tiistai 4. tammikuuta 2022

Sähkösopimus - spämmiä saapuu nyt tiuhaan, ELISA ei toimi

Huijauskirjeissä ratsastetaan Elisan rekisteröimällä "sahkosopimus.fi" - verkkotunnuksella ja tuotenimellä "Sähkösopimus.fi", joka ei edes ole tällä hetkellä käytössä. ELISA ei halua ottaa vakavasti kantaa verkko-osoitteensa väärinkäyttöön. Olen kirjoittanut sinne varoituksen tästä spämmityypistä mutta vastaus vaikuttaa lähinnä "copy - paste" vastaukselta. Vastaanottaja ei vaikuta mitenkään perehtyneen asiakkaille vaaralliseen ansaan.
ELISA voisi edes asentaa tuon "sahkosopimus.fi" osoitteensa index-sivulle varoituksen tuotenimen väärinkäytöstä. Joku saattaa ryhtyä etsimään verkosta tuota "100% suomalaista" toimijaa.

------------------------------ELISAN VASTAUS------------------------------

-- Elisa DNS Domain-admin --

 Hei,
 Saamassanne markkinointiviestissä on lähettäjänä info@vaiddzed.cc, [mailto:info@vaiddzed.cc,] jolla ei ole tekemistä Elisan kanssa.
 Viesti on ilmeisimmin lähetetty nimenomaisesti teille jonkin sivuston postituslistan perusteella, koska viestissä on myös linkki "_Peruuta uutiskirjeen tilaus_".
Voitte ko. linkistä peruuttaa tilauksen. (ÄLKÄÄ KLIKATKO TÄTÄ LINKKIÄ ROSKAPOSTISSA, SE VIE YLEENSÄ SAMAAN ANSAAN, KUIN MUUTKIN LINKIT*)

Ystävällisin terveisin,
Elisa DNS Domain-admin <domain-admin@elisa.fi>
 Lisätietoa henkilötietojen käsittelystä ja tietosuojasta Elisalla: https://elisa.fi/tietosuoja [https://elisa.fi/tietosuoja]

') BLOGIN PITÄJÄN VAROITUS

-------------TOINEN SÄHKÖPOSTINI +CC VIESTINTÄJOHTAJALLE-------------

VASTAUKSENNE (domain-admin@elisa.fi) EI OLLUT ASIALLINEN JA SITÄPAITSI SE OLI VAARALLINEN
Tässä olisi henkilöstökoulutuksen paikka.

Tiedän lähettäjän, joka on venäläinen roskapostittaja, jonka toimintaa olen seurannut pitkän aikaa ja saan sieltä päivittäin roskapostia.

ELISALLA Kirjeeseeni vastaaja ei tainnut vaivautua lukemaan analyysiä antamastani osoitteesta? Lähetysosoite vaihtelee mutta aina jäljet johtavat Venäjälle. Sikäli kirje on erittäin huolestuttava.

ÄLKÄÄ IHMEESSÄ kehoittako ketään klikkaamaan noita "peruuta tilaus" linkkejä. Roskapostissa ne vievät yleensä aina samaan ansaosoitteeseen, kuin kaikki muutkin kirjeen linkit.

Ainut neuvoni on, että lisäätte oman postipalvelimenne roskapostisuodattimeen tuon lähetysosoitteen.

En enää ihmettele, miksi suomalaiset menettävät miljoonia verkkorikollisille, jos suhtautuminen kaikkien palveluntarjoajien taholla sähköpostiansoihin on vastaavanlainen.

Hannu Kuukkanen
vanhempi erikoistutkija
VTT/Tietotekniikka/Media

(eläkkeellä mutta aktiivisesti verkossa toimiva)

--------------------------------------------------------------------------------------

ELISAN ASIALLISEMPI VASTAUS SEN JÄLKEEN, KUN LAITOIN CC:n VIESTINTÄJOHTAJALLE

-------------------------ELISAN UUSI VASTAUS----------------------------

- Elisa DNS Domain-admin --

Hei,
 
Kyseinen lähettäjäosoite on ilmoitettu Elisan sähköpostivälityspalvelimista vastaavalle taholle.
 
Valitettavasti roskapostittajat kehittävät aina uusia lähettäjäosoitteita joten kokonaan tällaista postia ei saa estettyä.

Ystävällisin terveisin,
Elisa DNS Domain-admin <domain-admin@elisa.fi>

Lisätietoa henkilötietojen käsittelystä ja tietosuojasta Elisalla: https://elisa.fi/tietosuoja


  --------------ALKUPERÄINEN VAROITUSKIRJEENI ------------------

  Mikäli tällä kirjeellä on mitään tekemistä Elisan (sähkösopimus.fi)
kanssa, lopettakaa välittömästi tämä kampanja. Taustalla toimii
hämäräbusiness.
JOS taas teillä ei ole kirjeen kanssa mitään tekemistä, varoittakaa
asiakkaitanne tästä kirjeestä välittömästi. Linkki vie vaarallisiksi
luokitelluihin palvelimiin ja kirjeet ovat lähtöisin Venäjälle
rekisteröidyistä osotteista.

Olen kommentoinut kirjeen osoitteessa:
https://vaarallinenweb.blogspot.com/2021/12/sahkosopimus-venajalta.html?fbclid=IwAR2aDw_aaRBGXRx-9Sr2E3W1rWp_szIZQR9R4LRbx5F0XvG6ZJz8YoU0oME

--------------------------KIRJE PÄÄTTYY---------------------------------------

Elisa itse on osasyyllinen sähköpostini joutumisesta rikollisten käsiin, koska heiltä varastettiin joukko osoitteita vuosia takaperin. Tein havainnon, kun sain avoimella postilistalla (järkyttävä määrä pelkkiä elisan osoitteita), erään roskapostin. Olen säilyttänyt saastuneen osoitteen, koska seuraan roskaposteja tässä blogissa ja saan yleensä kaikki liikkeelle lasketut roskapostiversiot melko varhaisessa vaiheessa.



sunnuntai 2. tammikuuta 2022

McAfee Virusvaroitus vie suoraan ansaan

 Tämä on ansa. ÄLÄ KLIKKAA LINKKIÄ! Ilmainen kiokeilu tulee ilmeisen kalliiksi. Linkki on luokiteltu vaaralliseksi. Kirje on saapunut tutusta, rikollisia suosivasta Kookossaarten osoitteesta (info@vaiddzed . cc) jonka jäljet johtavat Venäjälle.

--------------------------------KIRJE------------------------------------




Links:
------
[1] http://bitly.xxxws/ngui  (linkki vie BITLY lyhenteellä piiloitettuun verkko-osoitteeseen, joka verkossa on luokiteltu vaaralliseksi)

HTML kuvaus "vaiddzed.xxxcc" index sivulla näyttää vaarattomalta mutta se on ilmeistä hämäystä: "HTML Description Aria is a business focused HTML landing page template built with Bootstrap to help you create lead generation websites for companies and their services."

"LionHillaryPlus.com" - jolle palvelimelle piilolinkki vie, näyttää myös hyvin viattomalta ja itse domainnimi saa puhtaat paperit MUTTA ilmeistä on, että tälle palvelimelle on hakkeri tunkeutunut ja perustanut tuon ansasivustonsa. Nimenomaan tuo bitly - linkin piilo-osoite antaa verkkovaroituksen.
(PÄIVITYS: tucows ilmoitti, että sivu ei olisi enää verkossa. Linkin päässä on nyt toinen sivu "desklegger.com" joka on yhtä vaarallinen. VirusTotal kertoo, että molemmat sivut on luokiteltu vaaralliseksi kymmenen eri verkkoturvallisuusyrityksen toimesta. )

Valitukseni domainnimien ylläpitäjälle (namecheap ja tucows) ei ole tuottanut toistaiseksi tulosta domainnimien plokkaamiseksi ulos verkosta tai vaarallisen häkkäyksen purkamiseksi. Namecheap on yleensä poistanut rikolliseen toimintaan käytetyt domainit verkosta kohtuullisessa ajassa.
Onko Kookossaarille syntymässä uusi rosvoparatiisi? 

tiistai 28. joulukuuta 2021

FluBot viruksesta lisätietoa

 Kyberturvallisuuskeskus jakaa tietoa puhelimia saastuttavasta FluBot viruksesta.

Olen kirjoittanut aiheesta aiemmin tässä blogissa mutta siitä on hyvä muistuttaa ihmisiä jatkuvasti.

Puhelimeen ilmestyy alla oleva viesti (näitä viestejä on eri tekstillä, mm. DHL:n nimissä, mutta linkin tyyli on aina epäilyttävän näköinen).
Sen sijaan, että koskette linkkiin, menkää sen pakettijakelijan verkkosivuille, jonka kautta pakettianne mahdollisesti odotatte ja tarkistakaa yhteydenotolla, onko teille postia mahdollisesti tulossa. Kannattaa uhrata hetki aikaa, kuin saastuttaa puhelin. Kaikkea FluBotin tai vastaavan viruksen toimintatapoja en ole toistaiseksi löytänyt mutta KAIKISSA EPÄILYTTÄVISSÄ tapauksissa ÄLÄ sinäkään niitä lähde testailemaan.

Jos klikkaat linkkiä ja annat asennusluvan linkistä saapuvalle ohjelmalle (virukselle), se tulee taatusti sinulle kalliiksi. FluBot kaappaa tunnuksesi (asioidessasi kryptolompakolla), sekä voit menettää botille myös gmail-tunnuksesi. Mieti siis huolella, mitä näppäilet tällaisia tai vastaavia viestejä saadessasi.

Edellinen postaukseni aiheesta oli 26.11.21
https://vaarallinenweb.blogspot.com/2021/11/puhelimeen-saapuva-virus-viesti.html

Vanhempi postaus pakettiansasta: SMS huijaus paketti
https://vaarallinenweb.blogspot.com/2021/01/

maanantai 27. joulukuuta 2021

E-mail salasanani näyttää vaativan päivitystä Saksaan

OLKAA NYT TARKKOINA! Vuodenvaihde saa kaikki huijarit sankoin joukoin liikkeelle esittämään kiireellisiä päivityksiä sinne sun tänne. Kiire saa aikaan varomattomia tekoja joten jäitä hattuun. Huijarit pyrkivät luomaan paniikkia.

Minulle saapui sähköpostitilin salasanan päivityskehoitus Saksasta, jossa aivan varmasti minulla ei ole sähköpostitiliä. Kyseessä on Elisalla voimassaolevan sähköpostitilini salasanan urkinta.

Buttonin alta paljastuva linkkiosoite on luokiteltu verkossa vaaralliseksi ja haitalliseksi. Lähettäjän E-mailosoitteen maatunnus osoittaa Saksaan..


MetaMask lompakon nimissä huijaus

"Subject: MetaMask requires all users to verify their wallets in order to comply with the KYC regulations"

E-mailosoite osoittaa Chileläiselle pelvelimelle. 

Tarkistin butttonissa olevan linkin joka ei vie sinne, minne sen väitetään vievän. Todellinen linkki on t.co-lyhenteen takana (jonka jo nykyään saa purettua). Linkin osoite on luokiteltu "epäilyttäväksi", luokittelen itse linkin vaaralliseksi.

Sekä sähköpostiosoitteen, että domainnimen omistaja on piiloitettu, kuten huijauksen tyyliin kuuluu.

Minulla ei ole MetaMask tiliä, joten tämä posti on huijarin huti. Osumiakin varmaan sattuu, koska levitys on epäilemättä erittäin laaja. Jos on syytä mennä tarkistamaan asia, tarkista tilisi MetaMaskin todellisen verkko-osoitteen kautta EI MISSÄÄN TAPAUKSESSA tämän kirjeen yhdenkään linkin kautta. Tuo kirjeeseen "avattu" aidolta näyttävä osoite on todellisuudessa piilolinkki huijarin palvelimelle, sen voi havaita viemällä kohdistin linkin päälle (ÄLÄ KLIKKAA). Oikea osoite ilmestyy selaimen vasempaan alanurkkaan ja alkaa (t.co) Twitterin linkinlyhennystunnuksella, jonka taakse todellinen ansan osoite on piilotettu.



sunnuntai 26. joulukuuta 2021

McAfee - vaarallista virustorjuntaa

 Seuraava saman konnan (samojen konnien) yritys on uusi spämmiviesti McAfee päivityksestä - virustorjunnassani jota minulla ei siis ole.

"Tietokoneesi saattaa olla vaarassa ☠️ |❌ Uudista McAfee Antivirus"

"McAfee Alert" Posti näyttää edelleen saapuvan Kookossarten osoitteesta "info@vaiddzed.XXXcc" - mistä se siis ei oikeasti saavu mutta sen avulla voi viestit suodattaa roskakoriin. (poista nuo XXX-merkit osoitteesta)

Kirjeessä oleva linkki vie bitly-lyhennetyllä osoitteella rikollisen palvelimelle, joka on verkossa merkitty vaaralliseksi.  "lavetzr.serveblog.XXXnet" on toinen tämän verkkorosvon palvelimista.
Toinen, saman roskapostikampanjan vaaralliseksi luokiteltu palvelin on nimeltään "domains@no-ip.XXXcom".
Olen ilmoittanut osaltani molemmat palvelimet plokattavaksi, koska ne ovat haitallisessa toiminnassa (tosin se ei takaa, että osoitteet poistuisi verkosta kovinkaan pian ja uusia palvelimia taatusti perustetaan näillä hinnoilla ja näillä verkkorikollisten rahoituksilla). Lähtöosoite viittaa jälleen Venäjälle. Posti on kulkenut headerin mukaan Oregon Health & Science University:n koneen kautta. Tämä on mahdollista muutamallakin tavalla ja on tarkoituksellista jälkien peittelyä. On erittäin alatyylistä ratsastaa oppilaitoksen ja vielä terveydenhoitoalan oppilaitoksen siivellä mutta mihinkäpä eivät nuo moraalittomat verkkokonnat pystyisi.

Roskapostin headerissa seikkailee edelleen erään tuntematoman henkilön sähköpostiosoite ja tämä spämmikampanja näyttäisi olevan lähetetty Mailchip postituspalvelusta (MailChimp vakuuttaa, että kirje ei ole postitettu heiltä) Hartwalareenan listalla. Itse en tietääksei ole koskaan tuolla listalla ollut mutta oma osoitteeni on varastettu aikapäiviä sitten Elisan listoilta, jonka listan mukanaoloa tukee myös tuo minulle tuntematon toinen elisanet osoite.
Näillä varastetuilla osoitelistoilla tämä on erittäin vakavan laajuinen kampanja.

Edellinen postaukseni McAfee-ansasta:

lauantai 25. joulukuuta 2021

Olematon McAfee päättyy

"Subject: VAROITUS hannu.kuukkanen Suojasi on päättynyt TÄNÄÄN...Tietokoneesi on vaarassa.
From: McAfee 2022 hälytys
"

Sama huijari jatkaa tuota massaspämmäystä uudella yrityksellä.
Ensinnäkään minulla ei ole McAfee virustorjuntaa ja silloinkin kun oli, siitä oli erittäin hankala päästä eroon (tai siis katkaista laskutus, koska McAfee uusi sopimuksen automaattiisesti ja laskutti Visallani).

Kirje näyttää olevan lähtöisin osoitteesta: "info@vaiddzed. cc" kookossaarten maatunnuksella. Kirje on kuitenkin  todellisuudessa lähtenyt Moskovasta Venäjältä.

Konnien tapaan linkki on peitetty lyhennepalvelun avulla  (http:/)/bitly.ws/XXXkze...
Tämä purettu osoite osoittautui vaaralliseksi luokitelluksi (sulut ja XXX katkaisee linkin).

Tämä huijari tai huijariryhmä on erittäin tuottelias. Spämmikirjeitä erilaisin tarjoustekstein, on saapunut kymmenitäin. Olen kertonut hänen/heidän tuotoksistaan usemmassakin eri artikkelissa:
https://vaarallinenweb.blogspot.com/2021/12/sahkosopimus-venajalta.html

Tästä kirjerypäästä varoittavaa asiaa, on luettavissa myös postauksessani:
https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html

torstai 23. joulukuuta 2021

Miksi ja kuka plokkaa jatkuvasti kahta artikkeliani?

Olen seurannut analyticsistä noiden kahden artikkelin plokkauksen aikaisia verkkovierailuja. Plokkausten ajankohdasta ja käyntien ajankohtia vertaamalla, olen löytänyt ainakin yhden erittäin epäilyttävän tulo-osoitteen. Tulo-osoitteista näyttää jäävän käteen ainoastaan "rikollisten jäljet peittävä" hakupalvelu, nimeltään: "startpageXXX.com". Osoitteesta löytyy tietoa:

HTML Title Startpage - Private Search Engine. No Tracking. No Search History.
HTML Description Search and browse the internet without being tracked or targeted. Startpage is the world's most private search engine. Use Startpage to protect your personal data.

Eli tämä on täydellinen hakubotti verkkorikollisille, jotka eivät halua jättää jälkiä verkkoon tekemisistään.  

Yksi ihmeellisnen suunta on myös "google.com.hk" eli kiinalaisittain rajoitetun liikenteen "Honkongin Google", josta ulospääsyn pystyy taitava henkilö murtamaan.

Yksi epäilyttävä suunta on ollut koko ajan itse Twitter, tai Google mutta siinä ei olisi minkäänlaista järkeä, koska he tekisivät tällaisella toiminnalla hallaa ainoastaan itselleen.

Alkaa hiljakseen tulla käsitys, että netti on räätälöitymässä ennenkaikkea rikollisten huijausalustaksi. Huijattujen miljoonien määrät ovat netissä hunajatolppa, josta jokainen löysämoraalinen verkkotoimija haluaa käydä nuoleskelemassa osuutensa.
Koska mahtaisi syntyä tuolle touhulle verkon kattava vastarintaliike. Eihän kaikki verkko-osaajat voi olla konnia. Kunniallisia "hakkereita" on ollut, kuulemani mukaan mukana myös Vastaamon tietovuototutkinnassa mutta laajemmallekin toiminnalle olisi runsaasti ja jatkuvaa tilausta. 

Jatkuvasti plokatut artikkelini kertovat purkamattomissa olevista  (PÄIVITYS: tänä päivänä löytyy jo palvelu, joka osaa linkin purkaa - onneksi) "t.co" lyhenteillä suojatuista rikollisten verkkolinkeistä.
https://vaarallinenweb.blogspot.com/2021/09/twitterin-mustalista.html
Sekä samasta aiheesta artikkeli:
https://vaarallinenweb.blogspot.com/2021/09/nordean-psd2-direktiivi-kirjeita-eri.html
Kilpajuoksu konnan kanssa jatkuu ainakin toistaiseksi.

Rikollisen verkkosormenjälkiä voidaan seurata usealla eri tavalla. Palvelinten lokitiedot ovat erinomainen tiedonlähde, vaikka konna käyttäsi anonyymiä TOR-verkkoa. Sähköposteissa "header-osuudet" antavat myös tietoa, vaikka niillä pyritään hämäämään tutkijoita kaikin mahdollisin tavoin.
Kuitenkin, esimerkiksi, jos Venäjältä saapuu samana päiviänä tukku spämmipostia ja nuo artikkelini plokataan ja Venäjältä löytyy yksi käynti lokista, ei voi välttyä vetämästä johtopäätöksiä, etteikö joku "valvoisi etujaan".
(Twitter lyhenteet näyttävät ehtyvän, eli Twitter on menettänyt rosvojen supersuosion, koska se on nykyään samalla tavoin avattavissa, kuin muutkin lyhenteet. Nyt konnat pakenevat piiloon "No-Id" palvelujen taakse)

Blogiartikkelini kertoo headerien vertailun tuloksena havaitusta huijauskirjeryppäästä (toistasataa rikollista S-Postia n. 5kk:n aikana) joka on selkeästi lähtöisin samasta lähteestä.
https://vaarallinenweb.blogspot.com/2021/12/sahkosopimus-venajalta.html
Tästä kirjerypäästä varoittavaa asiaa, on luettavissa myös postauksessani:
https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html
Huijarit kopioivat toisiltaan surutta ansatekstejä ja tyyppejä mutta kopioissakin on aina persoonallisia jälkiä. Headerpolut näyttävät säilyvän aikalailla samoina tai saman kaltaisina.

Kannattaa varoa jokaista sähköpostimainosta. Ainakin niitä, joissa on piiloon lyhennetty linkki.
Tärkein osa linkistä on se joka päättyy maatunnukseen tai vastaavaan "luokkatunnisteeseen", kuten com, net, org, jne. Sitä edeltävä pisteellä erotettu osa kertoo varsinaisen domainnimen.

Hämääviä osoitteita rakennetaan esim. alidomaineiksi kuten "google.jokuosoite.com", jossa "google" ei ole googlen kanssa missään tekemisisssä, vaan linkki vie tuonne "jokuosoite.com" palvelimelle.

(PÄIVITYS: tämä artikkelini plokkailu on loppunut. Joko konna väsyi plokkailuunsa, tai sitten Blogger-tiimi keksi, miten laittomat plokkaukset estetään. Ainakin tässä tapauksessa häirintä on loppunut)



 



tiistai 21. joulukuuta 2021

Venäläinen Google lähestyy sinua

Omalaatuinen "osoitteen tarkistusansa" saapui Googlen nimissä. Ei suinkaan Googlelta, vaikka kaikki merkit siihen viittaavat. Kun headeria tarkastelee, sieltä löytyy lähettäneen koneen tunnus joka osoittaa Venäjälle. Olisiko "venäläiset trollit" laitettu nyt joukkovoimalla asialle verkkoon?
Kirje on lähetetty suurelle joukolle, eli kyseessä on laaja kampanja. Kun testasin tuota annettua e-mailosoitetta Googlen kautta, ponnahti esiin varoitus (kirjeen alapuolella).


Tämä teksti viittaa siihen, että olisin ollut kirjautumassa "automaattisesti" rikollisen rakentamalle ansasivulle tuon sähköpostiosoitteen kautta. Mielenkiintoista mutta ei suositeltavaa. Mitä tuolta verkkosivulta sitten saapuisikaan, ei maksa vaivaa kokeilla. Epäterveellistä materiaalia kaikissa tapauksissa. Vastauksieni oli siis EI.

 


Sähkösopimus Venäjältä?

Tämä kirje kuuluu siihen valtavaan spämmisarjaan, josta olen varoittanut jo aikaisemmin. Kirjeissä tarjotaan kaikkea mahdollista maan ja taivaan väliltä, lääkkeistä - sähkösopimuksiin.

Kaikissa kirjeissä tunnusomaista on, että kirjeessä on linkki tai useita linkkejä joiden osoitteet on piiloitettu linkinlyhennyspalvelun taakse. Olen testannut kirjeen linkin ja se vei vaaralliseksi luokitellulle sivulle. Kirjeissä näkyy usein (kuten tässä) myös jonkun vieraan henkilön osoite vastaanottajana. Kirjeet saapuvat eri osoitteista mutta lähes kaikille osoitteelle on ominaista sen "outous" suhteessa kaupiteltuun tuotteeseen. Tämäkään kirje ei saavu Sähkömittari.fi osoitteesta, kuten tekstissä osoite mainitaan.

Kaikkien näiden kirjeiden tarkoitus on kerätä ihmisten osoite ja henkilötietoja verkkorikosta varten. Yleensä tiedoilla ostellaan verkko-ostoksia tai tilataan verkkopalveluja. Myös saatat saada laskun olemattomasta sähköntoimituksesta, virallisen laskun lisäksi. Kaikikissa tapauksissa tietojen antaminen tulee uhrille kalliiksi.

"sähkösopimus" tekstin alta paljastuu tuo Venäjälle (kookossaarten maatunnuksella) vievä sähköpostiosoite ja linkki on "bitly.ws" lyhennyksen taakse piiloitettu.

Vaaleanpunaisen suorakaiten sisällä on kuva, jonka selaimessa esitän saapumasta koneelleni. Suosittelen tapaa muillekin. Kuvan voi erikseen sallia, jos katsoo, että viesti on turvallinen.

Tästä roskapostikampanjasta olen varoittanut aikaisemmin postauksessani:
https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html