Edellinen blogiteksti kertoi "ewe.net" osoitteesta saapuneesta huijauskirjeestä.
Tämä plavelin on ilmeisen saastunut spämmääjistä joiden kirjeiden tarkoitus vaikuttaa olevan pääsääntöisesti "phishing" eli henkilötietokalastelu. Pidemmälle vietynä sen kirjeiden avulla saatetaan udella myös pankkitietoja tai luottokorttitietoja. Näitä tietoja EI tule antaa kenellekään verkkotoimijalle, sen todellisia aikeita ja taustoja selvittämättä. Poikkeuksen tekee oma pankkisi. Tarkista joka kerta myös pankissa asioidessasi, että sen osoite on oikein ja juuri se oikea ja virallinen.
Nyt kiertävissä roskaposteissa on sinun nimesi nostettu robotin kopioimana "lähettänimeksi" ja tämä on jo suuri varoitusmerkki kirjeen aikeista: sinun.nimesi <tim.meier1@ewe.net>. Tuota Tim Meiriä ei kannata etsiä, se nimi on tekaistu ja sillä on peitetty kirjeen todellinen lähettäjä.
Header analyysi on sama kuin eilisessä blogitekstissä: "laihdutatko-lompakkoasi", eli ihan puhtaasta huijausyrityksestä näissä kirjeissä on kyse. Linkit vievät tuntemattomille palvelimille ja tietourkintaa varten räätälöityyn haittaohjelmaan.
Analyysiä löytyy:
https://vaarallinenweb.blogspot.com/2020/03/laihdutatko-lompakkoasi.html
This Blog contains information about suspicious material delivered in Web or by email. The content is in Finnish but as far I have seen, most of the visitors come from all around the world. In most cases from Italy, USA and Russia. Maybe you use browser translators? Hope you will understand the translated content. This Finnish version is important because there are several English pages telling about these same problems but just few in Finnish.
perjantai 13. maaliskuuta 2020
torstai 12. maaliskuuta 2020
Lahjoitusansa "Donation"
Huijariko lahjoittaisi sinulle jotain? Tuskinpa vaan.
Hyvin tyypillinen jallitus jossa sinulta luultavasti vastauspostissa kysellään henkilötietoja tai pankkitietoja. ÄLÄ vastaa kirjeeseen vaan heitä se roskiin. Tuo "luottamuksellisuus" teksti on puppua. Tuossa ei ole mitään luottamukisellista tietoa kenellekään jaossa mihinkään suuntaan.
Alinna analyysiä kirjeen osoitteista.
-----------------------------------------KIRJE----------------------------------------
NOTICE OF CONFIDENTIALITY: This electronic communication may contain confidential information intended solely for school business by the individual to whom it is addressed. Any disclosure (verbal or in print), copying, distributing, or use of this information by an unauthorized person is prohibited, and may violate Spring Branch ISD Board Policy FL (Legal), the Family Education Rights and Privacy Act (FERPA). Should you receive this electronic communication in error, please notify the sender immediately. Thereafter, please delete the message.
-----------------------------------------------------------------------------------------
Kirje on "ikäänkuin" saapunut osoitteesta: "Steven.Strohmann@springbranchisd.com". Kun tarkastellaan lähemmin kirjeen headerosuutta, näyttää siltä, että heidän palvelintaan ja kensties varastettua e-mailosoitettaan on kikrjeen lähettämisessä todellakin hyödynnetty mutta kirjeen vastausposti - eli se ANSA - menee muualle, gmail-ilmaisosoitteeseen, kuten arvata sopii.
Hyvin tyypillinen jallitus jossa sinulta luultavasti vastauspostissa kysellään henkilötietoja tai pankkitietoja. ÄLÄ vastaa kirjeeseen vaan heitä se roskiin. Tuo "luottamuksellisuus" teksti on puppua. Tuossa ei ole mitään luottamukisellista tietoa kenellekään jaossa mihinkään suuntaan.
Alinna analyysiä kirjeen osoitteista.
-----------------------------------------KIRJE----------------------------------------
Donation offer to you. Reply back for more details.
NOTICE OF CONFIDENTIALITY: This electronic communication may contain confidential information intended solely for school business by the individual to whom it is addressed. Any disclosure (verbal or in print), copying, distributing, or use of this information by an unauthorized person is prohibited, and may violate Spring Branch ISD Board Policy FL (Legal), the Family Education Rights and Privacy Act (FERPA). Should you receive this electronic communication in error, please notify the sender immediately. Thereafter, please delete the message.
-----------------------------------------------------------------------------------------
Kirje on "ikäänkuin" saapunut osoitteesta: "Steven.Strohmann@springbranchisd.com". Kun tarkastellaan lähemmin kirjeen headerosuutta, näyttää siltä, että heidän palvelintaan ja kensties varastettua e-mailosoitettaan on kikrjeen lähettämisessä todellakin hyödynnetty mutta kirjeen vastausposti - eli se ANSA - menee muualle, gmail-ilmaisosoitteeseen, kuten arvata sopii.
From: "Strohmann, Steven" <Steven.Strohmann@springbranchisd.com>
Subject: Donation
Reply-To: "bdoran786@gmail.com" <bdoran786@gmail.com> (tänne tuntemattoman käyttäjän
ilmaisosoitteeseen menisi vastauspostisi)
Laihduttaiisitko lompakkoasi?
Tähän kirjeeseen vastaaminen tai sen linkin klikkaaminen saattaisi korkeintaan laihduttaa lompakkoasi. Kirjeessä on vain yksi linkitetty lause.
Linkki ja lähetysosoite on analysoitu kirjetekstin jälkeen.
------------------------------------KIRJE---------------------------------
Aloita maailman kehittyneimmän laihdutustavan käyttö!
-----------------------------------------------------------------------------
HEADER LINKKEJÄ ANALYSOITUINA
Linkki ja lähetysosoite on analysoitu kirjetekstin jälkeen.
------------------------------------KIRJE---------------------------------
Aloita maailman kehittyneimmän laihdutustavan käyttö!
-----------------------------------------------------------------------------
HEADER LINKKEJÄ ANALYSOITUINA
Received: from shop.davidoffers.info (shop.davidoffers.info [208.71.173.115]) (davidoffers.info Website statistics and traffic analysis ... seuraa esimerkiksi näiden huijauskirjeiden vastetta mutta ei kontrolloi kirjeiden laillisuutta. Katso alimalla rivillä kirjeen jäljittävä "nolla-kuva". Huijarille on arvokasta tietoa, että kirje on mennyt perille ja osoitteesi on validi) X-Apparently-To: jessicasweety999@yahoo.com; (ilmaisosoite) X-Originating-IP: [209.85.166.195] (Googlen koneosoite) for <jessicasweety999@yahoo.com>; (ilmaisosoite)
From: sinun.nimesi <tim.meier1@ewe.net> (verkossa tämä "ewe.net" osoite varoittaa "Varo internet-rikollisten kalastelusähköposteja".)KIRJEEN SISÄLLÖN LINKKEJÄ
<https://s.free.fr/bnPcU5eH> (Osoite on ilmaista palvelintilaa tarjoavalle palvelimelle - nämä palvelimet ovat usein huijareiden käytössä) Abmelden <http://chdelibars.duckdns.org/unsubs/> (Tämä linkki vie IP osoitteeseen joka on vaihtuva, eli huijarin konetta ei välttämätättä löydy) <a href=3D"http://bit.do/fzgL5"><font color=3D"red" size=3D"60">Aloita maailman kehittyneimmän laihdutustavan käyttö! (BIT:DO tarkoittaa piiloitettua linkkiä, eli ei ole suoraa tietoa mihin osoitteeseen tämä linkki veisi) <img src='http://davidoffers.info/app/redirection/open.php? id_campaign=4961&id_list=380&id_user=13143' width='0' height='0'/> (TÄMÄ LINKKI LÄHETTÄÄ TIEDON; ETTÄ KIRJE ON SAAPUNUT PERILLE.)
Tunnisteet:
bit.do,
chdelibars.duckdns.org,
davidoffers.info,
ewe.net,
jessicasweety999@yahoo.com,
kehittyneimmän,
käyttö,
laihdutustavan,
maailman,
s.free.fr,
tim.meier1@ewe.net
keskiviikko 11. maaliskuuta 2020
FBI ei avusta verkossa huijattuja
Tämä on henkilötietovarkaus. FBI:n nimissä on saapunut vastaavia kirjeitä myös aikaisemmin ja olen niistä varottanut. Kertaus ei ole pahitteeksi.
Nimesi ja henkiklötietosi varastetaan seuraaviin verkkohuijauksiin. Heitä kirje roskikseen.
Lähettäjä:FBI office <enquiry@dutasuryasukses.com> (ei ole FBI vaan hämäystarkoituksessa varastettu osoite josta verkko kertoo mm. "Duta Surya Sukses sets a new milestone for the island's Gas Industry". Ei vaikuta FBI:ltä, vaikka peiteopertaatioita tekisikin peitenimillä)
Aihe: Your Urgent Response is needed (tyypillisesti huijarilla on kiire, jotta et ehtisi miettimään mistä oikeasti onkaan kysymys)
Headerista selviää, että lähetys on lähtenyt muualta kuin mitä lähetysosoite näyttää:
Kirje lupaa sinulle korvausta verkkohuijauksista mutta se on siis täyttä puppua. En ole tähän päivämäärään mennessä kuullut, että mikään rehellinen organisaatioi olisi jaellut korvauksia tai avustuksia verkkohuijatuille.
---------------------------------------EMAIL------------------------------------------
Nimesi ja henkiklötietosi varastetaan seuraaviin verkkohuijauksiin. Heitä kirje roskikseen.
Lähettäjä:FBI office <enquiry@dutasuryasukses.com> (ei ole FBI vaan hämäystarkoituksessa varastettu osoite josta verkko kertoo mm. "Duta Surya Sukses sets a new milestone for the island's Gas Industry". Ei vaikuta FBI:ltä, vaikka peiteopertaatioita tekisikin peitenimillä)
Aihe: Your Urgent Response is needed (tyypillisesti huijarilla on kiire, jotta et ehtisi miettimään mistä oikeasti onkaan kysymys)
Headerista selviää, että lähetys on lähtenyt muualta kuin mitä lähetysosoite näyttää:
Received: from [156.96.56.163] (port=52025 helo=User)
by sgvip1.noc401.com with esmtpa (Exim 4.93)
(envelope-from <enquiry@dutasuryasukses.com>) (tämä rivi kertoo,
miten lähettäjäosoite on saatu vaihdettua)
Seuraava rivi kertoo, minne vastauksesi olisi menossa. Ei suinkaan FBI:n, vaan huijarin osoitteeseen.Reply-To: <fbiheadquarters02@gmail.com>"gmail.com" - tekaistu GMAIL ilmaisosoite, tai mikä tahansa muu ilmaisosoite EI ole koskaan luotettava, eikä FBI:n käyttämä.
Kirje lupaa sinulle korvausta verkkohuijauksista mutta se on siis täyttä puppua. En ole tähän päivämäärään mennessä kuullut, että mikään rehellinen organisaatioi olisi jaellut korvauksia tai avustuksia verkkohuijatuille.
---------------------------------------EMAIL------------------------------------------
FBI HEADQUARTERS IN WASHINGTON, D.C
FEDERAL BUREAU OF INVESTIGATION
J. EDGAR HOOVER BUILDING
935 PENNSYLVANIA AVENUE, NW
WASHINGTON, D.C. 20535-0001
We have finally completed an investigation with the help of our
Intelligence Monitoring Network system, Your name and email address was
short listed as one of the victims of internet fraud, that is why we are
contacting you as one of the beneficiaries of this compensation
payment. We do understand what you went through in the hands of these
scammers, but you have to receive this compensation as part of our
effort to protect human rights all over the world.
This is to Inform You that the Federal Bureau Of Investigation (FBI) in
conjunction with the United Nations Compensation Commission (UNCC), has
agreed to pay a compensation of USD$850.000.00 ( Eight Hundred and Fifty
Thousand Dollars Only) to each of the victims of various internet
fraud, who may have lost their hard earned money in the hands of
internet fraudsters all over the world and Africa countries like
Nigeria, Ghana, Benin etc.
If you receive any E-mail from an unknown sender that you don’t understand forward it to these office for proper investigation.
Re-confirm the below to avoid double claim of your fund.
Your Full Name
Your Contact Address
Your Tel/Fax Numbers
Your Occupation
Your Nationality/Country
Age/Gender
NOTE: If You Receive This Message In Your Junk Or Spam It's Due To Your Internet Provider.
Thanks for your understanding as you follow instructions.
Christopher A. Wray
FBI Director.
-----------------------------------------------------------------------------
VASTAAVIA AIKAISEMPIA HUIJAUSYRITYKSIÄ:
YK:n nimissä. UN/IMF ei käytä minkäänlaiseen postitukseen G-mailin ilmaisosoitetta, eikä heillä ole tällaista kampanjaa menossa. Varoitus spämmistä löytyy IMF:n sivulta: https://www.imf.org/external/scams.htm
Edellinen YK:n nimissä tehty yritys oli 2017: https://vaarallinenweb.blogspot.com/2017/12/unites-nations-ei-kayta-g-mailia.html
Myös FBI:n nimissä on vastaavaa yritetty: https://vaarallinenweb.blogspot.com/2019/07/fbi-ansa-kiertaa-jalleen-postilaatikoita.html
Ja seuraava yritys" muka YK:sta": United Nations Headquarters in Geneva
VASTAAVIA AIKAISEMPIA HUIJAUSYRITYKSIÄ:
YK:n nimissä. UN/IMF ei käytä minkäänlaiseen postitukseen G-mailin ilmaisosoitetta, eikä heillä ole tällaista kampanjaa menossa. Varoitus spämmistä löytyy IMF:n sivulta: https://www.imf.org/external/scams.htm
Edellinen YK:n nimissä tehty yritys oli 2017: https://vaarallinenweb.blogspot.com/2017/12/unites-nations-ei-kayta-g-mailia.html
Myös FBI:n nimissä on vastaavaa yritetty: https://vaarallinenweb.blogspot.com/2019/07/fbi-ansa-kiertaa-jalleen-postilaatikoita.html
Ja seuraava yritys" muka YK:sta": United Nations Headquarters in Geneva
keskiviikko 26. helmikuuta 2020
VARO Finnairin kuluttajatutkimusta
Kirje vaikuttaa asialliselta mutta sen lähdekoodi ja siinä esiintyvät verkkonimet, eivät vakuuta ainakaan minua. Kuluttajatutkimus on aina riskialtis, koska niissä kerätään henkilötietoja joiden joutuminen vääriin käsiin on aina suuri riski.
Finnairilta tämä kirje ei ole tullut, eikä sen paluuosoite ole sinne menossa. En antaisi tällaiselle toimijalle henkilötietojani mistään hinnasta. Saattaa tulla kalliiksi.
Meneekö Finnairilla niin kehnosti, että on turvauduttava epämääräisiin toimijoihin, vai onko tämä ihan tavallinen hämäysspämmi ja ID varkausyritys?
Taustalla on tuore, tammikuun 16 päivä rekisteröity domain ja spämmeri käyttää varastettuja email osoitteita (vaikka väittää muuta). En ole koskaan antanut tälle tai vastaville epämääräisille organisaatioille emailosoitettani käyttöön.
Kyseessä on ID eli henkilötietovarkausyritys. Osallisuaksesi "arvontaan" joudut antamaan henkilötietosi firmalle, jonka taustoista ei ole mitään takeita. Jos henkilötietosi menee huijarille, se tarkoittaa runsasta rahanmenoa.
FINNAIR itse varoittaa näistä huijauksista (MTV)
Myös tässä blogissa olen aiemmin varoittanut tästä Finnairin lahjakortti kirjeansasta:
Lähettäjä: ideasworthspreading.eu on tuore domainnimi, eli siitä ei ole kertynyt spämmi raporttia
Domannimi on rekisteröity vain sen pidennystä muuttamalla .net -> .eu mutta rekisteröijä ei ole kuitenkaan sama firma (joka yleensä kertoo ikävyyksistä). Domainnimi on kaiken lisäksi ylläpidossa halpispalvelimella, joka viittaa epämääräiseen liiketoimintaan.
ANALYSOINTIA domannimien taustoista:
".EU means trust" ei ihan päde, ainakaan tässä tapauksessa
ideasworthspreading.net - ilmeisesti se alkuperäinen jonka varjossa ratsastetaan
domainnimi ohjataan edelleen - ted.com-osoitteeseen joka kuuluu USAlaiselle mediafirmalle: TED Conferences LLC (Technology, Entertainment, Design) is an American media organization that posts talks online for free distribution under the slogan "ideas worth spreading"
JA EDELLEEN kirjeen domannimiin:
ideasworthspreading.eu
omistaja Audience Serv GmbH
ideasworthspreading-4u.eu
omistaja Audience Serv GmbH Audience Serv is an international target group specialist founded by David Pikart with offices in Berlin, Munich, Barcelona, Amsterdam, Singapore and Hanoi... (ympäri maailmaa) MUTTA ainutkaan domannimen omistaja ei ole allekirjoittaja "BETTER INFORMATION GROUP LTD". (lukuunottamatta hämäysnimen ja osoitteen yhteydessä olevaa hämäyslinkkiä)
audienceserv.com verkkomarkkinointifirma joka ratsastaa toisen firman nimellä ei kuulosta luotettavalta lainkaan.
domainpalvelin INWX GmbH & Co. KG on halpis nimipalvelun tarjoaja (tarkoittaa hit and run = iske ja pakene tyyppistä touhua)
----------------------------------------KIRJE------------------------------------------
Jos et näe alla olevaa viestiä oikein, ole hyvä Klikkaa tästä (älä klikkaa)
Hei ja onneksi olkoon!
Sinut on valittu mukaan kuluttajatutkimukseen ja nyt sinulla on ainutlaatuinen mahdollisuus saada Finnairin 1000€:n lahjakortti.
Vastaathan vain muutamaan kysymykseen ja tämän jälkeen täytät yhteystietosi. Kiitämme jo etukäteen.
» Klikkaa tästä (älä klikkaa)
Saat tämän sähköpostiviestin rekisteröitymisestä johonkin tarjouksista. Käyttäjä voi milloin tahansa peruuttaa suostumuksensa sähköpostin lähettämiseen (email: hannu.kuukkanen@xxxxxx.fi).
BETTER INFORMATION GROUP LTD.
PO Box 620 132-134 Great Ancoats Street Manchester M4 6DE, England
Company No.: 10543466 | 5d24c34953c43505aff86da3, Director: Cheawchan Nuban, Registered in England
E-Mail: reply@informationgroup.co.uk
Et halua lisää uutiskirjeitä? Klikkaa tästä. (älä klikkaa)
Finnairilta tämä kirje ei ole tullut, eikä sen paluuosoite ole sinne menossa. En antaisi tällaiselle toimijalle henkilötietojani mistään hinnasta. Saattaa tulla kalliiksi.
Meneekö Finnairilla niin kehnosti, että on turvauduttava epämääräisiin toimijoihin, vai onko tämä ihan tavallinen hämäysspämmi ja ID varkausyritys?
Taustalla on tuore, tammikuun 16 päivä rekisteröity domain ja spämmeri käyttää varastettuja email osoitteita (vaikka väittää muuta). En ole koskaan antanut tälle tai vastaville epämääräisille organisaatioille emailosoitettani käyttöön.
Kyseessä on ID eli henkilötietovarkausyritys. Osallisuaksesi "arvontaan" joudut antamaan henkilötietosi firmalle, jonka taustoista ei ole mitään takeita. Jos henkilötietosi menee huijarille, se tarkoittaa runsasta rahanmenoa.
FINNAIR itse varoittaa näistä huijauksista (MTV)
Myös tässä blogissa olen aiemmin varoittanut tästä Finnairin lahjakortti kirjeansasta:
Lähettäjä: ideasworthspreading.eu on tuore domainnimi, eli siitä ei ole kertynyt spämmi raporttia
Domannimi on rekisteröity vain sen pidennystä muuttamalla .net -> .eu mutta rekisteröijä ei ole kuitenkaan sama firma (joka yleensä kertoo ikävyyksistä). Domainnimi on kaiken lisäksi ylläpidossa halpispalvelimella, joka viittaa epämääräiseen liiketoimintaan.
ANALYSOINTIA domannimien taustoista:
".EU means trust" ei ihan päde, ainakaan tässä tapauksessa
ideasworthspreading.net - ilmeisesti se alkuperäinen jonka varjossa ratsastetaan
domainnimi ohjataan edelleen - ted.com-osoitteeseen joka kuuluu USAlaiselle mediafirmalle: TED Conferences LLC (Technology, Entertainment, Design) is an American media organization that posts talks online for free distribution under the slogan "ideas worth spreading"
JA EDELLEEN kirjeen domannimiin:
ideasworthspreading.eu
omistaja Audience Serv GmbH
ideasworthspreading-4u.eu
omistaja Audience Serv GmbH Audience Serv is an international target group specialist founded by David Pikart with offices in Berlin, Munich, Barcelona, Amsterdam, Singapore and Hanoi... (ympäri maailmaa) MUTTA ainutkaan domannimen omistaja ei ole allekirjoittaja "BETTER INFORMATION GROUP LTD". (lukuunottamatta hämäysnimen ja osoitteen yhteydessä olevaa hämäyslinkkiä)
audienceserv.com verkkomarkkinointifirma joka ratsastaa toisen firman nimellä ei kuulosta luotettavalta lainkaan.
domainpalvelin INWX GmbH & Co. KG on halpis nimipalvelun tarjoaja (tarkoittaa hit and run = iske ja pakene tyyppistä touhua)
----------------------------------------KIRJE------------------------------------------
Jos et näe alla olevaa viestiä oikein, ole hyvä Klikkaa tästä (älä klikkaa)
Hei ja onneksi olkoon!
Sinut on valittu mukaan kuluttajatutkimukseen ja nyt sinulla on ainutlaatuinen mahdollisuus saada Finnairin 1000€:n lahjakortti.
Vastaathan vain muutamaan kysymykseen ja tämän jälkeen täytät yhteystietosi. Kiitämme jo etukäteen.
» Klikkaa tästä (älä klikkaa)
Saat tämän sähköpostiviestin rekisteröitymisestä johonkin tarjouksista. Käyttäjä voi milloin tahansa peruuttaa suostumuksensa sähköpostin lähettämiseen (email: hannu.kuukkanen@xxxxxx.fi).
BETTER INFORMATION GROUP LTD.
PO Box 620 132-134 Great Ancoats Street Manchester M4 6DE, England
Company No.: 10543466 | 5d24c34953c43505aff86da3, Director: Cheawchan Nuban, Registered in England
E-Mail: reply@informationgroup.co.uk
Et halua lisää uutiskirjeitä? Klikkaa tästä. (älä klikkaa)
tiistai 25. helmikuuta 2020
Sama Telia-huijari usealla eri sisältötekstillä
Näitä tulee nyt useita päivässä.
Nämä jokainen kirje on huijauksia ja aina koko tekstilkenttä on kuvaa ja yksi ainoa linkki joka vie suoraan ansaan. Näitä saapuu eri osoitteista ja erilaisilla sisällöillä. Yleensä sisltö on vanhoja tuttuja spämmikirjeitä, tai niiden variaatioiota mutta lähettäjäksi on kirjattu aina joku@telia.fi osoite.
HEITÄ TÄLLAISISTA "GENEROIDUISTA" telia.fi OSOITTEISTA TULLEET POSTIT SUORAAN ROSKIIN. Näitä on hankala suodattaa mutta silmäys lähettäjäosoitteeseen riittää toteamaan roskapostin.
WHVL4Fq63qi@telia.fi
hrf7JoRKsfK@telia.fi
aE2EsUTXhWL@telia.fi
u7J5IK3V6YG@telia.fi
KTydUJobNy2@telia.fi
2PRqvxOIXNv@telia.fi
8o4nqBMAHrU@telia.fi
yKhTMQ1gIgx@telia.fi
Nämä jokainen kirje on huijauksia ja aina koko tekstilkenttä on kuvaa ja yksi ainoa linkki joka vie suoraan ansaan. Näitä saapuu eri osoitteista ja erilaisilla sisällöillä. Yleensä sisltö on vanhoja tuttuja spämmikirjeitä, tai niiden variaatioiota mutta lähettäjäksi on kirjattu aina joku@telia.fi osoite.
HEITÄ TÄLLAISISTA "GENEROIDUISTA" telia.fi OSOITTEISTA TULLEET POSTIT SUORAAN ROSKIIN. Näitä on hankala suodattaa mutta silmäys lähettäjäosoitteeseen riittää toteamaan roskapostin.
WHVL4Fq63qi@telia.fi
hrf7JoRKsfK@telia.fi
aE2EsUTXhWL@telia.fi
u7J5IK3V6YG@telia.fi
KTydUJobNy2@telia.fi
2PRqvxOIXNv@telia.fi
8o4nqBMAHrU@telia.fi
yKhTMQ1gIgx@telia.fi
maanantai 24. helmikuuta 2020
Telian sähköpostiosoitteita spämmiposteissa
Nyt näyttää olevan uusi trendi lähettää Telian tekaistuilla sähköpostiosoitteilla spämmiä.
OTSAKE: Poista selkäongelmat 48 tunnin sisällä tällä uudella kaavalla!
Lähettäjä: Takavalitukset - (Online-alusta <yKhTMQ1gIgx@telia.fi>)
Koko sähköpostin sisältö on kuvaa joka on tulossa lyhennetystä linkistä, joka tarkoittaa, että palvelinta ei saisi helposti jäljitettyä. Linkin päässä on ollut, nyt ilmeisesti poistettu, ansa. (ow.ly/rR3t50ytT69 -> Ow.ly link bandito (404 error) = sivu on poistettu)
Koodista löytyy domannimi "i.imgur.com" jonka omistaja on Panamassa. Sieltä on tämä "sekatietoinen" polvi/sekäipukuva on linkitetty. Luultavasti teksti on varastettu, ainakin osoittain suomalaiselta sivustolta.
Sama ansa ja kuva on käsitelty myös artrikkelissani:
https://vaarallinenweb.blogspot.com/2020/01/selkavaivat-ja-rahat-lahtevat.html
Tässä on alkuperäinen luva mustavalkoisena. Löytyy ".istockphoto.com" - ilmaiskuvista. Kuva on helppo värittää nykyisissä kuvankäsittelyohjelmissa/palveluissa.
OTSAKE: Poista selkäongelmat 48 tunnin sisällä tällä uudella kaavalla!
Lähettäjä: Takavalitukset - (Online-alusta <yKhTMQ1gIgx@telia.fi>)
Koko sähköpostin sisältö on kuvaa joka on tulossa lyhennetystä linkistä, joka tarkoittaa, että palvelinta ei saisi helposti jäljitettyä. Linkin päässä on ollut, nyt ilmeisesti poistettu, ansa. (ow.ly/rR3t50ytT69 -> Ow.ly link bandito (404 error) = sivu on poistettu)
Koodista löytyy domannimi "i.imgur.com" jonka omistaja on Panamassa. Sieltä on tämä "sekatietoinen" polvi/sekäipukuva on linkitetty. Luultavasti teksti on varastettu, ainakin osoittain suomalaiselta sivustolta.
Sama ansa ja kuva on käsitelty myös artrikkelissani:
https://vaarallinenweb.blogspot.com/2020/01/selkavaivat-ja-rahat-lahtevat.html
Ilmaisia vitamiineja et saa ainakaan tältä huijarilta
Vaarallisia vitamiineja! Todennäköisimmin vaara ilman vitamiineja.
Tämä kirje sisältää linkin vaaralliseen tietokantaosoitteeseen joka sisältää PHP ohjelman. Se, mitä tuo ohjelma sitten tekee, en haluaisi kokeilla. Se saattaa lähettää koneellesi viruksen tai henkilötietovarkauskyselyn. Kaikissa tapauksissa uteliaalle näppäilijälle kalliiksi tulevaa tavaraa.
Huono suomenkieli on jo erinomainen varoitus.
OTSAKE: Ilmaisia vitamiineja Maxd:lt�
Lähettäjä: contactt@s-i-p.eu (ei ole todellinen lähettäjä)
Todellinen lähettäjä: cardiacrun.club (Löytyy, mistäpä muualta, kuin Panamasta. Omistajasta ei ole rekisterissä tietoia ja nimi on rekisteröity spämmeistä tunnetulle halpis palvelimelle)
----------------------------------KIRJE-----------------------------------------
Hanki 60 päivän D3-vitamiinit ilmaiseksi!
Dreamwell
Maxd: n pehmeät purukapselit täyttävät kehon päivittäisen D-vitamiinin käyttö- Kokeile ilmaiseksi!
Maxd oranssilla makuisten ravintolisällä, joka hyväksyy aina velttämätöntä D-vitamiinia, jota elimistö tarvitsee joka ikinen päivä.
Yli puolella suomalaisista D-vitamiinia puutos, ja meeärä kasvaa edasi. Uudet viranomaiset ovat asetaatit D-vitamiini päivittäisen saantirajan-vitamiinissa - 20-80 mikrogrammaa. Täytä päivittäinen vitamiinitarpeesi yhdellä pienellä aurinkokapselilla!
Max-on helposti myytävä tuote kaikille, minkä vuoksi he haluavat D-vitamiinia.
Uusi voit kokeilla vain 60 päivää!
Napsauta näppäintä
click here to remove yourself from our emails list (älä koske tähänkään linkkiin)
--------------------------------------------------------------------------------------
sunnuntai 23. helmikuuta 2020
Ilmainen HBO tarjous on ansa
Vastaava ansa on saapunut jo kerran aikaisemmin 25.12.2019
Spämmeri on mitä ilmeisimmin sama henkilö. Alla tämän kirjeen lähdekoodi analysoituna.
Otsake: HBO, Haluamme antaa sinulle vuoden ilmaisen kokeilun.(HBO ei jakele vuoden ilmaisia kokeiluja. Ilmainen koejakso on 2 viikkoa). Firman oikea osoite on: hbonordic.com. Telian kautta voi 2-viikon kokeilujakson tilata myös MUTTA ei tämän emailin kautta, vaan suoraan Telian osoitteesta. telia.fi
------------------------------------KIRJEEN LÄHDEKOODI----------------------------------------
Spämmeri on mitä ilmeisimmin sama henkilö. Alla tämän kirjeen lähdekoodi analysoituna.
Otsake: HBO, Haluamme antaa sinulle vuoden ilmaisen kokeilun.(HBO ei jakele vuoden ilmaisia kokeiluja. Ilmainen koejakso on 2 viikkoa). Firman oikea osoite on: hbonordic.com. Telian kautta voi 2-viikon kokeilujakson tilata myös MUTTA ei tämän emailin kautta, vaan suoraan Telian osoitteesta. telia.fi
------------------------------------KIRJEEN LÄHDEKOODI----------------------------------------
Received: via tmail-2007f.2015-sau for fp6592.200; Sun, 23 Feb 2020 11:38:49 +0200 (EET) Received: from fe21.mail.saunalahti.fi (fe21.mail.saunalahti.fi [62.142.5.26]) by be400.mail.saunalahti.fi (Postfix) with ESMTP id BE9B3602C9 for <fp6592@be400.mail.saunalahti.fi>; Sun, 23 Feb 2020 11:38:49 +0200 (EET) X-Client-Addr: 95.216.190.62 Received: from Hsinholkes.pw (static.62.190.216.95.clients.your-server.de [95.216.190.62]) by fe21.mail.saunalahti.fi (Postfix) with ESMTP id BD49220003 for <hannu.kuukkanen@xxxxxxxxx.fi>; Sun, 23 Feb 2020 11:38:49 +0200 (EET) Precedence: bulk X-Mailer: Second Street Mail (https://secondstreet.com) (tämän verkkopalvelua tuottavan yrityksen kautta kirje on postitettu. Mahdollisesti yrityksen sähköposti
ohjelmalla luvattomasti) X-Feedback-ID: b5vsXVNF:1UsLW26FyyZ:batch:2ndStreetMail From: Suoratoistopalvelu <1UsLW26FyyZ@telia.fi> (Tämä kirje EI ole Telialta. Huijari
käyttää tekaistua osoitetta) To: hannu.kuukkanen@xxxxxxxxxx.fi Message-ID: <E999Jq1eG@EBlastEngine.com> (tämä osoite kääntyy secondstreetmedia.com:iin) Date: Sun, 23 Feb 2020 09:38:43 +0100 Subject: HBO, Haluamme antaa sinulle vuoden ilmaisen kokeilun. MIME-Version: 1.0 Content-Type: text/html; charset=utf-8 Content-Transfer-Encoding: 7bit <center> <a href="https://buff.ly/2usrA2k"> <img src="https://i.imgur.com/cDIcX2b.png"/>
(tässä on kuva, ilmeisesti koko sivun kattava tarjousilmoitus. En itse sitä näe, koska olen
estänyt kuvat sähköpostiselaimesta. Kuvan Linkki vie piiloitetun osoitteen kautta
tietokantaan, josta koneellesi saattaa tulla virus tai henkilötietokalastuslomake.
Kumpaakaan et halua koneellesi)
----------------------------------------------------------------------------
Nämä osoitteet löytyvät secondstreetmedia.com:in edelleenohjauksina.
Tälle domainnimelle ei löydy omistajatietoja.
Näistä vasemmalla olevista osoitteista on odotettavissa lisää ansoja, spämmiä.
upickem.net | 2019-12-11 | http://secondstreetmedia.com | |||||||||||||||
eblastengine.com | 2019-12-03 | http://secondstreetmedia.com | |||||||||||||||
upickem.com | 2019-12-03 | http://secondstreetmedia.com | |||||||||||||||
secondstreetmail.com | 2019-11-24 | http://secondstreetmedia.com |
torstai 20. helmikuuta 2020
Tyhjä kirje liitepommilla
Tälläkerralla spämmi-kirje oli tyhjä mutta liitteenä oli NDA Pre-Contract.DOCX, eli Word-liite. Tässä tiedostomuodossa voi olla mukana virusohjelma joten tiedostoa EI tule avata.
Tyhjän kirjeen tarkoitus on saada aikaan uteliaisuutta ja uteliasta avaamaan tuon pommiliitteen.
En suosittele.
----------------------------KIRJEEN TIEDOT----------------------------------
Otsake: FW: Pre-contract agreement and non-disclosure (ikäänkuin edelleenlähetetty sopimus. "ei julkinen" tarkoittaa uteliaisuuskertomen nostamista)
"Sent from my Huawei mobile" (tyhjä kirje joinka alalaidassa oli tämä teksti)
Kirjeen Header kertoo:
Tyhjän kirjeen tarkoitus on saada aikaan uteliaisuutta ja uteliasta avaamaan tuon pommiliitteen.
En suosittele.
----------------------------KIRJEEN TIEDOT----------------------------------
Otsake: FW: Pre-contract agreement and non-disclosure (ikäänkuin edelleenlähetetty sopimus. "ei julkinen" tarkoittaa uteliaisuuskertomen nostamista)
"Sent from my Huawei mobile" (tyhjä kirje joinka alalaidassa oli tämä teksti)
Kirjeen Header kertoo:
Received: (qmail 7913 invoked by uid 89); 20 Feb 2020 11:52:44 -0000 (tuntematon lähettäjä jonka voisi saada selville palvelimelta kirjautumisen kautta) Received: from relay2.grserver.gr (185.4.132.177) (Kreikkalainen palvelin josta kirje on saapunut. Domainnimitietoja ei ole saatavilla, koska kreikkalainen typografia ei aukea domannimipalveluille)) by cng.neutech.fi (envelope-from acin@lawyer.com) (peilattu lawyer.com osoitteen kautta. Tämä osoite ei ole todellinen lähettäjä)
----------------------------------------------------------
Tilaa:
Blogitekstit (Atom)