lauantai 10. syyskuuta 2022

Ukrainalaisia naisia kaupataan jälleen

Mitä ilmeisimmin venäjältä lähtöisin oleva ansa, jolla on tarkoitus onkia henkilötietoja ja mahdollisesti kaapata orjakoneita Cyber-hyökkäyksiä varten. Jäljet on peitelty mutta "käsiala" on säilynyt.
Kirje on lähetetty itävaltalaiselta koneelta, eikä kirje ole missään tekemisissä suomalaisen toimijan kanssa (toivoa sopii, koska ansa on viritetty venäläisten hyväksi, ei ukrainalaisten, tai suomalaisten). Ukrainalaiset naissiirtolaiset luokitellaan "vapaaksi riistaksi", kuten useassa aikaisemmassa vastaavassa ansakirjeessä.
Linkki vie, neljän virustorjuntafirman ilmoituksen mukaan, vaaralliselle sivulle.
Linkki on piiloitettu lyhennepalvelun taakse. Avattuna: https://ml-trk(.)com/+pitkätietokantaosoite. Vaarallinen domain on rekisteröity Islantiin, Reykjavikiin, kuten niin monet muutkin venäläisten trollien domainit. Rekisterissä kaikki yhteystiedot on peitetty.

---------------------------------KIRJE-----------------------------------




keskiviikko 7. syyskuuta 2022

Sarah pommittaa "uteliaisuuskirjeillä"

Kun kirjeessä ei ole aihetta ja vain yksi parin sanan lause, se ei ansaitse minkäänlaista huomiota.
Otin sen kuitenkin yhdeksi lisäesimerkiksi uteliaisuuteen perustuvista spämmeistä.

Näiden tarkoitus on luoda yhteys johonkuhun henkilöön (naiseen taikka mieheen) myöhäisempää lypsämistä varten. Ideana on yrittää kirjeitse rakentaa luottamussuhde jonka takaa voidaan sitten aloittaa surulliseen tarinaan perustuva rahannyhdäntä.
Tätä kirjettä on saapunut useita kappaleita.

Naisia on saatu lankaan, esiintymällä rakkauttapursuavilla keskustelukumppaneilla, jotka myöhemmin osoittautuvat rahastajiksi ja konniksi. Näihin uppoaa mahtava siivu suomalaisista nettipetoksista.

------------------------------KIRJE--------------------------

Aihe: tt (myös (no subject), on käytössä aiheena)

From     sarah
(sarahritter(.)mail@gmail.com - ilmaisosoite jonka takaa ei henkilöä tulla koskaan löytämään)
Date     Today 16:19


Voimmeko puhua?

----------------------------------------------------------------

Tekstisiältönä on ollut myös sanat: "Olen edelleen odottaa".

Varmasti monia muitakin variaatioita liikkuu.

Henkivakuutusrahat jäävät saamatta

Tässä kirjeessä spämmeri on aivan hakoteillä.
Koska olen admin useammallakin verkkosivustolla, botti, tai huijari on napannut osoitteeni mutta ei ole tutustunut tarkemmin, kenelle viestin oikeasti lähettää, tai mitä tekemistä minulla on sivun omistajan kanssa.
Tämän mukaan olisin saamassa Allan Lehikoisen vakuutusrahoja, vaikka en ole mitään sukua hänelle.
Lisäksi kirje puhuttelee minua väärällä nimellä.
Toki tämä on houkuttimeksi tehtailtu teksti, joten eipä epäsukuisuus, tai väärä nimi haittaa muita kuin huijaria.
Kaikissa tapauksissa rahoja en tule saamaan. 

Nämä perintö- ja vakuutushuijarit kuuluvat siihen kastiin, jolta saapuu suuri määrä erilaisia laskuja erilaisista olemattomista tehtävistä, mitä rahojensiirto ym. vaatii. Rahoja et saa euron killinkiäkään.

Pahimmassa tapauksessa henkilötietosi ja pankkitietosi joutuvat huijarille, joka tyhjentää tilisi.

 -----------------------------------KIRJE---------------------------------

Insurance of Mr. Alan Lehikoinen
From     Pawlus life insurance - Pasqual Molina
To     hannu.kuukkanen@xxxxxx.fi
Reply-To     pm@pawluslife(.)org (6 verkkoturvayritystä on luokitellut osoitteen vaaralliseksi)


Hello Hannu Lehikoinen,

It may surprise you to receive this letter from me since there has been no previous correspondence between us. There is an unclaimed huge sum"permanent life insurance policy" held by our deceased client Mr. Alan Lehikoinen.

Since his death, no one has come forward for the claim, and all our efforts to locate His relatives have proved unsuccessful.

The insurance company code stipulates that "insured permanent policies" not claimed must be turned over to the abandoned property division of the state after 10 years.

Therefore, I ask for your consent to be in partnership with me for the claim of this policy benefit because you share the same last name and nationality with the deceased. If you permit me to add your name to the policy, all proceeds will be processed on your behalf. I wish to point out that I want 10% of this money to be shared among charity organizations while the remaining 90% will be shared between us.

I will provide all the relevant documents to substantiate your claim as the beneficiary. Kindly provide a reachable contact number, for faster communication.

Best regards

Mr. Pasqual Molina
Head of LegalDepartment
Pawlus Life insurance
Telephone: +16392994118 (älä edes uteliaisuuttasi soita, numero voi olla maksullinen)
----------------------------------------------------------------

Puhelin Botti soittelee laittomia puheluita

Laita numerot estoon (numeroa vaihdellaan).

IS Digitoday kertoo botti-soitoista joista osa on kiusallisia ja osa on jopa vaarallisia.

https://www.is.fi/digitoday/tietoturva/art-2000008540527.html

Kuka soitti -palvelusta löytyy kyseenalainen, bottia käyttävä tutkimusfirma häirintäpuheluineen. Puhelun tyyli on aina sama ja vaikutelmaksi tulee, ettei soittaja edes kuuntle mitä vastataan tai kysytään. Eipä tietenkään, koska Botit harvemmin analysoivat kysymyksiä, eikä niillä ole edes sopivia vastauksia tarjolla muuttuviin tilanteisiin. Kun avainsanoja pitää etsiä lauseenrakenteen mukaan, suomenkieli muuttuu todella hankalaksi.

https://www.kukasoitti.fi/numero/0409241183
0409241183 – Arvioiden lukumäärä: 6× Häiritsevä …

Lainaus muutamasta kommenteista:
- Automaatti soittaa tarkalleen 30min välein kunnes vastaat ja nauha alkaa tekemään kyselyä.
- Soittanut tunnin sisällä jo kolme kertaa.
- Joku kysely missä pitää painaa numeroita. Todella epäilyttävä

https://www.kukasoitti.fi/numero/0409241067
0409241067 – Arvioiden lukumäärä: 15× Häiritsevä -

Lainaus muutamasta kommentista:
- Joku PPG tutkimustiimi, Juha Halonen esitteli olevansa. Löin luurin, soittanu tänään jo 4x.
- Typerä soittaja, kysyy sopiiko kertoa jotain. Sanoin ei sovi nyt, toteaa no hyvä ja jatkaa juttuaan. Suljin puhelimen.
Jo toinen soitto samalta törkimykseltä.
Mietin onko joku tallenne, kysyy ja hetken päästä jatkaa, samalla tavalla.

SOMEBOTTEJA ANALYSOI MYÖS VANHA YLEN ARTIKKELI
Artikkeli on edelleen ajankohtainen

https://yle.fi/aihe/artikkeli/2018/09/30/valheenpaljastaja-botti-vai-ihminen-somessa-hulinoivan-bottiarmeijan-saa-luotua

maanantai 5. syyskuuta 2022

Linkkihuijaukset nettisivuilla

Verkkosivustot voivat piilottaa huijauslinkit myös JavaScript-koodilla. Jos uskot surffailevasi vain turvallisilla sivuilla, voit ohittaa tämän jutun.

---

 

Otan tähän ensin esimerkin sivujoukon turvallisemmasta osasta, Googlen hakusivun.



Hakusanalla "helsinki" kärkeen osuu Helsingin kaupungin virallinen etusivu (A). Kun vie osoittimen hakutuloksen päälle (älä vielä klikkaa), tulee selaimen alapalkkiin näkyviin linkki (B), joka viittaa aidolle sivulle https://www(.)hel(.)fi Joskus voi linkki näkyä myös hiiriosoittimen vieressä.

Tällaiset linkkihämäykset on toteutettu sivulla ajettavalla JavaScript-koodilla. Sitä käyttämällä voidaan palkissa näkyvä teksti muuttaa millaiseksi vain. Sudenkuoppa on se, että todellinen linkki on paljon pidempi, se näyttää jotakuinkin tältä (sulkeet poislukien):

https://www(.)google(.)fi/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwje9rjTm-_5AhUtx4sKHVK_C-gQFnoECAgQAQ&url=https%3A%2F%2Fwww(.)hel(.)fi%2F&usg=AOvVaw3IxUjV7nFwWzp9f9izaURR

Siis kun klikkaat linkkiä (A), Google rekisteröi sen suosion ja käytön vähintään omaan järjestelmäänsä. Jos olet hakua tehdessä kirjautuneena Google/Gmail-tunnuksella, sen historiaan jää ehkä myös merkintä hakusanoista, samoin omalle laitteelle selaimen historiaan, evästeisiin yms. Lopuksi se vie halutulle sivulle, joka näkyy pitkän linkin loppupuoliskolla. Tämä on vain esimerkki, Google tuskin käyttää tätä ominaisuutta huijaukseen.


Muistutus! Vaikka Google ei huijaa, niin Googlen hakutuloksien joukossa voi olla vaarallisia osoitteita.


---


En esitä vaarallisista huijaussivuista aitoa tosielämän tapausta turvallisuussyistä, mutta esimerkki voisi olla tällainen:

Olet löytänyt jonkin suklaakakkureseptin. Siinä lueteltuja ainesosia on linkitetty suoraan XYZ-suklaafirman tuotteisiin

   1) Esimerkiksi teksti "STU-tummasuklaa", joka on merkitty linkiksi
   2) Siirrät kohdistimen tuon päälle
   3) Selainikkunan alareunassa voi olla vaikkapa teksti "Suussa sulava"
   4) Klikatessasi linkkiä se viekin osoitteeseen www(.)VP-sylttytehdas(.)xrux


---


Jos haluaa ja jaksaa, oikean linkin pystyy, kuten aiemmassa esimerkissä esitetyn pitkän linkin tarkistamaan 

   1) klikkaa sitä hakutulosta hiiren kakkosnäppäimellä

   2) valitse  "Kopioi linkki"

   3) tekstinkäsittelyohjelmassa "Muokkaa-Liitä".

Google käyttää tuota linkkimuuntelua tilastointiin, mainoksiin, "käyttäjäkokemuksen parantamiseen" tms.


Roistot voivat kuitenkin huijata varomatonta nettisurffailijaa.

 

---


Vielä kommentti huijarilinkissä näkyvästä IP-osoitteesta, jonka isäntämme aiemmassa postauksessa mainitsi: "192(.)0x6D(.)165(.)0341". Siinä hämäys perustuu siihen, että tavallisin esitysmuoto on pisteellä erotetut 4 kymmenjärjestelmän lukua joukosta 0-255

Ne luvut voidaan myös esittää 16-järjestelmän lukuina alkumerkinnällä 0x, tuossa tapauksessa 0x6D vastaa kymmenjärjestelmässä lukua 6*16+13 eli 109.

Jos edessä on pelkkä nolla kuten luvussa 0341, tulkitaan se 8-järjestelmän luvuksi, joka on kymmenjärjestelmän luku 3*64+4*8+1 eli 225.

Tuo osoite olisi siis "selkokielellä" 192(.)109(.)165(.)225

Vaarallinen, ÄLÄ KOKEILE!!!

Kallis laina - huijaus (useita peräkkäin eri otsakkeilla)

Tämä huijauskirje on samaa sarjaa muutaman edellisen ja seuraavienkin kanssa. Kaikki saapuvat ainakin toistaiseksi osoitteesta "info@nazar.fi", joka on matkanjärjestäjä ja joka osoite on varastettu spämmikäyttöön. Kaikki linkit vievät samalle huijarin koneelle. Aihe viesteissä vain vaihtuu.
Tämä laina tulisi todella kalliiksi jos erehdyt antamaan linkin päässä olevalle lomakkeelle henkilötietosi ja pankkitietosi.
Koska linkki vie tietokantaan, sen mukana voi koneellesi saapua myös virus.

--------------------------------------KIRJE--------------------------------------

KIRJEEN KOKO SISÄLTÖ TXT-muodossa:

Oletko kyllästynyt lyhentämään kallista lainaa? Yhdistä pienlainasi ja säästä rahaa

From     Hyväksyntä hakemuksellesi tunnissa
To     hannu.kuukkanen@xxxxxxxxx
Reply-To     info@nazar.fi (tämä osoite on varastettu matkanjärjestäjältä)
Date     Sun 23:13


          [1]

 _Lainaa 2.000 - 60.000 euroa ja valitse laina-ajaksi 1-15 vuotta!_

AUTAMME SINUA LÖYTÄMÄÄN PARHAAT LAINATARJOUKSET SUOMESSA TOIMIVILTA
PANKEILTA JA RAHOITUSLAITOKSILTA, JOISTA SAAT VALITA SINULLE SOPIVIMMAN.   
_Meidän kauttamme kilpailutat pankit ja rahoituslaitokset täysin
veloituksetta ja sitoutumatta._

          HAE NYT [1]

          Esimerkki lainan kustannuksista: luoton ollessa 10 000 € ja
takaisinmaksuajan 5 vuotta on kuukausierä 233 €. Kuukausierään
lisätään 5 € laskutuslisä ja 95€ avausmaksu. Lainan
kokonaiskustannus on tällöin 13 958 €. Nimelliskorko on 12,60 % ja
todellinen vuosikorko 14,9%. Luotonmyöntäjät tekevät lainatarjouksen
asiakaskohtaiseen arvioon perustuen. Tarjottava todellinen vuosikorko voi
vaihdella välillä minimissään 4,5 % ja maksimissaan 50,5%.  

click here [2] to remove yourself from our emails list


Links:
------
[1] http://www.laselection(.)net/redir.php3?cat=ach&url=192.0x6D.165.0341/...
[2] http://www.laselection(.)net/redir.php3?cat=ach&url=192.0x6D.165.0341/...

(kaikki linkit vievät samalle rikollisen koneelle laselection(.)net. Kone on sama ja jopa osoite on sama kuin edellisissä huijauskirjeissä aivan eri aiheista muokattuina. Tämä viittaa "teolliseen" verkkorikollisuuteen)

Kasinohuijaus:
https://vaarallinenweb.blogspot.com/2022/09/kasino-huijaus.html

Laihdutushuijaus:
https://vaarallinenweb.blogspot.com/2022/09/lompakon-laihdutusta.html

Uusin lainahuijausversio saapui 5.9.2022 otsakkeella:
Laki on muuttunut tänä syksynä - Nyt voit saada lainaa edullisemmin
Paras Suomalainen Laina
(linkit vievät samaan ansaan, kuin edellisissä. Tämäkin kije on laiton ansa)

Samana päivänä seuraava ansaposti jatkaa edelleen samaa linjaa
Helppo ja nopea tapa saada lainaa
Hyväksyntä hakemuksellesi tunnissa
(linkit vievät samaan ansaan, kuin edellisissä. Tämäkin kije on laiton ansa)

Seuraava posti
Tämä on viimeinen muistutus sinulle
ARVOMME 1000€:N LAHJAKORTTI! 

Seuraava posti alkaa mennä jo otsakkeissaan sekaisin
l𝐮𝐧𝐚𝐬𝐭𝐚 𝐦𝐚𝐡𝐝𝐨𝐥𝐥𝐢𝐧𝐞𝐧 𝟏 𝟎𝟎𝟎 𝐀̈ 𝐥𝐚𝐡𝐣𝐚𝐤𝐨𝐫𝐭𝐭𝐢
Hyväksyntä hakemuksellesi tunnissa

Seuraava posti houkuttelee pelureita. Tämäkin ansa tulee kalliiksi
𝘌𝘙𝘝𝘌𝘛𝘜𝘓𝘖𝘈 𝘓𝘜𝘊𝘒𝘚𝘛𝘌𝘙! 𝘕𝘈𝘗𝘗𝘈𝘈 + 100 𝘐𝘓𝘔𝘈𝘐𝘚𝘒𝘐𝘌𝘙𝘙𝘖𝘚𝘛𝘈
Your Lucky day

 Seuraava posti jne. vaihtelevia houkutuksia, joilla ei ole katetta
𝙎𝙖𝙖𝙩 30 𝙥𝙖̈𝙞𝙫𝙖̈𝙣 𝙧𝙖𝙟𝙖𝙩𝙤𝙣 𝙠𝙖̈𝙩𝙚𝙞𝙨𝙥𝙖𝙡𝙖𝙪𝙩𝙪𝙨❗
FreeSpins4You

Spämmipostitus jatkuu vastaavan laisena eri aihein mutta linkkiosoite on menossa uudelle rikollisen sivustolle. Edellinen osoite on plokattu ulos verkosta.
http://nep.advangelists(.)com/xp/user-sync?acctid=319&redirect=//192.0x6D.165.0341/cl/...

sunnuntai 4. syyskuuta 2022

Kasino huijaus

Tämä on saman spämmääjän tekele kuin "Laihduttaa ja pitää hauskaa...".
Lähetysosoitteena käytetään myös pihla.fi -ikkuna ja ovivalmistajan osoitetta (joka ei ole edes todellinen lähetysosoite) ja linkit vievät samalle vaaralliselle koneelle jossa henkilötietosi varastetaan. Saman huijarin laihdutusyritelmä on myös tässä Blogissa analysoituna: https://vaarallinenweb.blogspot.com/2022/09/lompakon-laihdutusta.html
Molemmissa otsakkeissa on kehnoa suomenkieltä joka aina on vakava varoitus.
Muu teksti saattaa olla varastettu verkkosivuilta.


Tämänkin sähköpostin linkissä on tuo PHP ohjelma (redir.php3...), joka siirtää linkin tuntemattomalle koneelle.

perjantai 2. syyskuuta 2022

Blogia hakkeroidaan

Statistiikasta voi päätellä, että tätä blogia hakkeroidaan!
On tavallaan kunnianosoitus, että blogia pidetään spämmereille niin haitallisena, että sitä yritetään sabotoida. Bloggerin tiimiä voi kiittää siitä, että tunkeutuminen ei ole onnistunut.
Eikä tämä ole edes eka kerta. Viimeksi artikkeleita onnistuttiin plokkaamaan pidemmänkin aikaa, Bloggerisa olevan ongelman vuoksi.
https://vaarallinenweb.blogspot.com/2021/12/miksi-ja-kuka-plokkaa-jatkuvasti-kahta.html

Twitterin lyhennepalvelulle ei löytynyt vielä silloin julkista purkuohjelmaa, joten spämmien linkit jäivät piiloon. Tämä ongelma korjautui sittemmin. Allaolevassa listassa on koottuna muutamia ansalinkkejä sisältäviä e-maileja otsaketasolla.
https://vaarallinenweb.blogspot.com/2021/09/twitterin-mustalista.html

Lompakon laihdutusta

Sähköpostispämmien laihdutuslääkkeet eivät lupaa mitään hyvää.
Tämä on yksi, hyvin usein esiintyvä verkkoansamuoto.
Kun katsotaan tarkemmin kirjettä, sen lähettäjää ja kirjeessä olevia linkkejä, on nähtävissä, että kyseessä on huijaus. Tällä pyritään kyselemään (tilauksen varjolla) sinun henkilötietojasi, joilla sitten suoritetaan sinun maksettavaksesi verkko-ostoksia ja esimerkiksi seuraavaa spämmäystä varten, verkkotoimintasopimuksia. Osta laihdutuslääkkeet apteekista tai mistä muualta tahansa, kuin tällaisen kirjeen perusteella.

LÄHETTÄJÄ: asiakaspalvelu@pihla.fi = ovi ja ikkunavalmistaja, ei laihdutuslääkekauppias. Osoite on varastettu hämäystarkoitukseen.

LINKIT: Jokainen linkki vie samaan, pitkälle kansioituun, tietokantaosoitteeseen. Huomaa ohjelma "redir.php3", joka heittää linkin. "http://www.laselection.net/redir.php3?cat=ach&url=192.0x6D.165.0341/..."
Linkki on tässä katkaistu mutta kyseessä on ilmaispalvelu, jonne rikollisen on hyvä piiloutua, eikä maksa mitään muille, kuin ansaan lankeaville.
"Mitä muut sanovat" tekstit ovat huijarin itse keksimää höpö höpöä, kuten itse tuote-esittely. Osa tekstistä saattaa olla myös suoria kopioita muilta verkkosivuilta.

-----------------------------------KIRJE----------------------------------



torstai 1. syyskuuta 2022

Miljoonalahjoitus Vietnamista

Arkistosta löytyi lahjoitusansa elokuulta. Tässä ratsastetaan pitkästä aikaa Covid19 onnettomuudella ja loppuun asti kuluneella miljoonalahjoituksella.
Verkkorikollisilla alkaa huijauksen aiheet olla vähissä.

-----------------------------KIRJE----------------------------------

RE: $3.5 Million Has Been Donated To You

From   xxxxx@mail.gtel.vn (saapuu Vietnamista. Osoite on merkitty vaaralliseksi)
To     Recipients (spämmipostilistalta useille vastaanottajille)
Reply-To     fp462558@gmail.com (tekaistu ilmaisosoite)
Date     18.8.2022 14:30

$3.5 Million Has Been Donated To You,By François Pinault due to the covid-19 pandemic this is Real Get back For More Info

WhatsApp: +447441443051 (jos vastaat tähän, vastaus saattaa tulla sinulle kalliiksi)

--
This email has been checked for viruses by Avast antivirus software.
www.avast.com  (virustarkistus on hämäystä. Todellinen vaara on tuo rikollinen itse)