keskiviikko 19. lokakuuta 2022

Virussuojaus kannattaa

Katselin tämän vuoden aikana kertyneitä hyökkäysyrityksiä koneelleni.
Lista ei sikäli hämmästyttänyt, että tutkin jatkuvasti virusposteja.
Mielenkiintoisia osoitteita kuitenkin joukossa oli.
Miksi vaaralliseksi todetut osoitteet saavat toimia edelleen?

F-Securen tekemiä plokkauksia:

goodwolder(.)com (edelleenkin toiminnassa oleva mutta on merkitty vaaralliseksi)
web-metamask(.)info (edelleenkin toimii ja on merkitty vaaralliseksi)
tinyurl(.)mobi (edelleenkin toimii ja on merkitty vaaralliseksi)
emea01.safelinks.protection.outlook(.)com (outlookin linkkisuojaus on pettänyt, edelleenkin)
linnankellari(.)fi (edelleenkin voimissaan. 7 virustorjunta-alan yritystä plokannut vaarallisena)
0redira(.)com (edelleen vaarallinen)
js.parkingcrew(.)net (jsparkaf.js scripti on edelleenkin vaarallinen)
platform.linkedin(.)com (in.js- scripti estetty) (vaarallinen scripti linkedinin palvelimella)

sunnuntai 16. lokakuuta 2022

Symantecin palvelimella edelleen epäilyttävä heittolinkki

"Laihdutushoitoa" kannattaa etsiä luotettavammilta toimijoilta. Tämä on ansa.

Roskapostissa oleva linkki, eli Symatecin palvelimelle vievä osoite heittää sinut spämmerin koneelle. Kone on luokiteltu "epäilyttäväksi". Norton itse väittää linkin olevan turvallinen. Heittolinkin jälkeen ilmestyvää konetta Norttonkin jo älyää epäillä mutta se alkaa olla jo myöhäistä jos edelliseen ilmoitukseen on surffaaja jo luottanut. Onneksi konekäännös on sen verran kökköä, että jo kielisasun tulisi toimia varoituksena.

Kun heittolinkki aukeaa, tullaan kuvakaappauksen näköiselle sivulle johon ponnahtaa ikkuna, joka kysyy omalaatuisia: "knowledgeslimpro(.)com pyytää lupaa"Mihin ihmeeseen? Lupaa asentaa koneellesi virus? Tällaisesta linkistä kaikki on mahdollista - ÄLÄ KOSKE!
knowledgeslimpro(.)com on luokiteltu epäilyttäväksi sivustoksi.
Google ei edes löydä tällaista sivustoa! "Tämän sivun tietoja ei ole saatavilla" eikä löydy myöskään tuota alimmaisena olevaa "Terveellinen laihtuminen" sivustoa.


 "clicktime.ymantec":in tietokantaan osoittavasta linkistä lähtee automaattilinkki tälle alla näkyvälle sivulle joka on vaarallinen. Ponnahdusikkunaan ei saa koskea. Jokainen linkki vie ansaan.

 
Kirje on lähetetty japanilaiselta koneelta mutta konedomainin omistaa ilinoisilainen (US) yritys. Lähetystietoja on helppo masinoida.

Venäläistä postia painonpudotuskeskuksesta

Tämä spämmi muistuttaa suurta joukkoa aikaisempia huijausyrityksiä.
Tämän viestijoukon tausta, viittaa venäläisiin Trolleihin.
Lähetysosoite on varastettu ja Elli Jokinen tuskin tietää koko kirjeestä, ellei vihaiset roskapostin saajat ole siitä hänelle kertoneet. "Painonpudotuskeskusta" ei näytä olevan edes olemassa.

Tämän kirjeen linkit vievät vähintäänkin phishing sivulle, eli henkilötietourkintaan.
On myös mahdollista, että jonkin seuraavan linkin päästä saapuu koneellesi virus, jonkin latauksen muodossa. Myös "Peruuta tilaus tästä" -linkki on normaalisti ansalinkki näissä kirjeissä (ja useissa muissa).

Tuohon otsakkeessa suluissa olevaan koodiin kannattaa kaikissa posteissa kiinnittää huomio ja heittää vastaavat, tuntemattomat kirjeet suoraan roskiin. Tällaisia "tunnuksia" ei yleensä rehellisissä otsakkeissa ole, ellet ole ollut itse ensin yhteydessä tietämääsi firmaan, josta odotat vastausta (ja vastaus tulee nimenomaan siitä firmasta).

---------------------------------------KIRJE-------------------------------------------

hannu.kuukkanen Odotan yhä vastausta (4ADB29)
From     Elli Jokinen painonpudotuskeskuksesta
To     hannu.kuukkanen@elisanet.fi
Date     Fri 01:55

 [1]

Peruuta tilaus tästä [2]

Links:
------
[1] http://redurl.duckdns(.)org/ODFsWDh0RWJHdXVOenRUWHZMbEZFU050TXlqbHNnMzl5R0tTeFZlMmJhM0pxUmxYeEV2WkR5SnlNdWpZWTdLUFAwZGQ4TWUzLzFLeE9XQ0JFaFRhVFE9PQ__
[2] http://redurl(.)duckdns.org/N2ZXSy9VL2hjeGw1Nm0yNW5HZERQeTJrcUZCRlRYaHJad2ZNYUtLM0JLZWZMejZVRnBEOVhJQ0NvKzZya042SVlUU0FYdkVVdUxsTHJIeGFsNlV2ajNHUktRcUJCckcyS0l5bk5OZWZGSWM9
 

 

Symantec / Norton on päästänyt palvelimelleen hakkerin

Todella epäluotettavaa, että verkkoturvallisuusalan toimijan palvelimelle pesiytyy verkkorikollinen. Ilmeinen phishing sivun osoite kulkee Symantecin sivuston kautta (uudelleenohjaus). Näin linkki näyttää asiakkaan (klikkaajan ja virustorjunnan) suuntaan "luotettavalta" mutta viekin itseasiassa ansaan.

Olen kaksi kertaa huomauttanut Symantecia aiheesta. Ainut asia mitä siellä ilmeisesti on tehty, on, että tuo osoite on "lukittu". MUTTA kuinka nopeasti? Kuinka moni onneton on tuon linkin kautta joutunut verkkorikollisen uhriksi? Näitä Symantecin palvelimelle johtavia linkkejä on saapunut jo useita.


Linkki veisi sinut valeosoitteeseen:
https://clicktime(.)symantec.com/3AHVGgwCrpa5NGukgG5SXBa7Vc?u=51.0x4BBFE5/cl/25008_md/1/503/619/187/27036

Ensimmäinen kuva kertoo, että osoite on turvallinen. Huomioi, että Norton Safe Web on Symantecin oma tuote.

 Toinen virustorjuntaohjelma kertoo, että tämä SAMA OSOITE on vaarallinen!
F-Secure varoittaa linkistä ja kertoo loppuosoitteen, joka ei suinkaan sijaitse Symantecin palvelimella, vaan aivan muualla. Tuo Symantecin osoite vie tietokantaan, jossa lymyää tuo edelleen linkittävä ohjelman pätkä.


Tämä loppuosoite: goodwolder(.)com on julistettu useammallakin verkkoturvasivustolla vaaralliseksi osoitteeksi. Miten on selitettävissä, että Symantec ja sen omistama Norton virustorjunta ja sen omistama domain, päästää hakkerin palvelimelleen kylvämään näitä vaarallisia haittaosoitteita ja sen lisäksi kertoo osoitteen olevan TURVALLINEN? Kärsiikö firman uskottavuus? Ainakin minun silmissäni näin on nyt käynyt.

Edellinen postaukseni samasta aiheesta löytyy sivulta: https://vaarallinenweb.blogspot.com/2022/10/valtava-bonus-piilossa.html


 

torstai 13. lokakuuta 2022

S-Pankin bonustiedotteen osoite näyttää vaaralliselta

Älä missään tapauksessa koskaan klikkaa sähköpostin linkkejä pankkiin kirjautuaksesi.
Kirjaudu tilillesi VAIN pankin virallisen sivun kautta! Pankin osoitetta EI SAA MYÖSKÄÄN Googlata, vaan se tulee kirjoitta itse selaimen osoiteriville.

Goolehakujen tuloksena tulee erittäin usein vaarallisia linkkejä, jotka näyttävät esimerkiksi pankkien sivuilta MUTTA eivät ole.

"S-Pankin" kirje otsakkeella:

"Tiedätkö, kuinka paljon sinulle on kertynyt Bonusta?"

Bonustiedotteessa oleva S-Pankin osoitteelta näyttävä osoite (click.email.s-pankki(.)fi) vie alidomainiin, joka on Englannissa ja domaintiedustelu kertoo kone-IP:n takana sijaitsevan kolme spämmerikonetta. (Number of SPAM hosts on 161.71.0.0/17 = 3 pcs). Alla kopio nimitiedustelusta.
Näillä perusteilla, voisi päätellä, että linkit saattavat olla vaarallisia. Jokainen linkki vie samaan ali-domain-osoitteen tietokantaan. Ilmeisesti ainakin osoite on S-Pankin hallussa MUTTA...

S-Pankki varoittaa huijausviesteistä sivuillaan ja kieltää käyttämästä sähköposteissa olevia linkkejä.
JOS tämä posti on lähtöisin S-Pankista, se on vastoin pankin turvallisuusohjeita.

Kirjeestä löytyy teksti:" *Tietoturvasyista linkki vie osoitteeseen s-pankki.fi, josta paaset kirjautumaan verkkopankkiin." MIKSI IHMEESSÄ, kun pankkilinkit kirjeistä on tietoturvasyistä kokonaan kielletty. "click.email.s-pankki(.)fi" -linkki kiertää Englantilaisen koneen kautta:

https://www.s-pankki(.)fi/fi/arjen-raha-asiat/turvallinen-pankkiasiointi (linkki on rikottu tässä)

Kuvakaappaus Domainnimi-tiedustelusta:

Alla kuvakaappaus s-postin osasta, jossa tarjotaan linkkiä pankin sivuille. ÄLÄ KLIKKAA!


 

 



maanantai 10. lokakuuta 2022

Teurastuksen vastainen huijausko?

Tämä kirje on osittain vaarallinen ja muistuttaa enemmän huijausta, kuin asiapostia.
Vakava epäily syntyy, että kyseessä on henkilötietokalastelu (phishing).

Kirjeessä vedotaan eläinaktivisteihin ja eläinrakkaisiin ihmisiin, pyytämällä osallistumaan teurastuksen vastaiseen kansalaisaloitteeseen (linkki ei vie aloitteeseen), joka tässä kirjeessä on luvattoman kehnosti esitelty.
Jokainen linkki vie yhteen ja samaan osoitteeseen joka luo vakavan vaikutelman phishing-ansasta.

Kaksi ylintä linkkiä antavat McAfeessa virusvaroituksen ELI niihin ei tule koskea!


Kuitenkin suurin osa linkeistä näyttäisi olevan turvallisia, vaikka linkkikysely antaa jokaisesta "SPAM" -leiman, eli "roskapostia".

Kirjeessä on väärennetty osoite kansalaishankkeen allekirjoittamiseksi!

VIRALLINEN OSOITE EU KANSALAISHANKKEELLE ON:
https://europa.eu/citizens-initiative/initiatives/details/2022/000003_en
 

Olen eläinrakas ihminen itse MUTTA tälllä hetkellä on tärkeää muistaa Ukrainan sodan jalkoihin jääviä ihmisiä; naisia, lapsia, vanhuksia ja heidän epäinhimillisiä kärsimyksiään venäläisen teurastajan kynsissä.
Ja onhan siellä myös Putinin sodan jalkoihin jääneitä koiria, kissoja ja karjaa.

----------------------------------------KIRJE---------------------------------------------

Kirje saapuu Italiasta, koneelta, jonka omistaa: Ketchup Adv S.p.A.  Italialainen mainostoimisto, joka käyttää postitukseen: noreply@news.ilfenomenale.store osoitetta, joka domain antaa puhtaan turvakyselyn mutta ei anna takeita toimijan rehellisyydestä.
X-Original-Sender: mailer-daemon@news.ilfenomenale.store
Received: from bm169k.be-mail.it (bm169k.be-mail.it [185.153.111.169])
Postitussivuston omistaja Alexander ADV. Makedoniasta.

Kirje on kehno konekäännös. Jokainen linkkiosoite on turvatarkastelussa luokiteltu "SPAM" - roskaposti - nimikkeellä, yhdessä tai useammassakin verkkoturvayrityksessä.

Kirjeen lopussa oleva teksti on siansaksaa, ja pyrkii vakuuttamaan roskapostin oikeutusta.
En ole ollut koskaan missään tekemisissä tämän, tai tämän organisaation omistajan, tai omistajaorganisaation kanssa. Osoitteeni on varastettu ja sitä käytetään luvatta roskapostitukseen.

----------------------------------KIRJEEN LOPPUTEKSTI---------------------------------------------
Olet rekisteröitynyt osoitteeseen: hannu.kuukkanen@xxxxxxxx
Vastaanota tämä sähköposti, koska olet tilannut ylemmän tason, olet suostunut vastaanottamaan markkinointimateriaalia Italian säännösten mukaisesti asetuksen 196/2003 (tietosuojalaki) mukaisesti.
Voit tutustua tietosuojakäytäntöömme täällä: http://ilfenomenale(.)store/informativa-privacy (SPAM)
Vastuuelin on Alexander adv dooel Skopje, Filip Vtori Makedonski 19/2, 1000 Skopje, Vat 4082017520050, info @ilfenomenale(.)store
Jos et enää halua vastaanottaa markkinointiviestintäämme ja sinun olisi pitänyt peruuttaa tilauksen 24/48 tunnin kuluessa. 

Seuraavassa teurastuskirjeessä "vastuuelimen" makedonialainen osoite on muutettu: info @ilfenomenale(.)store.
Erittäin epämääräiseltä ja vaaralliselta vaikuttaa tämä toiminta.

 

Alice perintöjen ihmemaasta

Versio perintöansoista.
Tässäkin tapauksessa kerätään henkilötietosi ja pankkitietosi.
Seuraavaksi alkaa saldosi pyöriä miinukselle. Perinnöstä ei kuulu hiiskaustakaan, ellei sitten saavu merkillisiä "rahansiirtomaksuja" ja "asianajajalaskuja".

------------------------------------KIRJE---------------------------------

HYVÄÄ HUOMENTA,
From     Alice MartinAdd contact
Reply-To     alice.martin3344@gmail.comAdd contact
Date     Today 07:21


HYVÄÄ HUOMENTA,
Nimeni on Alice Martin.
Olen 22-vuotias tyttö orpo. Vanhempani ovat kuolleet, mutta minulla on
täällä pankissa noin (10 500 000,00 Yhdysvaltain dollaria) kymmenen
miljoonaa viisisataatuhatta Yhdysvaltain dollaria, jotka olen perinyt
edesmenneeltä rakkaalta isältäni Joseph Martinilta.

Haluan sijoittaa rahaston maahanne suostumuksellasi, yhteistyölläsi,
avullasi, neuvollasi ja avullasi.
Toiseksi, jos olet täysin suostunut työskentelemään kanssani tässä
tarkoituksessa, osoita ystävällisesti kiinnostuksesi vastaamalla minulle,
jotta toimitan sinulle tarvittavat tiedot ja yksityiskohtaiset tiedot
siitä, miten voit jatkaa. Olen valmis tarjoamaan sinulle 20 %
kokonaissummasta, kun rahat siirretään lopullisesti pankkitilillesi.
Odotetaan kiireellistä vastaustasi.

Ystävällisin terveisin sinulle ja koko perheellesi.
Tarvitsen opastustasi.
Kiitos,
Alice Martin.

----------------------------------------------------------------------------------

sunnuntai 9. lokakuuta 2022

Valtava bonus piilossa

Symantecin palvelin vahtii sisältöjään. Tämän "Valtavan bonuksen" linkki olisi viennyt phishing sivulle, eli henkilötietovarkausyritykseen. Näitä on saapunut muutamia. Ihmettelenkin, miksi Symantec ei putsaa palvelintaan, vaikka on tietoturva-alan yritys? Tästä johtuu mieleen, että kyseessä on Symantecin oma, kyseenalainen "mainos".
Kirje ei saavu kuitenkaan suoraan Symantecilta vaan postiosoitteesta "news(@)playcoinmaster.com" McAfee kertoo sivustosta: "Nämä sivustot tarjoavat henkilö- tai ryhmäkohtaisia profiileja ja antavat jäsenilleen mahdollisuuden vuorovaikutukseen reaaliaikaisen viestinnän, viestien lähettämisen, julkisten tiedotteiden ja median jakamisen kautta. Tämän luokan sivustot saattavat myös mahdollistaa epätoivottujen tahojen yhteydenotot ja epämiellyttävää tietoa sisältäville jäsenprofiileille altistumisen.

Tosin postin voi myös lähettää muualta ja väärentää lähetysosoite. Tällaisen osoitteen kautta siihen ei olisi, ymmärtääkseni, mitään syytä.

Sähköpostilistalta poistamislinkki ei vie minnekkään: "500 : No link found !". Ehkä palvelin on putsattu sittenkin? Tämä linkki on spämmeissä normaalisti varma ansa.

--------------------------------KIRJE----------------------------------------

Alamarginaalissa näkyvästä linkistä pääsee varoitussivulle. Tällä kohtaa haiskahtaa Symantecin omalta, kyseenalaiselta (kierolta) mainokselta, mutta koska kirjettä levitetään spämminä, ilman lupaa käyttää saajan sähköpostiosoitetta, se on tietosuojaloukkaus ja rikos. Sellaiseen tuskin Symantec uskaltautuu mainehaitan vuoksi? Olen myös analysoinut toista spämmiä, joka noudattaa samaa kaavaa. Lue: https://vaarallinenweb.blogspot.com/2022/10/symantec-norton-on-paastanyt.html



keskiviikko 5. lokakuuta 2022

Norton virustorjunnan nimissä saapui roskapostia

Tämä kirje EI tule Nortonista, vaan huijarilta.
Linkkeihin EI SAA KOSKEA.

Lähettänyt kone sijaitsee Ruotsissa "videoslots(.)fi". Koneen on ilmoitettu olevan spämmeri ja koneella on aikusissisältöä, ei virustorjuntaohjelmia. Domainin omistajan koneosoite vie Maltalle.

Linkit vievät vaaralliseen tietokantaosoitteeseen redurl.duckdns(.)org. Alidomainin koneosoite vie Omaniin. Mutta itse domainosoite on rekisteröity tuntemattomalle toimijalle Isoon Britaniaan.

"Käsialasta" päätellen, kirje saapuu venäläiseltä Trollilta.
Postiosoitteesi kertautuu lähdekoodissa satoja kertoja.

------------------------------KIRJE---------------------------

 ilmoitus (7191A), digitaalinen elämäsi voi olla vaarassa hannu.kuukkanen

From Norton
To hannu.kuukkanen@xxxxxxxx
Date Tue 23:37

 [1]

Peruuta tilaus tästä [2]  

Links:
------
[1] http://redurl.duckdns(.)org/cl/9769_md/1/1219/843/76/10406
[2] http://redurl.duckdns(.)org/oop/9769_md/1/1219/843/76/10406

 --------------------------------------------------------------------------------

 

 

lauantai 1. lokakuuta 2022

Venäläinen "naiskauppa" jatkuu

Tämä on bluffia. Pitkästä aikaa Venäjän trollit jatkavat ukrainalaisten naisten "kauppaamista" rikollisessa tarkoituksessa.
Kyseessä on tyypillinen seksiansa, jolla on tarkoituksena hankkia, kirjautumisen kautta, miesuhreilta henkilötiedot ja istuttaa koneelle virus. Viruksen avulla koneesi voidaan valjastaa Venäjän cyberhyökkäykseen suomalaisia viranomaistoimijoiden palveluita, tai viestintävälineitä (mediaa), vastaan.
Putinin viimeisten puheitten perusteella, Suomi on muiden Euroopan valtioiden kanssa, "yhteisessä rintamassa" Venäjää vastaan. Putin kokee Suomen vihollisvaltioksi, vaikka ei sitä ole suoraan sanonutkaan, vaan niputtaa meidät "Länteen". Tämä on yksi syy, miksi tällaiset ja vastaavat spämmihyökkäykset tulevat edelleen runsastumaan.
Erilaisten huijausten kirjo näkyy tässä blogissa aika hyvänä läpileikkauksena.

----------------------------KIRJE------------------------

 


------------------------------------------------------------------------------

Kirjeessä olevat linkit vievät viiden virusturvayrityksen vaaralliseksi julistamaan osoitteeseen.
Domannimi sinänsä ei ole vaarallinen vaan sen kautta linkki jatkuu vaaralliselle sivulle.
"httpslink.com osoite kuuluu Redirect Service sivustolle", joka ohjaa linkin eteenpäin.

Kirje on postitettu Outlookin palvelun kautta Washingtonista (Hotmail on nyt Outlook.com.).
Tämä ei tarkoita, että lähettäjä olisi USA:lainen. Verkon kautta pääsee minne tahansa maailmalaajuisessa Internetissä. Postituspalveluita on kaikkialla.
Alussa tosin trollit lähettivät spämmikirjeensä, joko typeryyksissään tai laiskuuttaan, suoraan Pietarin tai Moskovan alueella olevilta koneiltaan.

Miksi lähden suorasta olettamuksesta, että kyseessä on venäläinen trolli, juotuu kirjeen sisällöstä ja spämmin käsialasta.