tiistai 15. joulukuuta 2020

"Humanitaarinen apu" vie rahasi

Lähettäjä on Keniasta, ei suinkaan Irlannista, kuten surkea konekäännös väittää.
Postin lähetyspalvelimen omistajan tiedot:
Registrant Name: KARISA KATANA
Registrant Organization: (ei ilmoitettu)
Registrant Street: Jomo Kenyatta Avenue
Registrant City: Mombasa

Tämä on tyypillistä jatketta "perinnönlahjoittamishuijauksille".
Senttiäkään et tältä henkilöltä tule saamaan mutta joudut pulittamaan pitkän pennin kaikenlaisiin rahansiirtokustannuksiin. g-mailin ilmaisosoitteen takaa, et tule löytämään huijauksesta vastuullista henkilöä. Postittajan palvelimen "tangainvestments.com", Domainnimen omistaja tuskin on tuo huijari itse. Huijarilla ei ole tapana jättää jälkiä itsestään. Tuskimpa myöskään on halukas etsimään ja ilmiantamaan kirjeen lähettäjää.
Kirjeen teksti on ikivanha toisinto vanhoista kenialaiskirjeistä.
Myöhäisen miehen "perinnönjako" alkaa olla pahasti myöhässä ja rouvan syöpäkuolemakin on viivästynyt luvattoman aikamäärän tohtorin ennustuksesta. Edellinen, vastaavan sisältöinen kirje saapui 10.6.2016.  Ehkä huijarilta on nyt edellisen huijauskierroksen rahat loppu. Suomalaiset olivat kenties helpoimpia huijattavia, koska kirje on jopa käännetty suomeksi.

----------------------------------------------KIRJE-------------------------------------------

Terveisiä rakas ystävä

Olen Gunnarsson Patricia ja Irlannin kansalainen, naimisissa Late Engr 
George Gunnarssonin kanssa, joka työskenteli monikansallisessa öljy- ja 
kaasututkimusyhtiössä Tullow Oil plc Lontoossa noin 19 vuotta ennen kuin 
hän kuoli 25. elokuuta 2013.

Minä ja myöhäinen mieheni olivat naimisissa lähes 24 vuotta ilman lasta. 
Mieheni kuoli lyhyen neljän päivän sairauden jälkeen. Kun kuollut 
mieheni oli elossa, talletimme itse asiassa 3 200 000 dollarin summan 
offshore-tilillään Cahoot Bankilla Lontoossa, Yhdistyneessä 
kuningaskunnassa, ja tämä rahasto on edelleen myöhäisen mieheni 
pankkitilillä Cahoot-pankin kanssa.

Jo ennen mieheni kuolemaa,
Minulla on keuhkosyöpätauti
Äskettäin lääkärini kertoi minulle, että en eläisi yli 2 kuukautta 
keuhkosyöpäongelmani takia, ja mikä häiritsee minua eniten, on 
äskettäinen aivohalvaukseni.
Nyt kun en aio elää enää seuraavien kahden kuukauden jälkeen, kuten 
lääkäri on ilmoittanut, olen päättänyt käyttää tätä rahastoa Jumalan 
työn tekemiseen auttamalla
äitittömät lapset, tukevat kristillisiä kirkkoja ja auttavat leskiä.

Otin sinuun yhteyttä, koska haluan seurakunnan tai henkilön, joka voi 
käyttää tätä rahaa, työskennellä Jumalan hyväksi ja varmistaa, että 
Jumalan talo säilyy. Tein tämän päätöksen, koska minulla ei ole lasta 
kirjoittaa pankkiin lunastamaan tätä rahaa. En voi enää luottaa 
perheeseeni ja lähisukulaisiini, koska he eivät voi koskaan käyttää tätä 
rahaa Jumalan työhön,
he voivat käyttää sitä vain henkilökohtaisiin ja itsekkäisiin etuihinsa, 
enkä halua, että näin tapahtuu.

Koska en ole varma eloonjäämisestä tässä sairaudessa, kuten lääkäri on 
sanonut, pyydän teitä vilpittömästi auttamaan minua saavuttamaan tämän 
humanitaarisen työn Kaikkivaltiaan Jumalalle. Haluan, että myöhäinen 
mieheni pankki siirtää tämän $ 3200000 henkilökohtaiselle 
pankkitilillesi ja kun saat rahat, sinun on käytettävä 60% rahastosta 
Jumalan työn tekemiseen auttamalla Äitiettömät lapset, 2. tukevat 
kristillisiä kirkkoja 3. auttavat leskiä.

Ja sitten käytä loput 40% rahastosta sinulle ja perheellesi.

Jos olet kiinnostunut saamaan nämä rahat kuolleen aviomieheni pankista 
ja auttamaan minua tekemään tätä humanitaarista työtä Kaikkivaltiaan 
Jumalan hyväksi, haluaisin sinun vastaavan minulle, jotta voin antaa 
sinulle kaikki tiedot pankista ja kuinka rahat siirretään pankkitilisi 
yllä mainittua tarkoitusta varten.

Jos tarvitset lisätietoja, haluaisin, että otat minuun yhteyttä 
yksityisen sähköpostiosoitteeni kautta: patriciagnirish@gmail.com

Rouva Patricia Gunnarsson

sunnuntai 13. joulukuuta 2020

HS:n artikkeli kryptovaluuttahuijauksista

 Hesari on kirjoittanut ansiokkaan artikkelin nettivaluuttahuijauksista (HS viikko 49).
Taustalla pyörii organisaatiollinen huijareita jotka roskapostittavat valeuutiskirjeitä eri julkkishahmojen nimillä. Näistä kirjeistä löytyy esimerkkejä myös tässä blogissa Antti Herliinin nimeä ja kuvaa hyödyntäen. Jäljet johtavat ADS INC nimiseen firmaan, San Diego Yhdysvallat. Henkilönimi Ashton Burke näyttäisi olevan koko systeemin takana.

Systeemi houkuttelee sijoittamaan olemattomaan kryptovaluuttaan. Uhri uitetaan "sijoitusneuvojien" tuella, yhä syvemmälle suohon, niin kauan kuin maksukykyä ja halua riittää. Rahaa ei onnettomille sijoittajille kuitenkaan ole tulossa.

perjantai 11. joulukuuta 2020

UNSUBSCRIBE pakettilähetysansa

Virustorjunta alkaa löytää tämän "UNSUBSCRIBE" huijarin lukemattomat kirjeet mutta edelleen niitä näyttää saapuvan harvakseltaan. Tunnistettavan niistä tekee tuo yksi ainoa sana ja siitä lähtevä linkki, sekä järjetön tyylipalettidatamössö (näkyy kirjeen lähdekoodissa) joka on jokaisessa kirjeessä. Myös jokaisen kirjeen tiedostokoko on sama eli 740 KB. Mitä data sitten tekisi koneellasi, jää arvoitukseksi. Tuota dataa voi käyttää luovemminkin, kuin ainoastaan kirjeen stailaamiseen (mikä tässä tapauksessa on täysin absurdi ajatus). Data tuottaisi, tuskin mitään terveellistä tuon PHP ohjelman avustuksella jonne "UNSUBSCRIBE" linkki veisi. Hakkereilla on ohjelmistoja joilla voi yhdistää eri koodinosia ja yhden koodin (linkin) laukaisu saattaa sitten muodostaa jo ennetään koneella olevan koodin kanssa viruksen, jota ei virustorjunta huomaa.

Kone jonne "UNSUBSCRIBE" linkki nyt osoittaa on Turkissa, Istambulissa.
Aikaisemmin se oli samalla windows.net koneella kuin muutkin kaksi linkkiä (kuva ja html - sivu. (HTML sivu saattaa sitten viedä aivan minne tahansa hyppylinkkinä).

Valeosoitteesta lähetetty kirje on lähtenyt palvelimelta, jonka kone IP:n omistaa:
person: Shawn Arcus
address: PO Box 50767, Henderson, Nevada 89074-0767, USA
Hän tuskin on lähettäjä. Huijari piiloittaa itsensä.

----------------------------------KIRJE-----------------------------------

Varastollamme on (1) pakettia odottamassa kuljetusta sinulle.


From     Jakelukeskus  (tämä on lähetetty feikkiosoitteesta joka ei sijaitse missään)
To     sinun.osoitteesin@joku.fi
Date     Today 05:38

[contactphoto]  (kuva on linkitetty windows.net palvelimelta jonne olen roskapostittajasta jo ilmoittanut - vaikutusta ilmoituksella ei näytä olevan, koska spämmäys saa jatkua linkkeineen)
 

UNSUBSCRIBE (Linkin takana on turkkilaisella palvelimella oleva huijarin PHP ohjelma joka saataa olla virus tai muu haittaohjelma)


sunnuntai 6. joulukuuta 2020

KORONATUKI HUIJAUS JÄLLEEN LIIKKEELLÄ

 Tämä kirje on huijaus. Älä ota yhteyttä huijariin.

 -----------------------------------KIRJE---------------------------------

 U.N.O
760 United Nations Plaza
New York, New York,
United States of America.
Website:www.un.org

Our Ref: US/020-11223/UNFG

UNITED NATIONS CORONAVIRUS RELIEF FUND (UNCRF)

In the battle to stop the spread of COVID-19 across the globe, and limit
its impacts as much as possible, information accuracy is Key, as people
need to know and understand the way in which the virus is transmitted, and
what they can, and should do to avoid infection and spread.

As the coronavirus outbreak continues to worsen around the world, its
taking a devastating toll on LIVES & COMMUNITIES. To help address some of
these challenges, U.N has donated $800,000,000.00 US Dollars [Eight Hundred
Million United States Dollar] to support small- and medium-sized businesses
(SMBs), health organizations and governments, and health workers on the
frontline of this global pandemic." The donation will be put towards a
range of charities and support initiatives to help lessen the impacts of
the pandemic.

One of the key areas in combating the coronavirus pandemic by U.N; is
directly reaching out to individuals globally. With the help of our online
e-mail beta test, your email address was picked, to receive the sum of
$950,000.00 US Dollar (Nine Hundred and Fifty Thousand United States
Dollar), from U.N CORONAVIRUS RELIEF FUND (UNCRF).

You are required to Contact the U.N Coronavirus Relief Fund (UNCRF)
department, using the below contact details for the documentation and
processing of your U.N Coronavirus Relief Fund (UNCRF).

MANDATORY VERIFICATION AND FUND RELEASE FORM
-Tel (Mobile):
-Nationality/Country:
-Full Name:
-Age/Sex:
-E-mail Address:
-Occupation/Position:
-WHAT IS YOUR COMMENT ON THE CORONAVIRUS PANDEMIC?
-HOW DO YOU INTEND TO HELP HUMANITY, ONCE YOU RECEIVE YOUR U.N CORONAVIRUS
RELIEF FUND (UNCRF)?

U.N values your right to privacy! Your information is 100% secured and will
be used exclusively for the purpose of this U.N Coronavirus Relief Fund
(UNCRF) only.

NOTE: This is the U.N CORONAVIRUS RELIEF FUND (UNCRF), not a LOTTERY. U.N
is not into LOTTERY.

For security reasons, you are advised to keep U.N Coronavirus Relief Fund
(UNCRF) information confidential, till your claims are processed and your
money remitted to you. This is part of our precautionary measure to avoid
double claiming and unwarranted abuse of this program by some unscrupulous
elements. Please be warned!

Congratulations from the Staffs & Members of the U.N and U.N Coronavirus
Relief Fund (UNCRF) department.

Sincerely,

Mr. John W.H. Denton.
Director
©2020Powered by U.N.O

torstai 3. joulukuuta 2020

ilmainen suoratoistopalvelu on ansa

 Tuossa aiemmassa ansapostiryppäässä oli yksi ainut luettavissa oleva lähettäjä "Suoratoistopalvelu" ja aihe "Haluamme antaa sinulle vuoden ilmaisen kokeilun."
Lähettäjän osoite viittasi hakkeroidun palvelimen alidomainiin.

TÄMÄ ON SIIS ANSA. Älä klikkaa kirjeessä olevaa kuvaa tai "Unsubscribe" linkkiä.
Tämäkin kirje sisältää pääasiassa tyylipalettikoodia jonka toiminnallisuudesta ei ole tietoa, joten kirjettä ei kannata lukea HTML -selain asetuksella. Ei siinä mitään luettavaa olekaan, joten heitä suoraan roskiin.

Tyylipalettiin ei ymmärtääkseni pysty sijoittamaan mitään suoranaisesti vaarallista, mutta ... tällainen kirjerypäs saattaa viitata siihen, että koneelle halutaan ujuttaa jotain koodinosia jotka voidaan sitten koota ja laukaista kirjeen linkin nokassa saapuvalla haittaohjelman osalla? Muistaakseni jotkin kuvakoodiin sijoitetut ansat hyödyntävät tämän tapaista toimintaa. Tämä "suoratoistopalvelu" kirje voisi viitata sellaiseen mahdollisuuteen. Kirjeessä olevan linkin kautta saattaisi tulla ohjelmiston osa joka toimii sitten laukaisijana. Miksi osina? No kiertääkseen virustorjunnan. Kun yksikään osa sellaisenaan ei näytä vaaralliselta, ei virustorjunta osaa sitä tunnistaa.

Puhdistin itse selaimen välimuistin, ihan vain varmuuden vuoksi. Suosittelen jos avaat vastaavia kirjeitä.

windows.net palvelimelle kotiutuneista huijauksista on tehty kattavaa tutkimusta sivustolla:

https://www.zscaler.com/blogs/security-research/abusing-microsofts-azure-domains-host-phishing-attacks

ANSAPOSTIRYPÄS Panamasta

 Panamalaiset spämmerit ovat olleet olan takaa liikenteessä.
Tänä aamuna saapui kahden tunnin sisällä kahdeksan huijauskirjettä. Kaikki vakiohuijausfraasit oli heitetty kehiin. Onkohan epätoivo yllättänyt, kun kukaan ei enää mene halpaan?
Jokaisessa kirjeessä oli ainoastaan yksi PNG kuva ja kolme linkkiä, joista jokainen vei windows.net palvelimelle ja kaikki linkit laukeavat jos klikkaa kuvaa tai "Unsibscribe" linkkiä. En kehoita. Kaikki oli lähetetty "tekaistusta" osoitteesta.


Tarkempaa analyysiä kirjeistä:
Nuo .fi päätteiset - ikäänkuin lähettäjän sähköpostiosoitteet, eivät ole aitoja.
Kirjeet on lähetetty eri palvelimista, joista "FINLANDLESS.XYZ" postattu kirje on kotoisin Panamalaisesta osoitteesta joka on rekisteröity "namecheap" ilmais- tai puoli-ilmaisosoitteina, ilmaiselle palvelimelle.
Rekisteröijän tiedot on peitetty.

Muitakin palvelimia on käytetty: mm. co.uk alidomainia, joka päädomain sijaitsee Minerva House, Edmund Halley Road, Oxford Science Park, Oxfordissa. Ilmeisesti hakkeroitu palvelin.

Jokainen kirje sisältää täsmälleen saman määrän käsittämätöntä tyylipalettikoodia. Onko verkkorikolliset keksineet, miten tyylipaletista voi saada "vaarallisen"???
En kuitenkaan kehoita kokeilemaan.


sunnuntai 29. marraskuuta 2020

Deittisivustot eivät läheskään aina ole turvallisia

Sain "Annalta" tyypillisen deittailuun viittavaan roskapostin, kuvien vaihdosta ja ryhdyin kaivelemaan kirjeen taustoja.

Sivuston "soperfectmails.com palvelimen IP-osoitetta ei löytynyt". Domainnimi on rekisteröity Kanadaan. Samoin postin lähetysdomain "gotmail4u.com" on rekisteröity Kanadaan samalle firmalle. Osittain omistajatiedot on peitetty.
Verkkohaku antaa mielenkiintoisen varoituksen (Googlen kautta):

Eli ei kannata ryhtyä deittailemaan tämällaisen linkin perusteella.
Deittisivut ja palvelut ovat yksi suurin spämmin lähde ja niiden varjolla tehdään myös runsaasti rikoksia. Jos nettideittailua harrastat, kannattaa etsiä SE luotettava toimija.



tiistai 24. marraskuuta 2020

LIITEPOMMITTAJA KÄYTTÄÄ KAVERISI E-MAILOSOITETTA

 VAROITUS. Sain juuri hetki sitten tiedon, että henkilö sai asiakkaaltaan (asiakkaansa nimellä) sähköpostin luontevana jatkeena käydylle e-mailkirjeenvaihdolle.
Liite, joka vaikutti asialliselta, sisälsikin viruksen joka otti henkilön koneen haltuunsa ja lähetti satoja laskuja koneessa oleille sähköpostiosoitteille.

TÄSSÄ on oltava kahteen suuntaan varovainen. Aina ystävältä saatu posti ei tulekaan oikeasti ystävältästi. Tutustu aina kirjeen sisältöön huolella ja vältä (jos mahdollista) avaamassa liitteitä hiemankaan epäilyttävässä tapauksessa. Virustorjunta ei aina ole ajantasalla vahtimassa liitteitten sisältöä. Alinna ohje, miten voit tarkistaa liitteen turvallisuuden.

TOINEN liittyvä huijaustapa on juuri nuo "valelaskut". Vaikka lasku tulisi henkilöltä, jonka kanssa sinulla on liikesuhde, tarkista aina lasku huolella ja lähetä, epäselvissä tapauksissa, laskun lähettäjälle kysyely laskun aitoudesta.

MITEN TARKISTAT LIITTEEN TURVALLISUUDEN?
Liitteet voi tarkistuttaa virustorjunnalla vaikka erikseen, jokaisen.
Kun olet tallentanut liitteen koneellesi, vaikkapa "TARKISTETTAVAT" kansioon josta se on helppo löytää ja on epäilyttävänä liitteenä poissa tärkeistä kansioistasi. JOS ja KUN sinulla on virustorjuntaohjelma, vie kursori liitetiedoston päälle ÄLÄ KLIKKAA. Kun kursori on tiedostonimen yläpuolella paina oikeanpuoleista hiirinäppäintä (oikeakätiset) - avautuu valikko jossa näkyy lista toimintoja ja virustorjuntaohjelmasi nimi. Valitse se. Ohjelma käy nyt tiedoston läpi ja ilmoittaa sinulle, onko sen avaaminen turvallista.

perjantai 20. marraskuuta 2020

Ilmaisosoitteistako saisit rahaa?

 Jos saatte mitä tahansa "rahaan liittyviä" tarjouksia verkon ilmaisosoitteista saapuvilla e-maileilla, voitte olla varma, että lähettäjä ei ole rehellisellä asialla. Noita osoitteita voidaan generoida ilmaiseksi määrätön määrä väärillä nimillä ja tilien omistaja jää aina selvittämättä.
Lähetin uusseellanitaisen yliopiston web administratorille tiedon heidän palvelimensa väärinkäytöstä.

Normaali huijaustapa on laskuttaa erilaisia kuluja mutta lainaa et tule koskaan saamaan.

----------------------------------LAINATARJOUS ANSA----------------------------------

Tarjoamme lainaa 3%

From     Jimmy Faltersack
Reply-To     firstheritagefinace@aol.com (TÄMÄOSOITE on hämäystä. Todellinen paluuposti veisi  Uusi Seellantilaisen yliopiston koneelle "Victoria University of Wellington")

Date     Today 08:45


Tarjoamme lainoja maailmanlaajuisesti 3%: n korolla. Kiinnostaako sinua yrityslaina, henkilökohtainen laina, autolaina tai sijoituslaina, ota rohkeasti yhteyttä jo tänään.
Sähköposti: firstheritagefinace@aol.com (ILMAISOSOITE)
Sähköposti: firstheritagefinance@gmail.com (ILMAISOSOITE)
Puhelin / teksti: +1 (205) 832-8348 (älä soita, puhelinnumero voi olla maksullinen palvelu)
WhatApp: +1 (205) 852-6811(älä ota mitään yhteyttä huijariin)

 

torstai 19. marraskuuta 2020

HERLIN ansa leviää nyt myös FaceBookissa

 Jos saat tällaisen linkin FB:stä, älä koske kuvassa olevaan linkkiin, se on ansa.
Ttä ei saa jakaa missään tapauksessa, kyseessä on vaarallinen roskaposti.
Kuvalinkin domannimen kaltainen pidennys ".MONSTER" on kuvaava.
Varoitin sähköpostiansana tästä samasta yritelmästä kirjoituksessani: https://vaarallinenweb.blogspot.com/2020/09/annti-herlin-ansa.html