sunnuntai 13. joulukuuta 2020

HS:n artikkeli kryptovaluuttahuijauksista

 Hesari on kirjoittanut ansiokkaan artikkelin nettivaluuttahuijauksista (HS viikko 49).
Taustalla pyörii organisaatiollinen huijareita jotka roskapostittavat valeuutiskirjeitä eri julkkishahmojen nimillä. Näistä kirjeistä löytyy esimerkkejä myös tässä blogissa Antti Herliinin nimeä ja kuvaa hyödyntäen. Jäljet johtavat ADS INC nimiseen firmaan, San Diego Yhdysvallat. Henkilönimi Ashton Burke näyttäisi olevan koko systeemin takana.

Systeemi houkuttelee sijoittamaan olemattomaan kryptovaluuttaan. Uhri uitetaan "sijoitusneuvojien" tuella, yhä syvemmälle suohon, niin kauan kuin maksukykyä ja halua riittää. Rahaa ei onnettomille sijoittajille kuitenkaan ole tulossa.

perjantai 11. joulukuuta 2020

UNSUBSCRIBE pakettilähetysansa

Virustorjunta alkaa löytää tämän "UNSUBSCRIBE" huijarin lukemattomat kirjeet mutta edelleen niitä näyttää saapuvan harvakseltaan. Tunnistettavan niistä tekee tuo yksi ainoa sana ja siitä lähtevä linkki, sekä järjetön tyylipalettidatamössö (näkyy kirjeen lähdekoodissa) joka on jokaisessa kirjeessä. Myös jokaisen kirjeen tiedostokoko on sama eli 740 KB. Mitä data sitten tekisi koneellasi, jää arvoitukseksi. Tuota dataa voi käyttää luovemminkin, kuin ainoastaan kirjeen stailaamiseen (mikä tässä tapauksessa on täysin absurdi ajatus). Data tuottaisi, tuskin mitään terveellistä tuon PHP ohjelman avustuksella jonne "UNSUBSCRIBE" linkki veisi. Hakkereilla on ohjelmistoja joilla voi yhdistää eri koodinosia ja yhden koodin (linkin) laukaisu saattaa sitten muodostaa jo ennetään koneella olevan koodin kanssa viruksen, jota ei virustorjunta huomaa.

Kone jonne "UNSUBSCRIBE" linkki nyt osoittaa on Turkissa, Istambulissa.
Aikaisemmin se oli samalla windows.net koneella kuin muutkin kaksi linkkiä (kuva ja html - sivu. (HTML sivu saattaa sitten viedä aivan minne tahansa hyppylinkkinä).

Valeosoitteesta lähetetty kirje on lähtenyt palvelimelta, jonka kone IP:n omistaa:
person: Shawn Arcus
address: PO Box 50767, Henderson, Nevada 89074-0767, USA
Hän tuskin on lähettäjä. Huijari piiloittaa itsensä.

----------------------------------KIRJE-----------------------------------

Varastollamme on (1) pakettia odottamassa kuljetusta sinulle.


From     Jakelukeskus  (tämä on lähetetty feikkiosoitteesta joka ei sijaitse missään)
To     sinun.osoitteesin@joku.fi
Date     Today 05:38

[contactphoto]  (kuva on linkitetty windows.net palvelimelta jonne olen roskapostittajasta jo ilmoittanut - vaikutusta ilmoituksella ei näytä olevan, koska spämmäys saa jatkua linkkeineen)
 

UNSUBSCRIBE (Linkin takana on turkkilaisella palvelimella oleva huijarin PHP ohjelma joka saataa olla virus tai muu haittaohjelma)


sunnuntai 6. joulukuuta 2020

KORONATUKI HUIJAUS JÄLLEEN LIIKKEELLÄ

 Tämä kirje on huijaus. Älä ota yhteyttä huijariin.

 -----------------------------------KIRJE---------------------------------

 U.N.O
760 United Nations Plaza
New York, New York,
United States of America.
Website:www.un.org

Our Ref: US/020-11223/UNFG

UNITED NATIONS CORONAVIRUS RELIEF FUND (UNCRF)

In the battle to stop the spread of COVID-19 across the globe, and limit
its impacts as much as possible, information accuracy is Key, as people
need to know and understand the way in which the virus is transmitted, and
what they can, and should do to avoid infection and spread.

As the coronavirus outbreak continues to worsen around the world, its
taking a devastating toll on LIVES & COMMUNITIES. To help address some of
these challenges, U.N has donated $800,000,000.00 US Dollars [Eight Hundred
Million United States Dollar] to support small- and medium-sized businesses
(SMBs), health organizations and governments, and health workers on the
frontline of this global pandemic." The donation will be put towards a
range of charities and support initiatives to help lessen the impacts of
the pandemic.

One of the key areas in combating the coronavirus pandemic by U.N; is
directly reaching out to individuals globally. With the help of our online
e-mail beta test, your email address was picked, to receive the sum of
$950,000.00 US Dollar (Nine Hundred and Fifty Thousand United States
Dollar), from U.N CORONAVIRUS RELIEF FUND (UNCRF).

You are required to Contact the U.N Coronavirus Relief Fund (UNCRF)
department, using the below contact details for the documentation and
processing of your U.N Coronavirus Relief Fund (UNCRF).

MANDATORY VERIFICATION AND FUND RELEASE FORM
-Tel (Mobile):
-Nationality/Country:
-Full Name:
-Age/Sex:
-E-mail Address:
-Occupation/Position:
-WHAT IS YOUR COMMENT ON THE CORONAVIRUS PANDEMIC?
-HOW DO YOU INTEND TO HELP HUMANITY, ONCE YOU RECEIVE YOUR U.N CORONAVIRUS
RELIEF FUND (UNCRF)?

U.N values your right to privacy! Your information is 100% secured and will
be used exclusively for the purpose of this U.N Coronavirus Relief Fund
(UNCRF) only.

NOTE: This is the U.N CORONAVIRUS RELIEF FUND (UNCRF), not a LOTTERY. U.N
is not into LOTTERY.

For security reasons, you are advised to keep U.N Coronavirus Relief Fund
(UNCRF) information confidential, till your claims are processed and your
money remitted to you. This is part of our precautionary measure to avoid
double claiming and unwarranted abuse of this program by some unscrupulous
elements. Please be warned!

Congratulations from the Staffs & Members of the U.N and U.N Coronavirus
Relief Fund (UNCRF) department.

Sincerely,

Mr. John W.H. Denton.
Director
©2020Powered by U.N.O

torstai 3. joulukuuta 2020

ilmainen suoratoistopalvelu on ansa

 Tuossa aiemmassa ansapostiryppäässä oli yksi ainut luettavissa oleva lähettäjä "Suoratoistopalvelu" ja aihe "Haluamme antaa sinulle vuoden ilmaisen kokeilun."
Lähettäjän osoite viittasi hakkeroidun palvelimen alidomainiin.

TÄMÄ ON SIIS ANSA. Älä klikkaa kirjeessä olevaa kuvaa tai "Unsubscribe" linkkiä.
Tämäkin kirje sisältää pääasiassa tyylipalettikoodia jonka toiminnallisuudesta ei ole tietoa, joten kirjettä ei kannata lukea HTML -selain asetuksella. Ei siinä mitään luettavaa olekaan, joten heitä suoraan roskiin.

Tyylipalettiin ei ymmärtääkseni pysty sijoittamaan mitään suoranaisesti vaarallista, mutta ... tällainen kirjerypäs saattaa viitata siihen, että koneelle halutaan ujuttaa jotain koodinosia jotka voidaan sitten koota ja laukaista kirjeen linkin nokassa saapuvalla haittaohjelman osalla? Muistaakseni jotkin kuvakoodiin sijoitetut ansat hyödyntävät tämän tapaista toimintaa. Tämä "suoratoistopalvelu" kirje voisi viitata sellaiseen mahdollisuuteen. Kirjeessä olevan linkin kautta saattaisi tulla ohjelmiston osa joka toimii sitten laukaisijana. Miksi osina? No kiertääkseen virustorjunnan. Kun yksikään osa sellaisenaan ei näytä vaaralliselta, ei virustorjunta osaa sitä tunnistaa.

Puhdistin itse selaimen välimuistin, ihan vain varmuuden vuoksi. Suosittelen jos avaat vastaavia kirjeitä.

windows.net palvelimelle kotiutuneista huijauksista on tehty kattavaa tutkimusta sivustolla:

https://www.zscaler.com/blogs/security-research/abusing-microsofts-azure-domains-host-phishing-attacks

ANSAPOSTIRYPÄS Panamasta

 Panamalaiset spämmerit ovat olleet olan takaa liikenteessä.
Tänä aamuna saapui kahden tunnin sisällä kahdeksan huijauskirjettä. Kaikki vakiohuijausfraasit oli heitetty kehiin. Onkohan epätoivo yllättänyt, kun kukaan ei enää mene halpaan?
Jokaisessa kirjeessä oli ainoastaan yksi PNG kuva ja kolme linkkiä, joista jokainen vei windows.net palvelimelle ja kaikki linkit laukeavat jos klikkaa kuvaa tai "Unsibscribe" linkkiä. En kehoita. Kaikki oli lähetetty "tekaistusta" osoitteesta.


Tarkempaa analyysiä kirjeistä:
Nuo .fi päätteiset - ikäänkuin lähettäjän sähköpostiosoitteet, eivät ole aitoja.
Kirjeet on lähetetty eri palvelimista, joista "FINLANDLESS.XYZ" postattu kirje on kotoisin Panamalaisesta osoitteesta joka on rekisteröity "namecheap" ilmais- tai puoli-ilmaisosoitteina, ilmaiselle palvelimelle.
Rekisteröijän tiedot on peitetty.

Muitakin palvelimia on käytetty: mm. co.uk alidomainia, joka päädomain sijaitsee Minerva House, Edmund Halley Road, Oxford Science Park, Oxfordissa. Ilmeisesti hakkeroitu palvelin.

Jokainen kirje sisältää täsmälleen saman määrän käsittämätöntä tyylipalettikoodia. Onko verkkorikolliset keksineet, miten tyylipaletista voi saada "vaarallisen"???
En kuitenkaan kehoita kokeilemaan.


sunnuntai 29. marraskuuta 2020

Deittisivustot eivät läheskään aina ole turvallisia

Sain "Annalta" tyypillisen deittailuun viittavaan roskapostin, kuvien vaihdosta ja ryhdyin kaivelemaan kirjeen taustoja.

Sivuston "soperfectmails.com palvelimen IP-osoitetta ei löytynyt". Domainnimi on rekisteröity Kanadaan. Samoin postin lähetysdomain "gotmail4u.com" on rekisteröity Kanadaan samalle firmalle. Osittain omistajatiedot on peitetty.
Verkkohaku antaa mielenkiintoisen varoituksen (Googlen kautta):

Eli ei kannata ryhtyä deittailemaan tämällaisen linkin perusteella.
Deittisivut ja palvelut ovat yksi suurin spämmin lähde ja niiden varjolla tehdään myös runsaasti rikoksia. Jos nettideittailua harrastat, kannattaa etsiä SE luotettava toimija.



tiistai 24. marraskuuta 2020

LIITEPOMMITTAJA KÄYTTÄÄ KAVERISI E-MAILOSOITETTA

 VAROITUS. Sain juuri hetki sitten tiedon, että henkilö sai asiakkaaltaan (asiakkaansa nimellä) sähköpostin luontevana jatkeena käydylle e-mailkirjeenvaihdolle.
Liite, joka vaikutti asialliselta, sisälsikin viruksen joka otti henkilön koneen haltuunsa ja lähetti satoja laskuja koneessa oleille sähköpostiosoitteille.

TÄSSÄ on oltava kahteen suuntaan varovainen. Aina ystävältä saatu posti ei tulekaan oikeasti ystävältästi. Tutustu aina kirjeen sisältöön huolella ja vältä (jos mahdollista) avaamassa liitteitä hiemankaan epäilyttävässä tapauksessa. Virustorjunta ei aina ole ajantasalla vahtimassa liitteitten sisältöä. Alinna ohje, miten voit tarkistaa liitteen turvallisuuden.

TOINEN liittyvä huijaustapa on juuri nuo "valelaskut". Vaikka lasku tulisi henkilöltä, jonka kanssa sinulla on liikesuhde, tarkista aina lasku huolella ja lähetä, epäselvissä tapauksissa, laskun lähettäjälle kysyely laskun aitoudesta.

MITEN TARKISTAT LIITTEEN TURVALLISUUDEN?
Liitteet voi tarkistuttaa virustorjunnalla vaikka erikseen, jokaisen.
Kun olet tallentanut liitteen koneellesi, vaikkapa "TARKISTETTAVAT" kansioon josta se on helppo löytää ja on epäilyttävänä liitteenä poissa tärkeistä kansioistasi. JOS ja KUN sinulla on virustorjuntaohjelma, vie kursori liitetiedoston päälle ÄLÄ KLIKKAA. Kun kursori on tiedostonimen yläpuolella paina oikeanpuoleista hiirinäppäintä (oikeakätiset) - avautuu valikko jossa näkyy lista toimintoja ja virustorjuntaohjelmasi nimi. Valitse se. Ohjelma käy nyt tiedoston läpi ja ilmoittaa sinulle, onko sen avaaminen turvallista.

perjantai 20. marraskuuta 2020

Ilmaisosoitteistako saisit rahaa?

 Jos saatte mitä tahansa "rahaan liittyviä" tarjouksia verkon ilmaisosoitteista saapuvilla e-maileilla, voitte olla varma, että lähettäjä ei ole rehellisellä asialla. Noita osoitteita voidaan generoida ilmaiseksi määrätön määrä väärillä nimillä ja tilien omistaja jää aina selvittämättä.
Lähetin uusseellanitaisen yliopiston web administratorille tiedon heidän palvelimensa väärinkäytöstä.

Normaali huijaustapa on laskuttaa erilaisia kuluja mutta lainaa et tule koskaan saamaan.

----------------------------------LAINATARJOUS ANSA----------------------------------

Tarjoamme lainaa 3%

From     Jimmy Faltersack
Reply-To     firstheritagefinace@aol.com (TÄMÄOSOITE on hämäystä. Todellinen paluuposti veisi  Uusi Seellantilaisen yliopiston koneelle "Victoria University of Wellington")

Date     Today 08:45


Tarjoamme lainoja maailmanlaajuisesti 3%: n korolla. Kiinnostaako sinua yrityslaina, henkilökohtainen laina, autolaina tai sijoituslaina, ota rohkeasti yhteyttä jo tänään.
Sähköposti: firstheritagefinace@aol.com (ILMAISOSOITE)
Sähköposti: firstheritagefinance@gmail.com (ILMAISOSOITE)
Puhelin / teksti: +1 (205) 832-8348 (älä soita, puhelinnumero voi olla maksullinen palvelu)
WhatApp: +1 (205) 852-6811(älä ota mitään yhteyttä huijariin)

 

torstai 19. marraskuuta 2020

HERLIN ansa leviää nyt myös FaceBookissa

 Jos saat tällaisen linkin FB:stä, älä koske kuvassa olevaan linkkiin, se on ansa.
Ttä ei saa jakaa missään tapauksessa, kyseessä on vaarallinen roskaposti.
Kuvalinkin domannimen kaltainen pidennys ".MONSTER" on kuvaava.
Varoitin sähköpostiansana tästä samasta yritelmästä kirjoituksessani: https://vaarallinenweb.blogspot.com/2020/09/annti-herlin-ansa.html


sunnuntai 15. marraskuuta 2020

PAKETTI LIBANONISTA

 Ikäänkuin Suomen Postista lähetetty PAKETTI-ilmoitus saapuukin Libanonsta.
Olkaa ihmiset varovaisia jokaisen sähköpostinne kanssa, Linkkeihin ei kannata koskea ja "reply" eli e-mailiin vastaaminenkin on riskialtista. JOS luulee, että ilmoitus on aiheellinen, kannattaa otta aina yhteys suoraan yrityksen virallisten verkkosivujen kautta ja selvittää, onko kirje aiheellinen, vaiko rikoksen yritys.

TÄLLÄ KIRJEELLÄ YRITETÄÄN HUIJATA SINUA.
Kun kursorin vie "posti.fi" - viittaavan linkin yläpuolelle (älä klikkaa), näet todellisen osoitteen jonne linkki olisi menossa. Tässä tapauksessa linkki viittaa piiloitettuun osoitteeseen "bit.ly/36A4kyr", jollaista osoitetta posti ei käytä.

Lähettäjäksi paljastuu osoite Libanonista EI Suomen Postista:

"From: posti <support@damour.sscc.edu.lb">