JOS lähettäjän sähköpostiosoitteessa, (tai yleensä domainnimen lopussa) on .RU tai .SU - maatunnus (viimeiset kirjaimet osoitteessa pisteen jälkeen), on syytä tiedostaa, että posti on lähtöisin venäjältä. Ukrainan sodan aikaan, ei ole mitään syytä asioida venäläisen yrityksen kanssa ja kaikella todennäköisyydellä, kirje saapuu trollitehtaasta ja sisältää ansan. Todennäköisimmin ladattavissa oleva liite tai tuote on VIRUS.
-----------------------------------------KIRJE-----------------------------------
This Blog contains information about suspicious material delivered in Web or by email. The content is in Finnish but as far I have seen, most of the visitors come from all around the world. In most cases from Italy, USA and Russia. Maybe you use browser translators? Hope you will understand the translated content. This Finnish version is important because there are several English pages telling about these same problems but just few in Finnish.
keskiviikko 16. elokuuta 2023
HUOMIOI .RU ja .SU MAATUNNUS
VIDEO CHATTI ON ANSA
Kaikkiin video-Chatteihin kutsuihin on syytä suhtautua varoen.
Valtaosa on rakennettu ansoiksi.
1) Video-chattikutsu saattaa sisältää suoran linkin virukseen. ÄLÄ asenna mitään apuohjelmaa, joka saapuu videolinkistä. En suosittele edes linkkiin klikkaamista.
2) Älä anna tällaisen kutsun yhteydessä henkilötietojasi. Yleensä vaaditaan kirjautumista, etkä tiedä minne tietosi ovat menossa. Normaalisti ne saa verkkorikollinen ja sinä alat saada omalaatuisia laskuja.
3) Yksi video-chattityyppi mahdollistaa robotin kanssa keskustelun. Keskustelun aikana sinulta urkitaan henkilötietoja tai esitetään nyyhkytarina, jonka perusteella sinulta pyydetään rahallista tukea tavalla tai toisella.
Kirje saapuu tekaistusta ilmaisosoitteesta, ei edes otsakkeen henkilönimellä. Sähköpostiosoite on generoitu robotilla - kirje ei saavu mistään virallisesta chat-palvelusta - lähettäjää ei tulla koskaan tavoittamaan. Molemmat linkit vievät samaan salattuun osoitteeseen. Osoite on merkitty verkkoturvayrityksessä "epäilyttäväksi". Omasta mielestäni linkki on VAARALLINEN. Kaikki kirjeen "tunnusmerkit" viittaavat huijaukseen.
------------------------------------KIRJE-----------------------------------
Tämä aikaisempi Video Chat kutsu kuuluu samaan ansatyyppiin:
https://vaarallinenweb.blogspot.com/2023/07/matsattiin-chat-ansa.html
sunnuntai 13. elokuuta 2023
Massiivinen hyökkäys Venäjältä
Sähköposteihin on saapunut ja saapumassa jatkuva massiivinen hyökkäys Venäjältä. Loppumaton määrä domannimiä on rekisteröity spämmäyskäyttöön ja kirjeitä saapuu "seurusteluansa" -konseptilla.
Venäläiset trollit ovat havainneet, että suomalainen yksinäinen mies (ja nainenkin) lankeaa tällaisiin viritelmiin.
Kyseessä on orjakoneiden haltuunotto, joka tarkoittaa, että jokainen kirje voi olla nyt vaarallinen. Virustorjunta ei välttämättä pysy perässä tällaisen massahyökkäyksen sattuessa. NYT jokainen hiemankaan ajatteleva suomalainen heittää jokaisen seurustelupyynnön roskiin.
LISTA kirjehyökkäyksen otsakkeista spämmikansiosta kopioituna:
----------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------
Muutaman kirjeen analysoidut sylttytehtaat osoittavat mikä valtio on asialla jälleen.
Venäjän mielestä Suomi on Natomaana Venäjän vihollinen, joten suomalaisten koneitten kaappaaminen valmistelee palvelunestohyökkäystä suomalaisiin verkkokohteisiin (pankit, poliisi, palolaitos, virastot, sähkölaitokset, vesi ja viemärijärjestelmät, rautatiet jne...). Osa osoitteista näyttää suoraan venäläisen omistuksen, osa osoitteiden alkuperästä käy ilmi rekisteröintipaikasta ja tavasta, sekä kirjeiden sisällöstä.
from@twishu(.)com venäjä / kone ranskassa
org-name: BitWeb LLC
address: Russian Federation (Venäjä)
from@polarto(.)com venäjä? / kone KAZAKHSTANissa
org-name: PE Fedinyak Sergey Vyacheslavovich
address: KAZAKHSTAN
from@forinis(.)com venäjä / kone arabi emiraatti
org-name: GlavTel LLC
address: Russia
from@evoingl(.)com venäjä? / kone Hollanti / rekisteröity Islannissa
address: Hooray Solutions Corp.
address: Belize City, Belize
Registrant Organization: piilotettu
Registrant City: Reykjavik
Registrant Country: IS
(Islanti on yksi vakiorekisteröintimaa, kun kyseessä on venäläinen trollaus.)
Face Bookissa tekaistuja profiileita
Tekaistut profiilit ovat "ohuita". Proofiili keskustelee yleensä vain itsensä kanssa ja sisältää heikkoluotoisia houkuttelevia tekstejä, toiveena saada joku onneton "seurusteluansaan". Seurustelun käänteissä asia yleensä etenee rahastuspuolelle tavalla tai toisella. Myös henkilötietojen luovuttaminen tuntemattomalle on vaarallista ja saattaa tulla kalliiksi.
Tässä esimerkkikuvakaappauksia yhdestä FB ansatyypistä, joka alkaa yrityksellä tunkeutua ryhmään kommentilla, joka ei liity ryhmän aiheeseen millään lailla. En hyväksynyt "Miuraa" ryhmän jäseneksi.
------------------------------FB keskustelusta--------------------------
Tällaisia tekstejä profiili sitten sisältää. Myös generoituja naispuolisia "kavereita" varastetuin kuvin.Sama huijari yritti jonkin ajan kuluttua uudelleen. Ei edelleenkään saanut lupaa julkaisuun tai jäsenyyteen. Tässä kuvakaappauksessa eivät linkit toimi.
tiistai 8. elokuuta 2023
Face Bookissa tyrkkyansoja
Facebook sivuille on ilmestynyt suuri joukko samankaltaisia "ystävyystyrkkyjä". Nämä ovat tyypillisiä tapoja houkutella yksinäinen ihminen "seurusteluansaan" jossa keskustelun edetessä alkaa rahan lypsäminen ja tarkempien henkilötietojen utelu. Nämä eivät ole ystäviäsi, vaan tunteettomia rosvoja, jotka käyttävät valeprofiileita tai varastettuja FB profiileita.
--------------------------------------FB kommentit----------------------------------
maanantai 7. elokuuta 2023
OP Petos - nimissä huijaus Turkista
Turkkilainen korkeakoulu Izmirissä (ilmeisesti hakkeroitu osoite) lähestyy sinua OP:n valeasussa ja yrittää varastaa sinulta OP pankin kirjautumistunnuksesi.
Linkki osoittaa USA:laisen uskonnollisen ryhmän (elevationic.us - Elevation Church) palvelimelle.
Varoitin lähettäjän ja linkin kohteen domainin omistajia mahdollisesta palvelimen hakkeroinnista ja kehoitin putsaamaan koneen rikollisen aineistosta.
Turkkilaisen yliopiston koneilta on saapunut aiemminkin roskapostia. Kannattaa seurata domainnimen päätettä "edu.tr".
---------------------------------KIRJE--------------------------------
Turkkilainen oppilaitos ilmoitti estäneensä huijaripostittajan palvelimeltaan. Kiitos heille verkkoaktiivisuudestaan. Usalainen uskonnollinen ryhmittymä ei ole vastannut. Verkkohaku ilmoittaa, että palvelin ei ole enää verkossa.
sunnuntai 6. elokuuta 2023
APPLE PAY HUIJAUS
Minulla ei edes ole Apple Pay tiliä, joten mitään tapahtumia sillä ei voi olla.
Sen lisäksi kirje ei saavu Apple Paysta ja linkki vie rikollisen koneelle.
Huijarin näköissivulla kerätään Apple Pay tilitietosi ja sen jälkeen tilillesi todellakin ostellaan verkosta runsaasti hyödykkeitä ja palveluita sinun laskuusi.
Kirjeen todelliset osoitteet on nostettu esille punaisiin laatikoihin.
-----------------------------------KIRJE-----------------------------------
Jos annat lomakkeen pyytämän tiedon, tai klikkaat lomakkeen linkkejä, ansa laukeaa. Rosvolle on arvokasta tietoa, jopa yksinomaan se, että sinun sähköpostiosoitteesi on toiminnassa (jos vastaat). E-mailosoite on osa verkkoidentiteettiäsi.
lauantai 5. elokuuta 2023
SUOMI.FI HUIJAUKSET JATKUVAT
Tällä huijauksella kerätään tunnistautumistietosi ja henkilötietosi.
Kirje ei saavu info(@)suomi.fi osoitteesta, vaikka siltä erehdyttävästi näyttää.
------------------------KIRJE-----------------------
Linkki vie vaaralliseksi luokiteltuun osoitteeseen (rcl(.)ink/ZfT3Z)
Viesti on lähtöisin saksalaiselta koneelta, jossa sijaitsee kolme spämmipostittajaa.
Konetta ylläpitää: Michael Sebastian Schinzel trading as IP-Projects GmbH & Co. KG.
Tältä koneelta on saapunut runsaasti huijauspostia, joten sen voisi plokata ulos verkosta rikollisen toiminnan ylläpitäjänä. Kone saattaa olla kaapattu mutta koneen omistaja on velvollinen valvomaan palvelinkoneella tapahtuvaa toimintaa. Olen ilmoittanut "abuse" -osoitteeseen asiasta.
torstai 3. elokuuta 2023
QR-koodia käytetään myös huijauksissa
QR-koodin käyttö tietojenkalastelussa yleistyy
Kyberturvallisuuskeskus Julkaistu
QR-koodien käyttö on yleistynyt myös huijauksissa.
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/qr-koodin-kaytto-tietojenkalastelussa-yleistyy
"Rikolliset jakavat QR-koodeja sähköpostin, sosiaalisen median tai jopa fyysisten lentolehtisten ja tarrojen välityksellä. Aidon näköisen QR-koodin varjolla mainostetaan esimerkiksi erikoistarjouksia tai kehotetaan vastaanottajaa hyväksymään kiireellinen tietoturvapäivitys. “Quishing”-sähköpostiviestissä yritetään luoda kiireen tuntua, kuten muissakin tunnustenkalasteluviestissä, mutta siitä puuttuvat huijausviesteistä tutut linkit ja liitetiedostot."
-----------------------------ESIMERKKI QR HUIJAUKSESTA------------------------
(kuva: Kyberturvallisuuskeskus)
keskiviikko 2. elokuuta 2023
NORDEAN nimissä jälleen pankkihuijaus
Tyypillinen pankkihuijauskirje Nordean nimissä.
Rikollinen pelottelee tilisi väärinkäytöllä, ja valmistelee samalla tilisi väärinkäyttöä.
Huijauksen tunnistaa jo huonosta suomenkielestäkin.
------------------------------------------KIRJE---------------------------------------
Kiireellinen: Siellä olemme epäsäännöllinen aktiviteetteja havaittu pankkiympäristössäsi
From | Nordea (support@daimazxw(.)com) (Ei saavu Nordeasta) |
To | support@nordea-id.fi (Ei ole Nordean osoite) |
Date | Today 07:01 |
Tietojemme mukaan tilisiirtoa yritettiin tehdä eri laitteella kuin
tavallisesti, mikä herätti tietoturvaloukkauksen. Varmistaaksemme tilisi
turvallisuuden ja jatkaaksemme pankkipalvelujemme käyttöä ilman
häiriöitä, pyydämme sinua ystävällisesti vahvistamaan tilisi seuraavan
48 tunnin kuluessa.
Vahvista tilisi täällä [1] virallisen verkkosivustomme kautta. (Vie rikollisen tekemälle "näköissivulle", jossa pankkitunnuksesi kaapataan)
Nordeassa turvallisuutesi ja yksityisyytesi ovat meille äärimmäisen
tärkeitä. Jos vahvistusprosessin aikana ilmenee ongelmia tai epäilet
luvattomia toimia.
Pahoittelemme tästä mahdollisesti aiheutuvaa haittaa, mutta toteutamme
nämä toimenpiteet varmistaaksemme, että varasi ja arkaluonteiset tietosi
pysyvät turvassa. Kiitos nopeasta huomiostasi tähän asiaan.
Ystävällisin terveisin,
Nordean tiimi
Links:
------
[1] https://envoirmentpension(.)com/ (Ei ole Nordean osoite.)