keskiviikko 13. huhtikuuta 2022

Postnord nimissä huijataan edelleen

Tämä huijausyritys saapuu jälleen ruotsinkielisenä versiona.
Kyseessä on jo pariinkin kertaan analysoitu huijausyritys. Mitään pakettia ei kenellekään ole tulossa, eikä tämä kirje tule Postnordista. Raha ja henkilötiedot osoitteineen haluttaisiin varastaa rikolliseen käyttöön jonka maksaja olet sinä onneton, joka vastaat tähän kirjeeseen. Verkkoturvasivustot eivät toistaiseksi näe sivun vaaraa, koska siitä ei ole riittävästi dataa tiedossa. Kun vastaan tulee tietojenkeräyslomake, sitä ei sellaisenaan pidetä vaarana ellei siitä olisi tullut ilmiantoja. Myös tulosivulla voi olla vaarallisia linkkejä tai ohjelmistolatauksia, joita ei verkkoturvatutkimuksissa välttämättä näy. Domainnimirekisteri ei sisällä minkäänlaista tietoa nimen omistajasta, joka on mahdollinen yksi syy pitää osoitetta epäluotettavana.
Tämän ansan alkuperämaa on Venäjä.
Se käy ilmi aikaisemmista kirjeistä. Tästä kirjeversiosta alkuperä on paremmin piiloitettu.

https://vaarallinenweb.blogspot.com/2022/03/post-nord-paketti-lahetys-huijaus.html

Suomenkielellä saapui sama ansa otsakkeella:

Tärkeä :Pakettisi pidätetään varastoltamme !

Itseasiassa kirje sisältää kolmea eri kieltä ja linkit vievät myös vaaralliseen venäläisperäiseen osoitteeseen: https://app.airhme(.)com/link.php?M=2382212&N=96&L=39&F=H

------------------------KIRJE---------------------

FWD : Bekräfta din adress för din skickade beställning... !

From list@antoniopelayo(.)com
To hannu.kuukkanen@xxxxxxxx.fi
Reply-To list@antoniopelayo(.)com
Date Today 17:22
[contactphoto]Bästa kund,
Observera att ditt paket fortfarande är under behandling eftersom du inte har betalat tullavgifter.
Följ instruktionerna :
Köpmannens namn: Postnord
Leverans planerad till 2021-12-12
För ytterligare tjänster kan du hitta din leveransspårning genom att klicka här.
  Du har 8 dagar på dig från tillgänglighetsdatumet på dig att hämta ut paketet.
Vid återkallelsen kommer du att bli ombedd att visa upp en identitetshandling.
Med vänliga hälsningar,
Din Postnord Group kundtjänst

Bästa kund
,

Observera att ditt paket fortfarande är under behandling eftersom du inte har betalat tullavgifter.
Följ instruktionerna :

Köpmannens namn: Postnord
Leverans planerad till 09-04-2022

För ytterligare tjänster kan du hitta din leveransspårning genom att klicka här.

  Du har 8 dagar på dig från tillgänglighetsdatumet på dig att hämta ut paketet.
Vid återkallelsen kommer du att bli ombedd att visa upp en identitetshandling.

Med vänliga hälsningar,

Din Postnord Group kundtjänst

----------------------------------------------------------------------------------

Lisää vaarallisia spämmejä samasta osoitteesta:
https://vaarallinenweb.blogspot.com/search?q=airhme%28.%29com
Aikaisempi "Postnord" ansa, joita on saapunut eri kielisinä ja eri osoitteista linkkeineen. Kaikki ovat vaarallisia.
https://vaarallinenweb.blogspot.com/2022/04/postnord-nimissa-huijataan-edelleen.html

tiistai 12. huhtikuuta 2022

Jälleen seksipostia sylttytehtaalta

Olen jo kerran aikaisemmin varoittanut tästä samasta kirjeestä. Olemattoman lähettäjän "houkutuslinnun" peitenimi on Barbara Compton.

Osoitteella, joka väittää olevansa "Suomi24-kokousklubi" EI IOLE MITÄÄN TEKEMISTÄ Suomi24 - keskustelufoorumin kanssa. Linkki vie aivan muualle. Osoitetta ei verkkoreksterien mukaan, pitäisi olla edes olemassa.

Kirje saapui outlook.com ilmaisosoitteesta, jonka rekisteröinyttä henkilöllisyyttä on hankala selvittää.
 Virusvaroituksia Islantiin rekisteröidystä linkkiosoitteesta (finewbest(.)badme(.)best) on vasta luokissa "epäilyttävä" ja "spam" ja jotkin varoitussivut eivät ole vielä edes noteeranneet tätä domainosoitetta MUTTA se onkin aivan tuliterä (muutaman päivää vanha), joten ajan kanssa tilanne varmasti muuttuu.
Ei ole mitään syytä kokeilla riskillä. Viitatut videot lataavat koneellesi viruksen, joka ottaa koneen haltuun kyberhyökkäystä varten ja mahdollisesti kerää pankkitietosi.

Katso edellinen varoitus samasta aiheesta:
https://vaarallinenweb.blogspot.com/2022/04/sylttytehdas-lahettaa-seksipostia.html





 

 

 

Firma jolta ei löydy kotisivua, utelee yritystietoja

Ei ole mitään syytä ottaa yhteyttä yritykseen, jolta ei löydy kotisivua verkosta, vaikka se on domainnimensä kirjeessä ilmoittanut.
Domannimen tarkistus kertoo, että nimen takana on "arveluttava" toimija:
"Websites rated "Caution" may have a small number of threats and annoyances, but are not considered dangerous enough to warrant a red "Warning". Proceed with caution." Domainnimi on reksiteröity Intiaan 2021. Toinen domainnimien taustoja kaiveleva toimija kertoo, että nimi on rekisteröity Irlantiin ja palvelimen sisältöä olisi muokattu viimeksi vuonna 2016.
Domannimi on vaihtanut omistajaa vuonna
2021. 

Yritys kerää ilmeisesti tietoja firmastasi, joten se on jo sellaisenaan vaarallinen, kun tiedossa ei ole muuta, kuin että kirjeen lähettänyt firma on "epäluotettava" ja käyttää luvattomasti sähköpostiosoitettasi omaan markkinointiinsa. Se tulisi käyttämään luvattomasti osoitteita myös muissa kampanjaoissaan.
Myös yritysten tietoja voidaan käyttää verkko-ostoksiin tai palvelujen hankintaan. Tietoja ei ole koskaan syytä antaa epäluotettaville toimijoille.

Kaikki viittaa huijaukseen. En ostaisi edes käytettyä autoa Caitiyn Drakelta.





maanantai 11. huhtikuuta 2022

Venäläinen Trollitehdas jatkaa HBO huijausta

Otsikolla: "Hanki HBO Max 12 kuukaudeksi!!"

Domain "fastdubs(.)com" vie Venäjälle. Tässä virustorjuntasivun varoitus:

http://www.siteadvisor.com/sitereport.html?url=http://fastdubs.com

Kirje on erittäin pelkistetty HTML esitysmuodossa. Anoa linkki on "unsubscribe" joka vie venäläisen palvelimen tietokantaan. Kannasta voi koneellesi saapua pahimmassa tapauksessa virus. Lue McAfeen varoitus linkeistä.

Kirjeen TXT muodossa näkyy jälleen tutut yli 600 omaa e-mailosoitetta. Täyttä bulkkia.

--------------------LINKKIVAROITUS---------------------- 


---------------------------KIRJE TXT----------------------------


Hanki HBO Max 12 kuukaudeksi!!
From     Kotiteatteriaseman
To     hannu.kuukkanen@xxxxxxxxxx.fi
Reply-To     reply_to@fastdubs(.)com
Date     Sun 19:10

 [1] (jokainen hakasulkujen linkki vie samaan vaaralliseen osoitteeseen)

Peruuta tilaus tästä [2]

hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi

......
YLI 600 kpl osoitteita
......

hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
 

Links:
------
[1] http://fastdubs(.)com/dEcxQ0RCZXE4eEFzckpVT2FzQW9EZ0o5ejRYTFdPNHV4VVJMcjZuVnUvck1WR2JSR2h1V3FMZkhFcVJXNmJNeHNVdWRjZDFvS3VlM0ovV3VlK0ZYNXc9PQ__
[2] http://fastdubs(.)com/bEpodDlkYWFrcmF2ZlpVY2JxRVF0azZHM2hSOXdxWU5mOWVmMExaYkN0bTBTN251MzIzZ1pNSTE2YVp1UUJHaGxkc0tVZ283dHVBY1c4d1FIVlZTUFE9PQ__

VERKKOSIVUILLE SAAPUVA ROSKAPOSTI

Verkkoa kiertää robotteja, jotka täyttävät verkkosivujen lomakkeita omilla spämmeillään.

(verkkosivun nimi): Strike when the iron’s hot

Tarkistin tämän kirjeen linkissä olevan domaiinmen ja se oli luokiteltu VAARALLISEKSI.
Tämä alla oleva linkki on vaaraton, sillä se osoittaa verkkoturvallisuusraporttiin kyseisestä domainnimestä.

http://www.siteadvisor.com/sitereport.html?url=jumboleadmagnet.com

lauantai 9. huhtikuuta 2022

Olivian omalaatuinen asia

 Olivian "joku kiireellinen" asia massaspämminä.
Ei kannata vastata "Olivialle". Tämäkin on ansa.

--------------------------KIRJE--------------------------



HUIJAUSKIRJEET JA PALVELUNESTOHYÖKKÄYS

 https://yle.fi/uutiset/3-12396843

8. huhtik. 2022
"Valtioneuvoston ja ministeriöiden verkkosivuihin kohdistunut palvelunestohyökkäys
Hyökkäyksen vuoksi ulkoministeriön ja puolustusministeriön sivut kaatuivat. Nordean verkkopankissa samaan aikaan ilmennyt häiriö ei liity hyökkäykseen."
 
Valtionhallintojen verkkosivustoihin on kohdistunut lähiaikoina runsaasti palvelunestohyökkäyksiä. Suomen tilannetta väitetään kuitenkin "normaaliksi".

Samaan aikaan Nordeassa ilmeni tekninen häiriö – "Kyseessä ei ole palvelunestohyökkäys"
Twitter @Nordea_Aspa
Kuitenkin vuoden sisällä Nordean nimellä on saapunut runsaasti haittapostia, joilla on ilmeisesti saatu haltuun Nordean asiakastunnuksia. Yhtä Nordea-ansaa kuvaileva artikkelini plokataan ulos kerran päivässä. Aihetta siihen ei ole muilla, kuin rikollisella itsellään. Artikkelia luetaan ahkerasti. Artrikkeli on kohdassa: https://vaarallinenweb.blogspot.com/2021/09/nordean-psd2-direktiivi-kirjeita-eri.html

Tilanteet olivat päällä Volodymyr Zelenskyin eduskunnalle pitämän puheen aikana, joten ei voi välttyä arvailemasta, miltä suunnalta hyökkäykset olivat peräisin.
Nämä hyökkäykset osoittavat, että niillä saadaan tärkeitä verkkopalveluita lamautettua, mikä taas ei enteile hyvää, jos Suomeen kohdistuisi samaan aikaan fyysinen uhka.

Olen koonnut ja analysoinnut, pitkällä aikavälillä (vuoden 2019 puolella alkanutta), Venäjältä saapuneutta roskapostien tulvaa ja sen luonteesta on voinut havaita, että se on tähdännyt mahdolliseen, suomalaisten kotikoneiden, haltuunottoon. Roskaposteissa on mm. turhalla datamassalla ja sotketuilla header-osuuksilla, saatu aikaan "raskaita" kirjeitä virustorjunnan tukahduttamiseksi. 

Kun sitten tarpeeksi suuri määrä haltuunotettuja koneita, saadaan haittaohjelmalla ajastettuna hyökkäämään samanaikaisesti (lähettämään roskapostia), kriittisiä palveluita vastaan, tulos on uutisten kuvailema.

Mielenkiintoista on kevään aikana myös ollut, että U.S.A:n suunnalta on luettu artikkeleitani poikkeksellisen usein. Useammin, kuin mistään muusta maasta, tai maanosasta.
Jos otetaan huomioon, mikä verkossa on mahdollista, saattaa lukijakin tietysti olla mistä päin maailmaa tahansa.

Kyberturvallisuuskeskus tiedottaa ja varoittaa myös verkon vaaroista. HUOMAA! (kyberturvallisuuskeskus.fi - EI SIIS "verkkoturvakeskus(.)fi", joka on yksityinen, huonomaineinen verkkotoimija). https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%2C%20helmikuu%202022.pdf

Tässä Blogissa olevia, muutamia varoituksia, venäläisistä roskaposteista:

https://vaarallinenweb.blogspot.com/2022/04/naita-kirjeita-alkaa-tulla-solkenaan.html

https://vaarallinenweb.blogspot.com/2022/04/sylttytehdas-lahettaa-seksipostia.html

https://vaarallinenweb.blogspot.com/2022/04/venalais-ukrainalainen-naiskauppa-jatkuu.html

https://vaarallinenweb.blogspot.com/2022/04/offerstorm-venalainen-roskapostittaja.html

https://vaarallinenweb.blogspot.com/2022/03/ukrainalaisten-naisten-kauppaamista.html

https://vaarallinenweb.blogspot.com/2022/03/ukrainan-sodan-hyvaksikayttajia.html

JOS TÄSTÄ BLOGISTA etsit vasemmalla yläkulmassaolevalla haulla .ru -tunnusta, tulee tulokseksi koko joukko muita venäläisiä haittapostikirjeitä lukuisin eri aihen ja ansalajein.




torstai 7. huhtikuuta 2022

NÄITÄ KIRJEITÄ ALKAA TULLA SOLKENAAN

Sosiaalisen median muotoon rakennettu "kaveripyyntö", joka on ansa.
Kenties Trollitehtaat ovat yhtä hädissään, kuin Venäjän armeija. Kaikki keinot näyttävät verkossakin olevan luvallisia. Jokainen kirjeen linkki vie Venäjälle, samaan piiloitettuun ansaosoitteeseen.
KEHOTAN VAROMAAN JOKAISTA SENSSIPALVELUIHIN VIITTAAVAA KIRJETTÄ. NYT JOKAINEN NIISTÄ ON SAAPUNUT VAARALLISILTA TAI VÄHINTÄÄNKIN EPÄILYTTÄVILTÄ TAHOILTA! Tämä ei ole mitään uutta mutta näyttää tahti kiihtyvän sodan edetessä. Spämmin paljastava seikka myös on, että tekaistun "Marja Lehtisen" kirje saapuu Megan Hemmingsin hotmail osoitteesta, Outlookin postipalvelimen kautta.

".ru" (venäjä) päätteinen linkki on pakattu (salattu) purettuna se osoittaa palvelimelle: fi(.)clubital54(.)xyz, josta verkkoturvallisuustahot ilmoittavat osoitteen olevan "epäilyttävä" (Forcepoint ThreatSeeker ja Norton luokittelee luokkaan: "Suspicious"). Osoitteesta ei löydy julkista kotisivua. Tämä tarkoittaa, että linkki vie tuntemattomaan.
Sanoisin suoraan, että osoite on vaarallinen. Niin puutteessa ei kukaan saa olla, että näihin lankeaa.



keskiviikko 6. huhtikuuta 2022

ERITTÄIN VARMA LIITEPOMMI

Tällaisen kirjeen saajan tulee tiedostaa, että PDF ja Word dokumentti saattaa sisältää viruksen!
Kirje ROSKIIN. Liitettä ei saa tallettaa koneelle, eikä avata.

Tämä liite on HTML-dokumentti joka sekään ei ole vaaraton, sillä siinä oleva linkki saattaa ladata koneellesi haittaohjelman. Vaarattomampi, mutta ei yhtään miellyttävämpi vaihtoehto on, että sivulla on todella AIHEETON lasku, jota karhutaan sinulta tai firmaltasi.
Näitä saavat PK yritäjät menevät hyvin usein tällaiseen halpaan.
Varovaisuustasoa on syytä jokaisessa yrityksessä nostaa ja hyväksyttää lasku asiaa tuntevammalta, jos on aihetta laskua jostakin odottaa.

Saapui osoitteesta: chartering@navyashipping(.)com josta suoralinkitys vei nslishipping(.)com nimiselle koneelle, joka on rekisteröity Intiaan ja on olemassaoleva toimija MUTTA lähetyskone oli Washingtonissa.
Minulla, tai entisellä firmallani ei ole koskaan ollut mitään tekemistä Intian, tai domainnimen omistajan kanssa, eikä sieltä ole odotettavissa mistään syystä laskua JOTEN TÄMÄ ON 90% VARMA POMMIKIRJE ja vähintäänkin aiheeton LASKU.



Sydän harvemmin kaipaa seksiä

Näitä deittiansoja ei olisi tarpeen enää julkaista (tekstin mukaan tämän voisi rinnastaa paritustoimintaan, joka on laitonta ainakin Suomessa). Kuitenkin laitan tämän esille, jotta jokainen ymmärtää, että näihin ei missään tapauksessa kannata vastata, näyttivätpä miten "turvallisilta" tahansa. Turvallisempia sivustoja ja tapoja löytää seuraa löytyy muualtakin (tosin aina voi joutua huijatuksi).
Kirje on lähetetty Japanista (einen vastaava saapui Etelä-Koreasta). Tämä ei tarkoita, että lähettäjä olisi kotoisin Japanista tai Etelä-Koreasta. Lähetys on tapahtunut MicroSoftin postipalvelimelta, joita on ympäri maailmaa.

Tämän kirjeen linkin domainin  tarkistus antoi osoitteelle puhtaat paperit MUTTA, tuo osoite, ei ollutkaan lopullinen. Sieltä linkki heitetään automaattisesti eteenpäin seuraavaan osoitteeseen. TÄMÄ on todella katalaa, koska lopullisen osoitteen turvallisuus jää normaali verkkosurffailijalta selvittämättä.

Alkuperäinen linkki (loveaffairs(.)me) vie sivulle, josta ilmoitetaan: "No HTTP homepage found", eli linkin takana ei ole ns. kotisivua lainkaan. Linkki jatkaa (sinulta lupaa pyytämättä) edeleen osoitteeseen: flirttactic(.)com. Tämän domannimen omistaa Alakomaalainen yritys, "White Mountain Online Solutions B.V." ilmeisesti v.2018 rekisteröity yksityisyritys, jonka toimenkuva ei selviä avoimen datan yritystietorekisteristä. Samoin mitään henkilöomistajatietoja ei löydy. Domannimirekisterissä kaikki oleellinen omistajatieto on "piiloitettu". Tämä ei vakuuta "rehellisyydellään".
Domainrekisteritietojen puutteeseen, sekä lähetyksen harhaanjohtavaan lähetystapaan viitaten, näin epämääräiseen toimjaan ei tule luottaa missään tapauksessa, eikä missään liiketoimessa tai tietojen annossa. Kaikki viittaa rikolliseen toimintaan.

Tuo lopullinen linkkiosoite vie tietokantaan josta saattaa koneellesi saapua aivan mitä tahansa.
Ilmeisesti kuitenkin tässä tapauksessa siellä on "senssipalstan" rekisteröitymislomake. Mikään ei takaa, että se olisi turvallinen, saati säilyttäisi henkilötiedot asiallisesti. Sivuston, joka kerää reksteröitymistietoja, tulisi noudattaa EU:n rekisterinpitoehtoja. Lomakkeelta on löydyttävä linkki tähän rekisteriselosteeseen. Rekisteriehdoista tulee selvitä rekisterin omistaja ja ylläpitäjä ja heidän todennettavissa olevat yhteystietonsa. Mikäli nämä seikat jäävät selviämättä, rekisteriin ei tule antaa omia tietojaan. Rekisteri on laiton.
Laitonta myös on mm. se, että sähköpostiosoitettani (kuten lukuisan muunkin) on käytetty luvattomasti ja osoitteet on mahdollisesti peräisin Elisalta varastetusta osoitteistosta. Ainakaan en ole henkilökohtaisesti antanut tälle firmalle lupaa käyttää osoitettani verkkomarkkinointiin.

Spämmi saapuu tekaistusta ilmaisosoitteesta: fitethdsa@hotmail(.)com ja on lähetetty Japanista.


Myös "UNSUBSCRIBE"-linkki vie saman epämääräisen osoitteen alidomainiin, eli ei kannata odottaa, että spämmäys loppuisi. Aihe saattaa kenties vaihtua.