
© Copyright, 2019, KELOMS GLOBAL TRADES ve Kauçuk San ve Tic AS Imes Sanayi Sitesi D Blok 405 Sok No:1
Umraniye Istanbul 34776 Turkey
----------------------------------------------------------------------------------------
perjantai 29. maaliskuuta 2019
LIDLn tai ZALANDOn lahjakortti joka tietää ikävyyksiä
Näitä lahjakortti kilpailuja ja lahjoituksia ei kannata noteerata. Nämäkin tulivat Panamasta ja linkki olisi vienyt samaan maahan. Lähettäjän niminen firma "MTRAK" on "autojen seuranta" -palveluja myyvä yritys ja sillä ei ole ".info" domannimeä, sen sijaan sillä on ".co.uk" domannimi. Huijjarilla ja tällä yrityksellä ei ole mitään tekemistä keskenään ja kaikkein vähiten tekemistä sillä on LIDL:in kanssa.
Kyseessä näyttäisi olevan ainakin henkilötietojenkalastus yritys eli ID varkaus.
------------------------KIRJE-----------------------
(TÄSSÄ OLI ENSIN KUVA - kuvat kannattaa estää selainasetuksissa, ne ilmaiseat spämmerille, että olet avannut sähköpostin, koska ne haetaan palvelimelta, kun avaat sähköpostisi. Tämä osoittaa, että osoitteesi on toimiva)
TDG Media, Van Eeghenstraat 10, 1031 Amsterdam.
|
||||||
---------------------------------------------------------
Klikkaa tästä
|
LÄHETTÄJÄN DOMANNIMITIEDOT eivät kerro mitään oleellista, paitsi, että kyseessä on Panamaan rekisteröity domannimi mutta omistavasta firmasta ei ole tietoja NameCheap on lähes ilmaisia domannimiä kauppaava firma. Nimipalvelin on myös "halpis" palvelimella. Näitä verkkorikolliset hyödyntävät.
Domain Name: MTRAK.INFO Registrar
Registrar URL: www.namecheap.com
Updated Date: 2019-03-16T20:34:41Z
Creation Date: 2019-01-15T18:42:58Z (erittäin uusi domannimi)
Registrar: NameCheap, Inc
Reseller:
Registrant Organization: WhoisGuard, Inc.
Registrant State/Province: Panama
Registrant Country: PA
Name Server: BAYAN.NS.CLOUDFLARE.COM
Name Server: EMILY.NS.CLOUDFLARE.COM
POSTIPALVELIN on yhtä blankko tiedoiltaan. Sama spämmeri omistaa ilmeisesti molemmat
Domain Name: GOJMS.INFO
Registry Domain ID: D503300000129259704-LRMS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: www.namecheap.com
Updated Date: 2018-11-01T06:51:21Z
Creation Date: 2018-08-05T18:41:33Z (melko uusi domannimi)
Registry Expiry Date: 2019-08-05T18:41:33Z
Registrar Registration Expiration Date:
Registrar: NameCheap, Inc
Registrar IANA ID: 1068
Reseller:
Registrant Organization:
Registrant State/Province: Panama
Registrant Country: PA
Name Server: BAYAN.NS.CLOUDFLARE.COM
Name Server: EMILY.NS.CLOUDFLARE.COM
torstai 28. maaliskuuta 2019
GOOGLE FOUNDATION 2019 GRANTS
Tämä onnittelukirjeansa on saapunut osoitteesta:
Received: from thor.missal.pr.gov.br From: "Google.org" <gabinete@missal.pr.gov.br>Thor viittaa salattuun verkkoon mutta ei välttämättä merkitse tässä alidomannimessä mitään. Tosin tuosta osoitteesta edellen ohjattu linkki saattaa kiertää Tor-verkon kautta. Merkittävin osuus löytyy tietysti "gov.br" päätteestä.
Se kertoo, että domannimi kuuluu Britanian valtiolliselle toimijalle ja on ilmeisimmin, näin ollen hakkeroitu osoite tai palvelin jolle on rakennettu alidomannimiä, tai kaapattu spämmäys-käyttöön niitä käyttäviä e-mailosoitteita.
Vastausosoite menisi jälleen spämmereiden suosimaan gmail - ilmaisosoitteeseen:
Reply-To: burgedykes@googlemail.com
Mitä verkko tietää osoitetyypistä: googlemail.com:
What is the difference between @gmail.com and @googlemail.com ...
Tämä tarkoittaa lyhyesti, että spämmääjällä on käytössään 10-15 kpl erilaista e-mail identitettiä varioimalla omaa gmail-postiosoitetta ja kaikki johtavat hänen tililleen.
Kun tili on ilmainen, sen voi hylätä heti, kun tilanne "kuumenee" kärähtämisvaara-asteelle.
Googlen nimissä on hieman nokkelampikin ansa mutta toistaiseki en ole itse sellaista saanut: https://www.is.fi/digitoday/tietoturva/art-2000005053338.html
Laitoin poikkeuksellisesti itse kirjeen tänne loppuun, koska sen "potaska" oli niin järkyttävän pitkä.
Kyseessä on selkeä ID varkausyritys. Henkilötietosi urkitaan "Googlen nimissä" rikolliseen käyttöön.
------------------------------------KIRJE-----------------------------------
Google org
1-13 St Giles High Street
London WC2H 8AG
United Kingdom
Website: www.google.org
Our Ref: UK/019-11223/GFG
GOOGLE FOUNDATION 2019 GRANTS
We wish to congratulate you on this note for being selected as a major customer this year. This promotion was set-up to encourage active users of Google search engine and the Google ancillary services and confirmed by our co-sponsors Visa*/MasterCard* International. Google earns its profit mainly from advertising using their own Gmail, Gala, Sify e-mail services, Google Maps, Google Apps, Orkut social networking, You Tube video sharing, Google search engine and Google ancillary services which are all offered to the public for free. EACH YEAR, GOOGLE DONATES One Hundred Million United State Dollars IN GRANTS, and One Billion United State Dollars IN PRODUCTS.
Hence we do believe with your grant, you will continue to be active and patronize Google search engine. Google is now the biggest search engine Worldwide and in an effort to make sure that it remains the most widely used search engine, we ran an online e-mail beta test which your email address won Two Million Four Hundred and Fifty Thousand Great British Pound Sterling (£2,450,000 GBP). We wish to formally inform you that you have successfully passed the requirements, statutory obligations, verification, validations and satisfactory report test conducted to all on-line winners. A bank draft of Two Million Four Hundred and Fifty Thousand Great British Pound Sterling (£2,450,000 GBP) will be issued in your name by Google Foundation Board (UK).
Furthermore, your details falls within our UK representative office as indicated in our database and your grant will be released to you from our UK regional office in London United Kingdom.
You are required to Contact Google Foundation Board (UK), using below contact details for the documentation and processing of your grant.
CONTACT DETAILS
Name: Mr. Burge Dykes
Email: burgedykes@googlemail.com
Do e-mail the Foundation Board office at once with the Verification and Funds release form below for validation of your grant. You are also advised to contact our Google Payment Coordinator (Mr. Burge Dykes via the above email) with the following details below to avoid unnecessary delay and complications.
MANDATORY VERIFICATION AND FUNDS RELEASE FORM
-Residential Address:
-Tel (Mobile):
-Nationality/Country:
-Full Name:
-Age/Sex:
-E-mail Address:
-Occupation/Position:
-What is your comment on Google Foundation?
Google values your right to privacy! Your information is 100% secured and will be used exclusively for the purpose of this grant only.
Note: This is a FOUNDATION GRANT not a LOTTERY. Google is not into LOTTERY.
For security reasons, you are advised to keep your winning information confidential till your claims are processed and your money remitted to you. This is part of our precautionary measure to avoid double claiming and unwarranted abuse of this program by some unscrupulous elements. Please be warned!
Congratulations from the Staffs & Members of Google and Google Foundation Board.
Sincerely,
Jacquelline Fuller
Director
©2019 Google Corporation
Powered by Google
perjantai 22. maaliskuuta 2019
Erilainen PRISMA-ansa Panamasta
----------------------------KIRJE-------------------------------
Tarvitsemme palautetta
Tarvitsemme palautetta jotta voimme parantaa kauppoja, kiitokseksi voit valita (1) ilmaisen lahjan valikoimastamme, säästä jopa 95% |
Lunasta lahja |
----------------------------------------------------------------
Lähettäjän e-mailosoite vie jälleen Panamaan.
Samoin tuo poistettu linkki olisi mennyt samaan maahan.
torstai 21. maaliskuuta 2019
DHL:n yritysgrafiikalla "kuvitettu" pommikirje
Jos odotat DHL lähetystä:
1) DHL lähettää suomaliselle asiakkaalleen suomenkielisen viestin.
2) voit tarkistaa lähetyksen aitouden DHL:n sivulta tuolla lähetyskoodilla. Jos koodi ei anna hakutulosta, kirje on pommi. ÄLÄ missään tapauksessa avaa PDF liitetiedostoa.
Lue edelleen analyysi kirjeen alapuoleta (mm. kirje on kuva, eikä todellinen kirje)
Kirjeen headerin analyysiä alla:
Received: from [127.0.0.1] (port=57502 helo=ganesha.w2imailservers.net)
by ganesha.w2imailservers.net with esmtpa (Exim 4.91)
(envelope-from <notify@dhl.com>)
TÄMÄ KOHTA KERTOO, ETTÄ KIRJEEN DHL OSOITE ON SAATU "PEILAAMALLA" SE DHL:N PALVELIMELTA (envelope)
X-Get-Message-Sender-Via: ganesha.w2imailservers.net: authenticated_id: surbhit@mrscorporation.com
X-Authenticated-Sender: ganesha.w2imailservers.net: surbhit@mrscorporation.com
AUTENTIKOITU LÄHETTÄJÄ ON mrscorporation.com
MRS:N VERKKOSIVU KERTOO: We are presently delivering services to a portfolio of public and private sector organizations.
With office in Delhi and branch associates in Ahmedabad, Bhopal, Chandigarh, etc., we are fast developing a pan-India reach. ELI KIRJEEN TODELLINEN LÄHETTÄJÄ ON JOSSAKIN PÄIN TÄTÄ ORGANISAATIOTA TAI TODENNÄKÖISEMMIN TÄMÄN ORGANISAATION JOKU KONE ON KAAPATTU
LIITETIEDOSTO "PDF" PÄÄTTEELLÄ VOI SISÄLTÄÄ HAITTAOHJELMAN
Content-Type: application/pdf;
name=DHL_AWB#280991007.pdf
.PNG KERTOO, ETTÄ KYSEESSÄ ON KUVA. TUO YLLÄ OLEVA DHL:N KIRJE ON KUVANA. KIRJE EI SIIS OLE MYÖSKÄÄN AITO.
Content-Disposition: inline;
filename=Dhl.png;
KOSKA LINKIT EIVÄT AKTIVOIDU KOMMENTEISSA siirrän kommentissani mainitsemat linkit tänne artikkeliin:
Aiheesta kirjoitti MikroBitti:
https://www.mikrobitti.fi/uutiset/haittaohjelma-hyokkaa-nain-tietosi-varastetaan/ff34ef99-4f66-359c-b3ba-5332ab3e9b30
IS kommentoi 8.8.2001 DigiTodayn artikkelia, joka varoittaa löytyneestä PDF viruksesta:
https://www.is.fi/digitoday/art-2000001346106.html
torstai 14. maaliskuuta 2019
Warren lahjoittaa rahastusansan
Onpa mennyt ihan ohi miljoonat taas. Nyt on menossa "viimeinen varoitus" mutta tuskimpa viimeinen ansaviritelmä. Vastauskirje pyydetään, jotta jekutusta saataisiin jatkettua eteenpäin.
Taas on luvassa runsaita maksuja, jotta lahjoitus saataisiin tililleni.
------------------------------KIRJE------------------------------
Hello, I sent you email with donation details, please let me know it you receive it. Thank you. W.B.
-----------------------------------------------------------
Tässä alla lähettäjä ja vastauspostitieto venäläiseen ilmaisosoitteeseen:
From: "Warren Foundation"<warren.org@contractor.net>
Subject: Still waiting for your response
Mutta sinne siis ei kuitenkaan toivota vastauksen menevän, vaan Venäjälle, tai kenties Romaniaan?
torstai 7. maaliskuuta 2019
BMW olisi tulossa. Rahti pitää tietenkin maksaa
Vaikka e-mail näyttää olevan tulossa osoitteesta:
From: Dr. Norbert Reithofer<info@bmw.org>Ei kannata olla sen toiveikkaampi kirjeen aitoudesta. Tämä on huijjausta. Yksikään vastuullisessa asemassa oleva BMW:n pomo ei lähetä firmansa "info" osoitteella e-mailia kenellekään, eikä myöskään laita palaute- tai yhteydenotto-osoitteekseen ilmaisosoitetta..
----------------------------KIRJE-------------------------------------------
Dear BMW Enthusiast, This is to inform you that you have been selected for a prize of a brand new 2018 Model, BMW 7 Series Sedan 750LI Car and a Check of $10,000,000.00 USD (Ten Million United States Dollars) which include IPhone S, and Apple Laptop from international programs held at the first section of 2018 in the UNITED STATES OF AMERICA. The selection process was carried out through random selection in our computerised email selection system (ESS) from a database of over 250,000 email addresses drawn from all the continents of the world which you were selected. The BMW Lottery is approved by the British Gaming Board and also Licensed by the International Association of Gaming Regulators (IAGR). To begin the processing of your prize you are to contact our fiduciary claims department for more information as regards procedures to claim your prize. Agent Name: Mr. Jones Smith Agent Email: agent.jonessmithxxxxx@gmail.com Call or Text: ( +1-669-257-3264 ) Contact him by providing him with your secret pin code Number BMW:2551256008/18. You are also advised to provide him with the under listed information as soon as possible: 1.Name in full. 2.Address. 3.Nationality. 4.Age. 5.Occupation. 6.Phone/Fax. 7.Present Country. 8.Email address. 9.pin code Number BMW:2551256008/18 NOTE: Delivery cost is mandatory in claiming your winning. You are advised to furnish Mr. Jones Smith, with your correct and valid details. Also be informed that your grand prize is valued $10,000,000.00 USD. The only money you will send to him is $550 for the delivery and Approval Payment Certificate from IMF. Dr. Norbert Reithofer. THE BMW SALES DIRECTOR PROMOTIONS BMW SALES LOTTERY DEPARTMENT UNITED STATES OF AMERICA
sunnuntai 24. helmikuuta 2019
LIPPU-HUIJJAREISTA varoitetaan
perjantai 22. helmikuuta 2019
Tässä kirjeessä on liiteansa
Katso kirjeen tekstin alta mitä liite sisältäisi.
------------------------------KIRJE-------------------------------------
Good day! We have wired your transfer today as advised by our client who is your customer and it was returned. Please review the attached payment copy to see what needs to be corrected and advise ASAP. Await your reply. SAM
__________________________________________________
------=_NextPart_000_0015_01C2A9A6.03B8ADD6 Content-Type: application/octet-stream; name="scan.7z" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="scan.7z"
Tässä osassa kirjeen lähdekoodia kerrotaan selkeästi, että liite on "applikaatio" eli ohjelma ja se on
binäärikoodattuna kirjeen sisälle. Kyseessä on ZIP koodattu tiedosto (7z-ilmaisohjelmalla) joka saattaa sisältää aivan mitä tahansa. eli myös tuon mainitsemani "haittaohjelman".
Tämä on ihan varma pommi - eli virus tai muu haittaohjelma. Tämän voisi virustarkistaa mutta en vaivaudu edes siihen näin selvässä asiassa (virusturvaohjelmatkaan eivät aina pysy ajan tasalla).
Liitelinkkiin EI tule koskea. Koko kirje roskikseen heti.
Jos edelleen haluat uskonvahvistusta, tässä headeriosassa löytyy tietoa mistä kirje on peräisin. Kun lähettäjä ja "reply" osoite on kaksi erilaista ilmaisosoitetta, ei kyseessä ole varteenotettava yritys. Minulla ainakaan ole mitään tekemistä tällaisten firmojen kanssa.
"envelope-from" osa kertoo myös, että lähettäjäosoite ei ole oikean lähettäjän osoite, vaan osoite on varastettu "bounchaamalla". Tätä tekniikkaa käytetään usein juuri gmail osoitteisiin. Myös luotettavien firmojen osoitteita "peilataan" tällä tekniikalla "ikäänkuin" lähettäjäosoitteeksi.
gunimo.com näyttäisi olevan kiinalainen toimija, jonka palvelinta on tässä spämmi-lähetykseen käytetty.
:
Received: from [23.227.207.163] (helo=User) by gunimo.com with esmtpa (Exim 4.82) (envelope-from <samersh@gmail.com>) id 1gwljl-0002Kp-51; Thu, 21 Feb 2019 10:37:54 +0000 Reply-To: <aparanecsh@mail.com> From: "ALPHA EXCHANGE COMPANY"<samersh@gmail.com>
torstai 21. helmikuuta 2019
Peliriippuvuus-ansat
Osoitteet on varasrettu tai ostettu laittomasti kerätyistä osoiterekistereistä.
En ole luovuttanut tälle firmalle oikeutta käyttää sähköpostiosoitettani markkinointitarkoituksiin tai ollut edes koskaan tämän firman asiakas, tai missään tekemisissä sen kanssa.
Kirjeen teksti saattaa pitää paikkansa mutta tarkoitus ilmeisesti onkin saada peliriippuvainen kohde ansaan (tai sitten jokin muu vielä vaarallisempi tarkoitus?)
Kirjeen alla kommentteja miksi epäilen vakavasti kirjeen tarkoitusperää.
Valittujen henkilöiden nimilista vaihtelee eri kirjeissä, niillä tuskin on mitään tekemistä todellisten, tämän nimisten, ihmisten kanssa. Nimesi puuttuu listalta, koska spämmäysohjelma ei osaa sitä siihen e-mailosoitteestasi poimia.
---------------------------------KIRJE-----------------------------------
Aihe: Sinut on viimeinkin varmennettu
Lähettäjä: Palvelukeskus
Hei, !
Valinta osui sähköpostiosoitteeseesi: xxxxxxxxxxx@elisanet.fi
Olemme saaneet kunnian antaa sinulle 1 200 euron arvoinen etu.
Tänään valittiin vain 5 onnekasta, jotka saivat kyseisen mahdollisuuden!
Etu antaa sinulle myös 200 ILMAISKIERROSTA Casumolle.
Valitut henkilöt:
1. Kristiina Virtanen
2.
3. Antti Lehtonen
4. Mikael Koskinen
5. Tiina Mäkinen
Sinun ei tarvitse tehdä talletusta saadaksesi ensimmäiset 20 ilmaiskierrosta!
This message is sent to xxxxxxxxxx@elisanet.fi, . This message is for the designated recipient only and may contain confidential and/or privileged information. If you have received it in error, please delete it and advise the sender immediately. You should not copy or use it for any other purpose, nor disclose its contents to any other person.
Unsubscribe
Kirje on lähetetty osoitteesta:
From: "Palvelukeskus" <no-reply@sinunvoitot.com>DOMANNIMIKYSELY KERTOO että kyseessä on vanhentunut osoiterekisteröinti ja maatunnus SC viitta Seychellien saarelle. ELI veroparatiisiin. Koska lähettäjän osoite on vanhentunut osoite saattaa olla käytössä vain harhautustarkoituksessa (kirjettä ei ole oikeasti lähetetty tästä osoitteesta).
Domain Name: SINUNVOITOT.COM Registrar Registration Expiration Date: 2019-11-25T04:01:13Z Registrar Abuse Contact Email: Registrar Abuse Contact Phone: Registrant Organization: eMarketing Holdings Limited Registrant State/Province: Mahe Registrant Country: SCEtu-linkki vie puolestaan Casumo pelikasinon osoitteeseen, jossa on edelleenohjaus, eli ei ole minkäänlaista tietoa, minne linkki todellisuudessa vie.Linkin päässä saattaa olla vaikkapa virus tai henkilötietojen keräyslomake. Vaikka domannimi osoittaa, että kyseessä on mahdollisesti tavoitettavissa oleva yritys, en koskisi linkkiin. Kirjeen lähetysosoitteen epäluotettavuus ja kirjeen sisältö viittaa siihen, että kaikissa tapauksissa on kyseessä ilmeinen asiakkaan harhauttaminen:
https://ads.casumoaffiliates.com/redirect.aspx?pid=3D859752&bid=3D1546=DOMANNIMITIEDUSTELU kertoo, että casumosffiliates domannimen on rekisteröinnyt
ruotsalainen yritys. Casumo on kuitenkin maltalainen casinopeliyritys joten tämä on Ruotsissa toimiva haarakonttori.
:
Domain Name: casumoaffiliates.com Registrar: PortsGroup AB (hosting service - ylläpitäjä) Registrar Abuse Contact Email: Registrar Abuse Contact Phone: Registrant Organization: Casumo Services Ltd. Registrant State/Province: Registrant Country: SE Name Server: HUGH.NS.CLOUDFLARE.COM
Nimipalvelin on tuo huonomaineinen ilmaispalvelitilaa tarjoava CloudFlare.