keskiviikko 17. elokuuta 2022

PoppPankki huijaus

Tämän kirjeen linkin osoite on luokiteltu neljässä verkon turvapalvelussa vaaralliseksi.
Tässä kalastetaan henkilötietojasi ja pankkitunnuksiasi, jonka jälkeen pankkitilisi tyhjennetään. Vastaavia eri pankkien nimillä saapuvia ansoja on liikkeellä runsaasti.
Kirje saapuu Saksasta "mailwebout01(.)agenturserver.de". Huomioi kehno suomenkieli.
MUTTA oikeinkirjoitettujakaan pankkikirjeitä ei kannata klikkailla. Asioi aina vain oman pankkisi virallisten verkkosivujen kautta.

 -----------------------------------------KIRJE------------------------------------

AW : Luottamuksellinen 594098453697577905760681
From     POPPankki (kirje ei saavu PopPankista vaan saksalaiselta koneelta)
To     hannu.kuukkanen@xxxxxxx.fi
Date     Mon 18:25


Luottamuksellinen
Allekirjoitettu asiakirja
Pääsy allekirjoitettuihin asiakirjoihini (tämä linkki vie ansaan)

Hei,
Olemme POPPankki– lähettäneet Teille luottamuksellisen sähköpostiviestin. Sähköpostiviestin avaaminen ja lukeminen tapahtuu yläpuolella olevan suojatun linkin kautta. Turvallisuussyistä voitte lukea viestin vain yhdestä tietokoneesta/mobiililaitteesta korkeintaan 14 päivän ajan. Tallentakaa ja/tai tulostakaa viestin sisältö ja hävittäkää tämä ilmoitusviesti.
POPPankki– 24/7 asiakaspalvelu auttaa tarvittaessa numerossa 0200 3000 (pvm / mpm). Tähän viestiin ei voi vastata. Ystävällisin terveisin, POPPankki.

-------------------------------------------------------------------

tiistai 16. elokuuta 2022

Vaarallisia tabletteja liikkeellä

Sinisillä pillereillä ratsastetaan pitkästä aikaa oikein kuvan kanssa.
Kirje saapuu tunnetusta spämmeriosoitteesta. Domainnimeä ei löydy.
Konetunnuksen alta on havaittu kuusi kappaletta spämmeriosoitteita.

Linkkiosoite (farisionsems.sa(.)com/maxxtoolse/) on luokiteltu verkkoturvasivuilla henkilötietovarkaaksi.

ÄLÄ koske linkkiin, hanki tablettisi apteekista, se on terveellisempää.

---------------------------------KIRJE-----------------------------



Olemattomia paketteja saapuu milloin mistäkin

Tämä paketti olisi tulossa Thaimaasta, Bankokista. Kyseessä on ansa.
Kuvan alareunassa on (kohdistin osoitteen päällä) näkyvä linkkiosoite.
Kun domainnimen jälkeen on PHP päätteinen ohjelma, osoitteen lopullisesta kohteesta ei ole minkäänlaista tietoa, eikä taetta.
Usein PHP ohjelma on nimeltään "redir.php", "redirect.php" mutta ohjelman tarkoitus on aina sama. Kaikissa tapauksissa tällaiseen linkkiin ei kannata koskea.

---------------------------KIRJE----------------------------



lauantai 13. elokuuta 2022

PostNord pakettiansa

Pakettiansa voi saapua minkä kuriirifirman nimissä tahansa. Usein viesti puetaan yrityksen  visuaaliseen asuun varastetulla logolla ja yritysilmeellä. Tässä tapauksessa sitäkään vaivaa ei olla nähty.
Molemmat linkit ovat vaarallisia.

----------------------------KIRJE HTML muodossa-------------------------

Pakettisi ilmoitus

From     Postnord
To     hannu.kuukkanen@xxxxxxxxxx.fi
Reply-To     info@desertprimeca(.)com
Date     Fri 20:31


Hei,

Muistutamme, että olet saanut postilaskun ja että
sinun tulee vahvistaa toimituskulut (3,49) maksamalla verkossa.

Seurantanumerosi: FI-84LKI8965BHG

Seuraa
pakettiani

Kun lähetys saapuu
kotiosoitteeseesi, saat tekstiviestin tai
Vahvista maksu Smart Key -sovelluksessa ja napsauta
JATKA.

Vilpittömästi sinun,

Asiakaspalvelusi PostNord Group..

---------------------------KIRJE TXT muodossa----------------------------

Your email client cannot read this email.
To view it online, please go here:
http://app.desertprimeca(.)com/display.php?M=2051418&C=02a935e8b229032bfa0f5a5f6834a4ab&S=41&L=22&N=23

To stop receiving these
emails:http://app.desertprimeca(.)com/unsubscribe.php?M=2051418&C=02a935e8b229032bfa0f5a5f6834a4ab&L=22&N=41

Yritysnimillä esiintyvät huijarit

Somessa ja sähköposteissa kiertää Tokmanni - huijaus.
Huijauksesta kertoo Iltalehti 10.8.2022.
"Tokmanni varoittaa sen nimissä toimivista Facebook-valetileistä sekä huijausviesteistä. "
https://www.iltalehti.fi/tietoturva/a/c05e801e-9a55-42eb-b92a-eeff065da0ec
Tässä blogissa on myös kuvailtu vastaavia huijauksia sähköpostiversiona. Yleisimpiä ovat nämä lahjakorttihuijaukset, joita on lähes kaikkien tuttujen yritysten nimissä.

Yleensä huijari pyrkii urkkimaan jonkin olemassaolevan yrityksen nimissä henkilötietosi, joiden avulla hän seuraavaksi tyhjentää pankkitilisi omilla ostoillaan ja verkkohankinnoillaan. Pahimmassa tapauksessa koneellesi ujutetaan valesivustolta virus jonkin kohdesivulla olevan linkin kautta.

https://vaarallinenweb.blogspot.com/2022/08/venajan-kyberhyokkaysten-valmistelua.html

https://vaarallinenweb.blogspot.com/2022/07/lahjakortti-jota-et-tule-saamaan-koskaan.html


Seurustelu - ansa muiden joukossa

Seuranhaku ja seksillä houkuttelu on yksi varmimmista ansatyypeistä.
Näitä on lukuisia erilaisia versioita ja useimmat näyttävät olevan venäjältä lähtöisin.
Tämänkin kirjeen valmistajataho/lähettäjä on hyvin piiloitettu.

Kirje on lähetetty ranskalaiselta domainilta mutta lähetyskone löytyykin Puolasta.
Linkit vievät islantilaiseen domainiin "tr(.)jetspeed.online".

Peittely viittaa tuttuun sylttytehtaaseen, eikä linkkeihin ole mitään syytä koskea.
Kuvilla halutaan houkutella klikkailemaan linkkejä jotka vievät kahteen eri tietokantaosoitteeseen, joiden tuomasta sisällöstä ei ole turvatakeita. JOS kirje saapuu venäjältä, koneesi on vaarassa. JOS kirje saapuu muualta, kyseessä on mitä ilmeisimmin henkilötietovarkausyritys. Kaikissa tapauksissa klikkailu tulee sinulle kalliiksi.
Hae turvallisempaa seuraa muualta.



perjantai 12. elokuuta 2022

TIETOA TÄMÄN BLOGIN LUKIJAKUNNASTA

TIETOA BLOGIN LUKIJOISTA - STATISTIIKKA

2013 - 2022 koko ajalta 199.000 lukijaamäärä vaihtelee päivittäin artikkelin mielenkiinnon mukaan
1.2.2017 ennätys 7.666 lukijaa päivässä
1.3.2022 vuoden paras 6.165 lukijaa päivässä

Lukijaprofiili on edelleen U.S.A. voittoinen (jaksaa yllättää aina vaan)
Yhdysvallat 75,3 t. kieliongelmista huolimatta. Seurataan ilmeisesti Venäjän trollauksia.
Suomi 37,6 t. TE, hyvät lukijat. Tämä luku saisi olla suurempi. Oman verkkoturvallisuutenne kannalta kannattaa katsoa, mitä uhkia verkossa väijyy yhä enmmässä määrin (tietoa on muillakin sivustoilla).
Italia 33 t. toisinaan Italia pomppaa esiin. Ehkä vanhat projektikumppanit?
Venäjä 14,4 t. seuraavat ilmeisesti mitä heidän trollauksistaan kerrotaan.
+ runsaasti muita maita

Windows 93,2 t. yleisin kotikone ja työ PC
Macintosh 49,6 t. seuraavaksi yleisin  kotikone ja työ PC
Linux 32,5 t. yleinen oppilaitoksissa, viranomaiskäytössä... (mielenkiintoista)
Android 12,3 t. älypuhelimet
iPhone 5,65 t. älypuhelimet
Unix 2,98 t. oppilaitokset ja viranomaiset
+ muut laitteet

Tietoa verkkoturvauhkista ja niihin varautumisesta löytyy myös:

https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kybersaa?toggle=Kybers%C3%A4%C3%A4tiedotteet%202022 (ajankohtaisia verkkouhkia)

https://www.facebook.com/verkonvaarat/ (älykännyköissä ja somessa muhivista vaaroista)

https://learning-corner.learning.europa.eu/learning-materials/digital-explorers-cartoon-series/staying-safe-online_fi (nuorisolle)




Venäjän kyberhyökkäysten valmistelua

Et voi olla koskaan liian varovainen.
Venäjän palkkaamat Trollitehtaat ovat nyt erittäin aktiivisia.
Troillien virittelemiä ansoja löytyy kaikista sosiaalisen median välineistä, sekä e-mail-kirjeistä.

Venäjä tarvitsee yksityishenkilöiden koneita kyberhyökkäyksiään varten.
Mm. tänään on raportoitu useita palvelunestohyökkäyksiä suomalaisia tärkeitä verkkotoimijoita vastaan, mukaan lukien ministeriöiden verkkosivut, Wärtsilä, sekä Osuuspankki.
Mitä enemmän "orjakoneita" Trollit saavat haltuunsa huolimattomilta tietoteknisten laitteiden käyttäjiltä, sitä laajempia ja tehokkaampia palvelunestohyökkäykset ovat.

Suomen tietotoimiston tietomurto tehtiin tietojärjestelmään istutetun viruksen avulla.
Virus on saattanut saapua (esim. kirjeen liitteenä) jollekin käyttäjän työkoneelle tai kotikoneelle ja sittemmin kulkeutua työkoneelle aineiston mukana. https://www.iltalehti.fi/kotimaa/a/d3d0d7b2-6516-4059-84f2-72860c89469e

E-maileissa jatkuvasti esiintyviä ansatyyppejä ja otsikoita:

1000€:n lahjakortti Tokmanni!
Uteliaisiin, pikavoittoja etsiviin tähdätty ansa (erittäin vaaralliseksi todettu osoite)

Rekisteröidy tänään ja saat upean tervetuliaisbonuksen!
Peliriippuvaisiin tähdätty ansa (linkki uudelleen ohjattu vaaralliseksi luokitellulle koneelle)

Hei kulta, älä missaa tätä ja hyödynnä tilaisuutesi!
Irtosuhteita etsiviin tähdätty ansa (erittäin vaaralliseksi todettu linkki)

VOITA ITSELLESI 1000€:N LAHJAKORTTI K-MARKET!
Pelureihin vetoava ansa (erittäin vaaralliseksi todettu linkki)

Arvomme 1000€:N Prisman Lahjakortti!
Pelureihin vetoava ansa (erittäin vaaralliseksi todettu linkki)

Loma aktivoitu! Voita 500 € SAS-lahjakortti!
Pelureihin ja seikkailijoihin vetoaa tämäkin ansa. (Linkin domainnimi on poistettu verkosta - onneksi)

Varastollamme on (1) pakettia odottamassa kuljatusta sinulle.
Verkkokauppojen asiakkaisiin tähdätty ansa. Pakettiansoja on usean eri kuljetusfirman nimissä.

VAROITUS!!! Järjestelmä on havainnut (13) virusta tietokoneellasi....
Links: osoite kertoo, että "crazytulip.com | 521: Web server is down", joka taas on ilmeistä, koska verkkopalvelutarjoaja on havainnut rikollisen sivuston ja plokannut palvelimen ulos verkosta.
Tekaistuja VIRUSVAROITUKSIA saapuu usean virustorjuntaohjelman nimillä. Tämä saapui "Norton Allert" - nimellä ratsastaen. Virus olisi, tässä tapauksessa, vasta tulossa linkin kautta.
Kun hankit tai päivität virustorjuntaohjelman, tee se ohjelman virallisislta sivuilta tai
, jos olet apävarma tietotekniikan käyttäjä, mieluiten oman palveluntarjoajasi kautta.

- Vegaaninen ja sokeriton painonhallinta? Kokeile Morya ilmaiseksi
Virustorjuntaohjelmistosivujen VAROITUS: "pishing, malicious" eli linkkiosoite on vaarallinen.
Omien yhteystietojen antaminen verkkorikolliselle tulee sinulle kalliiksi.


Kilpailuta lainasi nyt edullisemmalla korolla
http://www.laselection(.)net/redir.php3?cat=ach&url=0x334BBFE5/cl/16698_md/1/483/668/187/27036
Useat ansalinkit ohjaavat "redir.php3" (tai vastaavalla) ohjelmalla uteliaan uudelle sivulle. Linkkiosoite saadaan näyttämään puhtaalta, koska ensimmäinen linkki osoittaa laillisen toimijan domainiin. Et huomaa linkin muuttumista selaimessasi, ellet osaa olla tarpeeksi varovainen.
Mm. linkkejä on osoitettu usein sivulle info@nazar.fi/... josta ne ohjataan edelleen rikollisen palvelinosoitteeseen.

Aiheesta lisää tässä blogissa:
https://vaarallinenweb.blogspot.com/2022/08/vaarallisen-sylttytehtaan-tuotantoa.html

maanantai 8. elokuuta 2022

LIITE - TIEDOSTO - ANSAT

"Verkon vaarat” – sivulla muistutettiin liiteansoista, joten otan myös tässä blogissa aiheen uudelleen esille.

Jokainen verkossa liikkuva liitetiedosto on potentiaalinen virus. On syytä suhtautua varauksella MYÖS liitetiedostoissa esiintyviin linkkeihin. Vaikka liite saapuisi kaverisi osoitteesta, liite voi olla vaarallinen, koska kaverisi osoite, tai verkkoprofiili, saattaa olla ”lainattu” = varastettu, rikolliseen käyttöön.

Viruksia (haittaohjelmia) saattaa olla kaikissa liitetiedostoissa, jotka pystyvät pitämään sisällään toimivia tai aktivoitavissa olevia ohjelmia.
Sellaisia ovat mm.: PDF, WORD,EXCELL,ZIP, EXE (EXE on kaikista vaarallisin liite, koska se on yhdellä klikkauksella aukeava ohjelma = ilmeinen virus).
Erilaisia tiedostonpakkausversioita ovat myös RAR-, 7z- ja CAB – tiedostonimipidenteillä varustetut liitteet.

JOS haluat varmistaa, että et itse jaa viruksia liitetiedostoissasi, käytä esimerkiksi asiakirjoissa TXT tai RTF tekstimuotoja, jotka eivät sisällä ohjelmia. PDF tiedoston voi korvata JPG kuvatiedostolla, tai suojata PDF:n omilla suojaustavoilla (lue suojausohjeet Adoben sivulta https://helpx.adobe.com/fi/acrobat/using/choosing-security-method-pdfs.html). EXCELL taulukoita voit myös muuttaa kuviksi, jos niitä ei tarvitse käsitellä edelleen.

KAIKISSA TAPAUKSISSA on syytä skannata virustorjuntaohjelmalla jokainen koneellesi saapuva liitetiedosto (tulivatpa ne kavereiltasi tai eivät). Yleisimmillä virustorjuntaohjelmilla skannaus toimii osoittamalla kohdistimella liitetiedostokuvaketta, jolloin oikealla hiirinäppäimellä (PC) aukeaa valikko josta klikkaat ”tallenna kohde levylle”. Tallenna tiedosto kansioon, josta löydät sen ja kansiossa osoita liitekuvaketta kohdistimella, klikkaa oikeaa näppäintä (PC) ja valitse ilmestyvästä valikosta ”tarkista virusten varalta”. Virustorjuntaohjelmilla saattaa olla aukeavassa valikossa myös oma linkki virustarkastukseen. Mm. MalwareBytes ilmoittaa omalla nimellään virusskannauksen.

VAROITUS! Kannattaa myös päivittää kaikki ohjelmansa ja laiteajurit VAIN luotettavista verkko-osoitteista.
Ponnahdusikkunoiden linkit voivat viedä hakkerin virusvarastolle.
Erilaisia ”ajureita” saatetaan vaatia asennettaviksi tai päivitettäviksi esim. videotiedostojen ja kuvatiedostojen latauksen yhteydessä. Näitä kehotuksia ei tule noudattaa. Kyseessä saattaa olla viruksella saastutettu ohjelma tai itse virus. Virus saatta olla nimetty "lähes" oikean ajurin nimellä.

Liiteansakuvaus:
https://vaarallinenweb.blogspot.com/2019/02/tassa-kirjeessa-on-liiteansa.html
Toinen vastaava:
https://vaarallinenweb.blogspot.com/2015/04/kaksi-uutta-doc-liitetiedostohyokkaysyr.html
Kolmas esimerkki:
https://vaarallinenweb.blogspot.com/2019/01/seuraava-pommikirje-tuli-heti-perassa.html
DHL pakettiansa liitteellä:
https://vaarallinenweb.blogspot.com/2018/03/dhl-spammeja-jallen-liikkeella.html
Toinen DHL:n nimissä saapunut ansa:
https://vaarallinenweb.blogspot.com/2019/08/dhln-nimissa-tullut-kavala-ansa.html
Ja pommi-Faxi liitteenä:
https://vaarallinenweb.blogspot.com/2015/03/tuntematon-e-fax-venajalta-ei-innosta.html
Mm. käytännön ohjeita miten tunnistaa kirjeen alkuperä helposti:
https://vaarallinenweb.blogspot.com/2016/08/dhl-liite-sisaltaa-viruksen.html
WORD liiteansa:
https://vaarallinenweb.blogspot.com/2015/07/word-liiteansa-tuotteesta-jota-ei-ole.html
Virustarkistusteksti kirjeessä on hämäystä:
https://vaarallinenweb.blogspot.com/2018/02/virustarkistettu-liite-joka-on-virus.html
ZIP liite-virus:
https://vaarallinenweb.blogspot.com/2015/12/frieda-forbes-courier-service-liite.html
PDF liite tiedonkeruuansa:
https://vaarallinenweb.blogspot.com/2018/09/epaluotettava-yritystietojen-keraaja.html
Maksuhuomautusliite joka on virus:
https://vaarallinenweb.blogspot.com/2021/08/maksuhuomautuksen-liitteessa-on-virus.html
HTML liite voi sisältää linkitettyjä tai automaattisia ohjelmakutsuja (myös viruksia):
https://vaarallinenweb.blogspot.com/2022/05/one-drive-liiteansa-joka-ei-ole-lasku.html

Kuvatiedosto ei normaalisti voi sisältää virusta mutta sekin olisi mahdollista.

Iltalehti kertoi vuonna 2016 sosiaalisen median ystävän nimellä saapuvasta viruksesta kuvatiedostossa: "Viesti sisältää svg-kuvatiedoston, mikä ei kuitenkaan ole ihan perinteinen kuva. Svg-muoto nimittäin mahdollistaa koodinpätkän lisäämisen kuvaan. Näin ollen kuvan avaaja ajaa samalla myös haitallisen koodinpätkän."
https://www.iltalehti.fi/digi/a/201611212200030142




torstai 4. elokuuta 2022

Venäläisen sylttytehtaan tuotantoa

Samalta toimijalta saapuu nyt useita eri aiheisia kirjeitä. Kaikki linkit vievät Venäjälle ja kirjeiden tarkoitus tähtää ilmeiseen rikokseen (vähintäänkin henkilötietovarkaus, pahimmillaan koneen kaappaaminen kyberhyökkäystä varten).
Lähde on sama, kuin JYSKIN LAHJAKORTTI -kirje. Linkit heitetään automaattisesti "lailliselta" -palvelimelta rikollisen palvelimelle, joten domainkysely näyttää "puhtaalta".

KOKO KIRJEEN SISÄLTÖ TEKSTIMUODOSSA
-------------------------------------------------------------------------------------------------

Viritä kehosi kuntoon täksi talveksi Sinutralin avulla?


From     Terveydenhuolto
To     hannu.kuukkanen@xxxxxxxx.fi
Reply-To     info@nazar(.)fi
Date     Today 13:47

           [1]

 Sinutral -valmisteen käyttäjät ovat iloisia tuotteen tuomista
tuloksista. Jos painoa on liikaa, kunto on huono ja voimat eivät riitä
aktiiviseen liikkumiseen muun elämän pyörittämisen ohessa, kokeile
Sinutralia!

Sinutralin patentoitu sitrusuute Sinetrol(R) Xpur luonnollisesti lisää
kehon rasvahappojen vapautumista ja tarjoaa tehokkaan sekä turvallisen
painonpudotuksen. Valmiste on markkinoiden suosituimpia eikä syyttä –
pysyvä painonpudotus ja enemmän energiaa on monen toiveena. Tilaamalla
Sinutralia liityt niiden joukkoon, jotka tekevät toiveestaan totta ja
kokevat uutta puhtia arjessaan.
      [1]
          Tämän viestin lähettäjänä toimii Sinutralin yhteistyökumppani
click here [2] to remove yourself from our emails list

Links:
------
[1] http://nep.advangelists(.)com/xp/user-sync?acctid=319&redirect=//192.0x6D.165.0341/cl/15482_md/1/465/637/187/27036
[2] http://nep.advangelists(.)com/xp/user-sync?acctid=319&redirect=//192.0x6D.165.0341/oop/15482_md/1/465/637/187/27036

(nämä osoitteet menevät heittolinkkinä (redirect) koneelle, jonka domainnimi on "larasoft.xyz", kone on merkitty verkkoturvayhtiön sivulla "epäilyttäväksi", tai "ei turvalliseksi", joka tarkoittaa, että sellaiselle sivulle EI itseään tule klikata.)

(advangelists(.)com on amerikkalainen markkinointialusta, jota voi käyttää kuka tahansa)

nazar.fi (lähetysosoite) on pakettimatkatoimittaja, eli heidän koneensa on ilmeisimmin hakkeroitu (tai osoite kaapattu spämmitarkoitukseen). Domainnimitiedustelu kertoo: "All Inclusive Nazarilla – Varaa aurinkolomasi Turkkiin ja Rodokselle - Nazarilla"