Danske Bankin nimellä saapuu jälleen ansakirjeitä

Tämän näköinen kirje ei saavu DanskeBankista, vaan huijarilta.
Tuo linkki rakentuu alidomainnimestä joissa osana on danskebank.fi.
Tuo hämää tarkkaavaisemmankin linkkien tutkijan. Linkki päättyy index -sivuun joka voi sisältää vaikkapa uudelleenohjauksen virukseen. Kuvan alla esiteltynä koko linkkiketju (jos siis linkkiä lähtee analysoimaan).

------------------------KIRJE---------------------------

   

Danske Bankin asiakkaita kuljetettaisiin linkiketjun kautta usean eri alidomainnimen alla olevalle palvelimelle (linkit on kirjoitettu hämäävään nmuotoon jossa osana alidomannimeä on danskebank.fi). Huijari on tarkoittanut, että linkit näyttäisivät kulkevan DB:n palvelimen kautta "bokanarilikoaldjXX.com" palvelimelle. (linkkiketju päättyy "index" -ansasivuun XX-rikkoo linkin)

Tämä domainnimi on uudelleenohjattu osoitteeseen:
Redirect URL    https://www.danskebank.fi.pehofoundationXX.org/user/danskebank/  (linkki päättyy "index" -ansasivuun)

"pehofoundationXX.org" päätyy jälleen uudelle, bokanarilikoaldjXX.com domainnimen alla olevalle palvelimelle.
https://www.danskebank.fi.pehofoundationXX.org/user/danskebank/pinikilaiijsdXX.com . Tämä linkki ohjautuu edelleen...

Seuraava Redirect linkki vie myös vastaavan alidomainosoitekokoelman kautta domainiin: "pinikilaiijsdXX.com" jossa pyöritys päättyy https://www.danskebank.fi.pehofoundationXX.org/user/danskebank/  - ketju päättyy "index" -ansasivuun.

Kaikki nämä domainnimet tulisi plokata ulos verkosta, tai vähintäänkin antaa varoitus rikollisen tarkoituksen mahdollistamisesta.
Jokainen domainnimi on mahdollistanut palvelimella rikollisen toiminnan, joko huolimattomuuttaan tai tarkoituksellisesti. Domainnimien rekisteröinti on lähes ilmaista, samoin palvelintila.

Huijauspostia saapuu jatkuvasti.
Tämän huijausviestin linkit vievät uudelleenohjattuna eri toimijoille "ikäänkuin" Danske Bankin verkkodomainin kautta.

Suuri joukko tarjous - postia joiden linkit vievät huijarin sivuille

Jokaisen kirjeen linkki vie vaaralliseksi luokiteltuun verkko-osoitteeseen.
Näitä vaarallisia roskapostikirjeitä saapuu nyt tukuttain postilaatikkoon
eri otsakkeilla:

Vedenpitävät ja luistamattomat saappaat, joita et halua ottaa pois koko talvena!
Ylläpitämään nivelten ja lihasten normaalia toimintaa
Ongelmia virtsaamisen kanssa? Kokeile ProstaCarea
Aika laihtua? Kokeile MetaBurnia ilmaiseksi!
Saat -50% GreatSkin-tuotteesta raikkaalle ja notkealle iholle!
Pidä aivosi terävinä ja terveinä
Haluatko mieluummin kovia vai pehmeitä paketteja joulukuusen alle?
Haluatko saada painosi hallintaan? Kokeile Cravelessia ilmaiseksi!
Vahvemmat kynnet ja terveemmät hiukset? Kokeile Hair and Skinia ilmaiseksi!
Fenix polttaa rasvaa nopeasti ja tehokkaasti
Opi kuinka Anttgi Herlinin sijoittaa miljoonansa
Kipu lihaksissa ja nivelissä? Kokeile Collagen Vitalia ilmaiseksi!
Tuntuuko siltä, että olet menettänyt kipinäsi? Kokeile T-kompleksia ilmaiseksi
Univaikeuksia? Kokeile Melatoniini Vitalia ilmaiseksi!
Laihduta Cravelessin avulla!
Tehostettu rasvanpoltto
Nuku paljon paremmin. Kokeile 8hours 50% alennuksella nyt!
Nuku hyvin
Paremmat yöunet
Onko sinulla vatsaongelmia? Nyt voit kokeilla BioBelly ilmaiseksi!
Haluatko mieluummin kovia vai pehmeitä paketteja joulukuusen alle?
ProDiet® – Tilaa Kokeilupakkaus Vain Postikulujen Hinnalla!

Jokainen kirje saapuu huijarilta joka kerää henkilötietoja verkkorikoksiaan varten. Koska headerissa lähettäjän kohdalla näkyy eri henkilönimiä, ilmeistä myös on, että roskapostia lähtee, tai kiertää yksityishenkilöiden kaapatuilta tileiltä tai kaapatuilla postiosoitteilla. Norjalainen "prostacare.fi" näyttää esiintyvän suurimmassa osassa lähettäjänä. Uusimmissa roskaposteissa näkyy lähettäjäosoitteena "viestit@veikkausviestit.fi". (Joissakin viesteissä on scandimerkit myös hukassa). Toinen yleinen lähettäjäosoite on: 
Todellinen lähettäjäkone paikallistuu venäjälle. Lähetyksessä on käytetty Mailchimp postitusohjelmaa ja ilmeisimmin Hartwallareenan postilistaa. Mailchimpille on reklamoitu tämä laiton toiminta. MailChimp kiistää olevansa missään tekemisissä tämän huijauskampanjan kanssa, joten heidän osoitteensa (muiden muassa) on väärennetty kirjeen header-kenttään.

Linkit on piilotettu eri linkinlyhennyspalveluiden suojaan. Näin nämä palvelut tulevat avustaneeksi rikollista toimintaa. Linkki vie sivulle joka on luokiteltu vaaralliseksi.

Purin suuren joukon näitä piilo-osoitteita ja ne johtavat ainakin kahdelle vaaralliseksi luokitellulle palvelimelle: "(https:)//aksacli.servehttpXXX.com" (omistaja No-IP.com) ja "(http:)//lavetzr.serveblogXXX.net" (joka ohjataan edelliseen).  (XXX rikkoo linkin).

Olen kertonut huijaustyypistä tässä blogissa artikkelissa:
https://vaarallinenweb.blogspot.com/2021/11/ilmaista-lounasta-ei-ole-olemassa.html

Gmail tili huijaus

Tätä kirjettä ei ole lähettänyt Google, vaikka siltä vaikuttaa.
Jos gmail osoitteessasi on jotain ongelmia, mene suoraan Google-tilillesi. Tämä kirje vie sinut huijarin emailosoitteeseen.

------------------------------KIRJE------------------------------

Google LLC,
1600 Amphitheatre Parkway,
Mountain View,
CA 94043,United States of
America (U.S.A).

Dear Google User,

RE: GOOGLE OFFICIAL NOTIFICATION LETTER:-

Your email ID still Valid?

Contact ONLY details below.

====================================
Name: Sundar Arajan Pichai,
Claims Administrator/Foreign Payment Bureau/Google CEO.
E-mail: ceosundararajanpichaai@gmail.com
====================================

Sundar Arajan Pichai,
Chief Executive Officer

Sähkösopimus huijaus CIA:n nimiin

Lähettäisivätkö entiset CIA:n agentit sinulle sähkötarjouksia?

Tuskinpa vaan. Kyseessä on huijaus jolla yritetään kalastella henkilötietojasi. 

Tämän kirjee "reply" menisi SPYBRIEFING.COM-sähköpostiosoitteeseen, eikä yhteisö, sivuston kuvauksen mukaan, markkinoi sähkösopimuksia ainakaan. Tätä osoitetta näytetään käyttävän nyt useammissakin huijauskirjeissä. Olisiko CIA veteraanien postipalvelin hakkeroitu? Linkit veisivät Puolaan vaaralliseksi luokitellulle palvelimelle. Lähettäjän postiosoite voi olla myös "feikki".

---------------------KIRJE------------------------

Edullinen sähkösopimus Sähkömittari.fi:n avulla
Sähkömittari.fi -palvelun kautta voit helposti löytää parhaan sähkösopimuksen vertaamalla useiden sähköyhtiöiden sähkösopimuksia. Kilpailuttamalla sähkön voit säästä satoja euroja vuodessa.

Sähkön hinta on laskenut, kannattaa vaihtaa vanha kallis sopimus uuteen.

- Paras sähkösopimus 2 minuutissa
- Vertaa helposti useita sähköyhtiöitä
- Solmi sähkösopimus parissa minuutissa
- Sähkösopimuksen kilpailutus on ilmaista

SähköMittari.fi on 100% suomalainen palvelu, jonka avulla jo kymmenet tuhannet ovat kilpailuttaneet sähkösopimuksen.

Kilpailuta sähkösopimus ja säästä!   

Viestin lähettäjä ei ole Sähkömittari.fi, vaan markkinointikumppani.

Peruuta uutiskirje

------------------------------------------------------------------

Viestin lähettäjä ei ole mikään laillinen firma, vaan sähköpostihuijari!

CIA:n henkilökunta testaa testosteroonitasosi

Sarjassamme järjettömiä huijauskirjeitä, saapui yritelmä sähköpostiosoitteesta, joka kuuluu: Spy Briefing – Lifesaving Strategies From Former CIA and Special Operations Personnel.
Kirjeen lähettäjä osoitteeksi voidaan asettaa mikä osoite tahansa mutta tämä ei nyt mitenkään natsaa tuotteeseen jolla huijari yrittää houkutella ihmisiä antamaan henkilötietojaan. Itse asiassa koko kirje ja sen asu on äärimmäisen kehnosti toteutettu. Onneksi.

Linkit vievät linkinlyhennysosoitteiden kautta tuntemattomille palvelimille. Älä klikkaile.

------------------KIRJE----------------

Haluatko nostaa testosteronitasoasi?
Voit testata T-kompleksia ilmaiseksi!

T-Complex on miehille kehitetty ravintolisÀ, joka auttaa lisÀÀmÀÀn kehon luonnollista testosteronitasoa.

T-Complex antaa sinulle myös parhaat edellytykset lihasmassan yllÀpitÀmiseen ja kasvattamiseen. LisÀksi T-Complex voi vÀhentÀÀ stressitasoasi sekÀ lisÀtÀ energiatasoasi ja haluasi!T-Complexin aktiiviset ainesosat on rÀÀtÀlöity miehille, ja ne voivat lisÀtÀ energiaa, normaalia aineenvaihduntaa, hedelmÀllisyyttÀ, lihasten ja kognitiivista toimintaa.

Juuri nyt voit kokeilla yhden kuukauden ilmaiseksi!
Kokeile ilmaiseksi 30 pÀivÀn ajan! Vain postimaksu 7,90,-

Ilman sitoutumisaikaa.
Kokeile ilmaiseksi

TÀtÀ uutiskirjettÀ EI lÀhetÀ Norwegian Lab, vaan joku heidÀn kauppakumppaneistaan. Et ole rekisteröitynyt Norwegian Labiin. Saat sÀhköpostiviestin, koska olet rekisteröitynyt kilpailuun tai online -kyselyyn. Voit aina peruuttaa tÀmÀn palvelun. Jos haluat peruuttaa kumppanimainosten tilauksen, napsauta "peruuta tilaus".

------------------------------------------------------------------------

ÄLÄ KLIKKAA "Peruuta tilaus" -linkkiä, koska se vie samalle rosvopalvelimelle.

Ilmaista lounasta ei ole olemassa

Otsakkeella: "Haluatko lisätä aineenvaihduntaa? Nyt voit kokeilla Morya ilmaiseksi!" saapui huijausposti jonka jokainen linkki vie yhteen ja samaan tietokantaosoitteeseen lyhennetyn (piiloitetun) linkin taakse kätkettynä. Tämä laihdutuslääke saattaa laihduttaa ennenkaikkea lompakkoasi.

Kirjeen lähettäjä- ja vastausosoitteet ovat sen muotoiset, ettei niihin ole syytä vastata myöskään.
Lähettäjän osoite on: "info@tesla.fi". Kirje ei ole saapunut Teslalta suinkaan. Miksi Tesla myisi laihdutuslääkkeitä? Tämä domainnimi ohjautuu Nvidian palvelimelle.
Reply- eli paluu tai vastausosoite on: "info@hartwallarena.fi" joka ei sekään oikein istu tuotteeseen, eikä vie muualle kuin Hartwall areenalle. Oletettavasti tähän ja lukuisaan muuhun roskapostilähetykseen on myös käytetty Hartwallareenan sähköpostilistaa.

Vaikuttaa henkilötietovarkausyritykseltä, jossa kerätään tietoja verkkorikosta varten.
Kun muut osoitteet eivät toimi jää ainoaksi mahdolliseksi tuo linkki, joka vie uteliaan ansaan.
Vaaleanpunaisen laatikon kohdalla on kuva, jos postiselaimessasi kuvat sallitaan. En suosittele..

Naiset katsovat olematonta profiiliani - huijaus

Tällaista seksihuijausta on nyt menossa.
Jokainen linkki vie ainoastaan yhteen kryptattuun osoitteeseen.
En kehoita koskemaan linkkiin jonka takaa tuleva yllätys on ikävä ja tuskin tulee sinulle "ilmaiseksi".
Kirje saapuu tekaistusta Oulookin ilmaisosoitteesta.
Kuvien kohdalla on vaaleanpunaiset laatikot, koska kuvia käytetään viestittämään huijjarille tiedoksi "onnistunut" kirjeen aukaisu eli kontaktiosoite on toiminnassa ja voidaan käyttää seuraavaan huijauskirjeeseen.

------------------------------KIRJE-------------------------------

Kirjeen tekstit joista näkyy linkitys numeroituna. Yksi linkki ja yksi numero.
Kehno suomenkieli on aina varoitus huijauksesta.
----------------------------------------------------------

Moi Moi ,
Nämä jäsenet katselevat profiiliasi.
Ota selvää miksi Löydä itsellesi seksitreffit ilmaiseksi!
  [1]
Kertudre, 20
KYSY MIKSI [1]
  [1]
MonaLissu, 40
KYSY MIKSI [1]
  [1]
Amandoo, 32
KYSY MIKSI [1]
PELAA OSUMAPELIÄ
JA FLIRTTAILE JÄSENTEN KANSSA
PITÄÄ SINUSTA MYÖS!
PELAA NYT! [1]

Links:
------
[1] https://rebrand.ly/XXXXSuomi24Paras (XXXX on lisäämäni merkit. Linkki EI olisi vienyt sinua  Suomi24 keskusteluun, vaan huijarin omalle sivulle)

Puhelimeen saapuva - virus - viesti

FluBot haittaohjelman asennustiedostoa levitetään puhelinviestien linkkien kautta.
Ohjelma kerää laitteestasi tietoja (mm. mahdollisesti pankkikirjautumisia, osoitteistojasi ja käyttäjätunnuksiasi eri palveluihin). Haittaohjelma saattaa olla muunkin lainen ja eri niminen mutta toiminnan tarkoitus on aina haitallinen. 

Viestit ovat lyhyitä. Lähinnä ilmoitus viestistä. Viestit sisältävät myös ääniviestilinkkejä. Viesti saattaa ilmoittaa postilähetyksestä tai paketista. 

Älä avaa viestin linkkejä! Tarkista puhelinnumero, josta viesti on sapunut. Jos se näyttää tuntemattomalta tai on epäilyttävän muotoinen (esim. ei ole tuntemasi numero tai alkaa ulkomaan tunnuksella, poista viesti, tai älä ainakaan koske siihen). Linkki ei asenna virusta jos et anna asennukselle lupaa. Jos olet ehtinyt asentaa linkin kautta saapuneen tiedoston, käy Kyberturvallisuuskeskuksen sivuilla katsomassa ohje viruksen poistamiseksi. Jos et osaa toimenpidettä tehdä, sammuta laite ja vie se huoltoon putsattavaksi. Ilmoita tapaus myös Kyberturvallisuuskeskukseen ja poliisille.
Poliisin sivuilla on myös kuvauksia verkkorikollisten toimintatavoista.

Näyttäisi, että yleensä puhelinnumero alkaa Suomen maatunnuksella mutta numero vaihtelee mm. 499 alkuisena, eli on ilmeisesti pre-paid, koska numeroita on todella useita? Numeron esto ei juurikaan vähennä viestien määrää.

Tätä kirjoittaessani sain viestin John & Elliotilta, jonka kanssa en ole koskaan ollut missään tekemisissä, enkä diggaa edes rugbya. Viestissä olisi ollut linkki verkko-osoitteeseen "worldpressworlds.com:in" tietokantaan joka on hyvä piilo viruksille. Etusivu osasi vain kiinaa.

Lue myös Viestintäviraston varoitus näistä viesteistä:
https://www.kyberturvallisuuskeskus.fi/fi/tekstiviestitse-levitettavat-android-haittaohjelmat

Tietoa näistä vaaroista löytyy myös Verkon vaarat tukiryhmän sivuilta:
https://www.facebook.com/photo/?fbid=10216456253077591&set=gm.2445840995548392

Verkkohuijaukset toimivat ja voivat hyvin

Tiedotustoiminnasta huolimatta, aina löytyy joku onneton henkilö, joka lankeaa verkkorikollisten ansoihin. Tämä blogi on perustettu eri huijauksista varoituksia ja tietoa levittämään.

Myös Helsingin uutistet kirjoitti 22.11.2021 aiheesta ansiokkaan artikkelin. Aihetta on käsitelty myös YLE:n uutisissa, sekä joukossa aikakauslehtiä. Kyberturvallisuuskeskus tiedottaa myös ajankohtaisita uhista. Viesti menee hitaasti perille ja rikollisten ansat kehittyvät ajan kuluessa.

Helsinginuutisten artkkelissa luokiteltiin huijaukset muutamaan eri tyyppiin

- Sijoitushuijauksilla (on viety 13 milj. € tänä vuonna). Sijoittajat ovat yleensä rahapelureita joilla on ilmeisesti varaa menettääkin omaisuuksia mutta suoranainen huijaus luulisi olevan haistettavissa sijoittajapiireissä. Huijatut ovat ilmeisesti alottelijoita alalla.

- It-tukihuijaukset (esimerkiksi tuntematon IT-tuki haluaa päästä koneesi hallintaan etäohjelmalla, tai jokin taho haluaa päivittää tietokoneesi ajurit, joka saattaa merkitä viruksien asennusta), toimitusjohtajahuijaukset (tiedän ainakin laskuhuijaukset ja tuotetilaukset, joita ei koskaan makseta. samoin ryhmään kuuluu petolliset yhteistyötarjoukset).

- Rakkaus- ja nigerialaishuijaukset (imartelu, suuret lupaukset, valeprofiilit, lainatut nimet ja kuvat vakuutteluina) (viety yli 13 miljoonaa euroa) Rakkaus myy aina hyvin.

- Pankkien nimissä tehdyt huijaukset (viety yli 9 milj. euroa tänä vuonna. Tästä huijaustyypitä olen kirjoittanut ja varoittanut tällä palstalla runsaasti. Esimerkkejä eri tavoista löytyy blogistani kymmenittäin. Huijaustyyppiin sisältyy julkisiin palveluihin pankkitunnistuksen kautta tehdyt tunnistautumistietovarkaudet.

- Lisäisin itse tähän vielä nuo kiristyshuijaukset. Katteettomalla uhkailulla yritetään saada uhri maksamaan lunnaita. Yleensä lunnaat pitää maksaa bittirahalla. Näitä huijaustyyppejä ovat "muka" nauhoitetut arkaluontoiset verkkoistunnot, videovakoilu, äänivakoilu ja niillä saadun arkaluontoisen tiedon levityksellä uhkailu, koneen tiedostojen vahingoittaminen (kryptaaminen ja poistaminen) jollakin koneellesi istutetulla ohjelmalla ym.
Kiristykseen ei tule suostua, vaan pitää viedä kone huoltoliikkeeseen putsattavaksi (jos siinä edes virusta on). Hanki ainakin hyvä virustorjuntaohjelma, jossa on aktiivinen selainsuojaus.

- Samoin Pishing eli henkilötietovarkaudet on myös hyvin suosittu huijaustyyppi. Jollakin tekosyyllä (palkinnon toivossa, perinnön toivossa, lahjoitus ym. tekosyy) pyritään onneton verkkoasioija antamaan henkilötietojaan, jopa pankkitietojaan, joita sitten käytetään esim. verkko-ostoksiin vastuuttomissa verkkokaupoissa tai verkkopelaamiseen.

Sattumaako, vaiko verkkovakoilua

Danske Bank ja huijauksen synkronointi

Tapahtui niin, että oltuani hetki sitten yhteydessä DB:iin saapui minulle "ikäänkuin" DB:sta viesti.

"Ikäänkuin" sikäli, että osoite, mistä kirje saapui ei ole Danske Bankin.

Jos kyseessä on verkkovakoilu, tilanne on huolestuttava ja vaatii tarkempaa selvittämistä. Koska pankkiliikenne on äärimmäisen suojattua, on löydyttävä vankkaa näyttöä, että sen liikenteen väliin (edes yhteydenottotilanteessa) on hakkeri päässyt. Käytän virustorjuntaohjelman selauksen suojausta ja pankin todellisia, aitoja osoitteita. 

(Kyse oli puhtaasta sattumasta, sillä jälkeenpäin kävi ilmi, että näitä samoja huijauskirjeitä saapui satelemalla. Joku vain osui kohdalleen. Tämä lienee ollut huijarin tarkoitus.)

----------------------Kirjeen osoitteet-------------------------

Aihe: Sinulla on uusi viestie (huomaa kirjoitusvirhe)
From     Danske Bank (osoite ei ole DB:n ja on sama kuin Reply-To)
To     hannu.kuukkanen@XXXXX.fi
Reply-To     Danski-Bank.Fi@XXXnoew.com (huomaa kirjoitusvirhe ja domannimi "noew.com" verkkotunnus on myytävänä, eikä sille löydy rekisteritietoja XXX on lisätty)
Date     Today 12:11
Priority     High