keskiviikko 28. helmikuuta 2024

MetaMaskin nimissä huijataan nyt

Tämän kaltaisia huijausyrityksiä saapuu harvemmin mutta ihan riittävästi. ÄLÄ koske linkkeihin, äläkä vastaa. Linkin osoitteesta on varoitettu useammalla virusturvayrityksen sivulla.
Lähettäjäkään ei ole MetaMask, vaan "2fa.io" nimiseltä palvelimelta. Lähettänyt koneosoite on mustalla listalla. MetaMask on kryptovaluuttalompakko, jollaista minulla ei edes ole.

-------------------------------KIRJE------------------------------


 

"POLIISI" lähettää jällen kirjeen sinulle

Näitä "POLIISIN" nimissä saapuvia huijauskirjeitä näyttää saapuvan aina silloin tällöin, enkä suosittele avaamaan liitettä. Liitteessä saattaa olla virus. Olen edellisissä vastaavissa tarkistanut liitteen ja siitä on kuvakaappauksia noissa vanhemmissa jutuissa. Kirje on huu-haata ja joutaa roskiin klikkailematta, avaamatta.

On helppo havaita, että kirje ei saavu poliisin osoitteesta, vaan kanadalaiselta palvelimelta. Samoin tuo vastaanottajanosoite ei ole se mitä pitäisi olla, eli "sinun osoitteesi".

Otsake oli: OIKEUDELLINEN/HAASTE-28/10/2024 (päivämäärä on ilmeisen pielessä).
Lähettäjänimenä on "poliisi.fi (Interpol)". Domainnimi ei ole tuo poliisi.fi, vaan "my.bcit(.)ca", joka näkyy edellisen tekstin jälkeen.

-----------------------------KIRJE------------------------------

LISÄÄ POLIISIHUIJAUKSIA:

https://vaarallinenweb.blogspot.com/2023/04/poliisi-huijaus-jalleen.html

https://vaarallinenweb.blogspot.com/2023/10/uusi-poliisi-huijaus.html

https://vaarallinenweb.blogspot.com/2023/07/poliisi-ei-laheta-s-postia-gmail.html

https://vaarallinenweb.blogspot.com/2023/02/poliisi-on-jalleen-liikkeella-haasteen.html

https://vaarallinenweb.blogspot.com/2023/01/poliisiylijohtaja-seppo-kolehmainen.html

jne. näitähän on. Älä usko yhteenkään.
Kirjeen juoni on yleensä ollut, että tunnustat tälle "poliisi" -huijarille tehneesi jotain ja sen jälkeen huijari kiristää sinua tällä tunnustuksella. Ansana saattaa olla, että "valepoliisi" pyytää tarkempia hekilö- ja yhteystietojasi "tarkistaakseen" tietojasi (valepoliisi ei tiedä tietojasi lainkaan, joten näin hän ne saa sinulta), tai peräti maksattaa sinulla olemattomia sakkomaksuja ja niiden perusteella pyytää pankkitietojasi. Myös liitteessä saattaa olla virus.

Älä avaa liitettä mutta jos, JOS osallistut kirjeessä kuvailtuihin toimiin, kannattaa ilmoittautua todelliselle poliisille. https://poliisi.fi/nettivinkki Samassa osoitteessa voit ilmoittaa itseäsi kohtaan tehdyistä verkkorikoksista.



tiistai 27. helmikuuta 2024

EVRI paketti jakelussa? Tuskimpa

Tämän nimiseltä firmalta ei vielä olekaan pakettia saapunut. Ei tosin saavu nytkään. Tämä on HUIJAUS. Viesti saapuu epämääräisestä osoitteesta Venäjältä (supportid00@pozhgarant(.)ru), Tatarstan Republic, Russia (RU), joka jo sinänsä riittää vankaksi epäilykseksi huijausyrityksestä. En odota minkäänlaista pakettia mistään maasta, enkä ainakaan Tatarstanista. Yllätyksenä tuli tuo "tasavalta". Onko Venäjällä sellaisia?

Neljä virustorjunta-alan yritystä on merkinnyt linkin VAARALLISEKSI.
Linkki on piilotettu, joten se ei kokonaisena linkkiosoitteena anna varoitusta mutta lopullinen, vaarallinen domain löytyy koodista.
Kone on kaiken lisäksi mustalla listalla. Kyllä trolleja nyt koitellaan.

Jo vuonna 2022 tästä valepostikirjeestä varoitettiin which.co.uk verkkosivuilla: "Fake Evri text asks for bank details to pay for a shipping fee. Find out how to spot, avoid and report this scam". Silloin tämä sama huijaus kiersi tekstiviesteinä.
Eli ÄLÄ anna millekään lähettifirmalle minkään linkin kautta, tai edes puhelimitse, pankkitietojasi.

---------------------------------------KIRJE----------------------------------



Which.co antoi yleispätevän neuvon yritysten karhukirjeille: "henkilökohtaisten pankkitietojen pyytäminen tekstiviestillä (tai e-mailitse) on selvä osoitus yrityksestä varastaa rahaa. Jos olet epävarma, tarkista brändin toimitusprosessi sen viralliselta verkkosivustolta ja ota yhteyttä suoraan heihin käyttämällä virallista asiakasnumeroa (löytyy yrityksen verkkosivustolta) varmistaaksesi viestin aitouden".

JA MUISTAKAA VAROA MYÖS PANKEILTA SAAPUVIA KIRJEITÄ! EI KOSKAAN LINKKIEN KAUTTA OMAN TILIN TIETOIHIN TAI MAKSATUKSEEN. EI MISSÄÄN TAPAUKSESSA.

maanantai 26. helmikuuta 2024

FaceBook tunnusten kaappausyritys

 ÄLÄ vastaa, tai klikkaa tämän kaltaisen viestin linkkejä.
VIESTI ON ANSA. Omat kommenttini ovat punaisella suluissa.

------------------------------------VIESTI----------------------------------

perjantai 23. helmikuuta 2024

Jälleen VEROnpalautus - huijaus

Näitä VERO - huijauksia satelee nyt alkuvuodesta, kun veroasiat ovat pinnalla.
Ainakaan tämän ilmoituksen mukaan et tule saamaan veronpalautusta.

Kannattaa aina katsoa, mistä tällainen posti on saapunut eli "Lähettäjä". Sekään ei aina näytä totuutta, JOTEN - MENE AINA VEROVIRASTON OMAVERO -SIVUILLESI VAIN vero.fi tai omavero.fi osoitteen kautta. Ei koskaan verkkopostien linkeistä. Tämän ansan juoni on hämätä sinut kirjautumaan pankkitunnuksillasi, jotka sinulta varastetaan valekirjautumissivun avulla.

Kirje on lähetetty Floridaan rekisteröidyltä koneelta, ei suinkaan Suomesta.

-------------------------------------KIRJE-------------------------------------




ELISAN nimissä pankkitietovarkaus

VAROITUS! Tällaistakin yritetään. Älkää missään yhteydessä kirjautuko, tai antako pankkikirjautumistunnuksianne tällaisten epämääräisten viestien linkkeihin.

Tämä kirje ei saapunut OmaElisasasta vaan huijarilta osoitteesta: support(@)colt.net. Tuon osoitteen loppuosan tulisi päättyä osoitteeseen elisa.fi. Tämän lisäksi Elisa EI TARVITSE pankkitunnuksiasi mihinkään, eikä ELISA tai mikään muukaan yritys, ei saa minkään maksu-, tai sopimuspäivitystapauksessa, niitä verkon yli edes pyytää. Kolme verkkoturvayritystä on merkinnyt linkin osoitteen vaaralliseksi. Linkki veisi sinut huijarin palvelimelle: https://nzj.kbi(.)mybluehost(.)me/

----------------------------------KIRJE--------------------------------------


SIVUSTON RYÖSTÖYRITYS

 WordPress on ihan kiva alusta mutta, mutta...

Tämä yritelmä ei tosin perustunut WordPressin heikkouksiin mutta oli suunnattu meihin ylläpitäjiin.
Kirjeessä väitetään, että sivustomme datalimitti olisi ylitetty.
Tietenkään EN KOSKENUT LINKKIIN (yleensäkään ei ole aihetta koskea epämääräisen postin linkkeihin), vaan menin admin yhteyden kautta tutkimaan, missä vika piilee.
No ei ollut piilossa mitään hälyyttävää, eikä dataylitystä, joten aloin selvittelemään, mistä oikeasti oli kysymys.
Huijauksesta oli kysymys. Huijari olisi kaapannut kirjautumisen linkkinsä kautta ja saanut sivuston haltuunsa ja seuraaville verkkohyökkäyksilleen alustaksi. Myös ns. datakiristys olisi mahdollista, eli haittaohjelmalla sivuston sisällön kryptaaminen lunnaitten taakse. Meillä onneksi olisi siinä tapauksessa kopio aineistosta. Suosittelen kaikille eri sivustojen ylläpitäjille. Verkossa mikään ei ole nykyaikana turvallista. Rosvoja piisaa.

-----------------------------------------KIRJE-----------------------------------------

Kirjeen paljastaa jo lähetysosoite, jonka kanssa meillä ei ole koskaan ollut mitään tekemistä. Palveluntarjoajamme on ihan muu taho.



Laaja DATING SPÄMMÄYS

Tällä hetkellä on menossa erittäin laaja dating-spämmäys. Roskapostit saapuvat eri ilmaisosoitteista ja
samoillakin 3D naistenkuvilla saapuu "muka" eri seurustelupalstoilta höpö, höpö teksteillä ansapostia. Tähän mennessä on saapunut jo 28 saman kaavan mukaista, liki saman näköistä ja sisältöistä spämmiä.
Kampanja on niin tuore, että sitä ei ole vielä laajemmin analysoitu verkkoturvayritysten sivuilla. Muutamakin varoitus kyllä riittää. Ainakin osa lähettäneistä koneista on merkitty mustalle listalle.

Kaivelin muutaman linkkiosoitteen taustat ja liitin kommentit kuvien alapuolelle. Näitä verkkoansoja runsaasti analysoineena ja kokemuksen kautta, voin sanoa, että kyseessä on vähintäänkin kirjautumiseen perustuva henkilötietovarkaus (joka tarkoittaa aina rahan menoa kirjautujalle) tai/ja liitteenä oleva tiedosto saattaa sisältää viruksen. Varsinkin "video" tai "chat" maininnalla olevat henkilö-"esittelyt" ovat suurella todennäköisyydellä virusten lähteitä. Videotiedostot ja varsinkin niiden ohessa tarjottavat "esitysohjelmat" (appit), ovat potentiaalisia viruslähteitä. Roskiin koko kirje klikkailematta. Jos et muuten usko, lue kuvien alapuolelta lisää.

--------------------------------------KUVAKAAPPAUKSIA---------------------------------------





Kopsasin muutamista posteista linkkiosoitteet ja mielenkiintoinen yhtäläisyys osoitteissa on "/lilly/" hakemisto. Tämä osoittaa, että kyseessä on täysin yhden organisaation takana pyörivä huijauskampanja. Organisaatiolla vaikuttaa olevan resursseja kaapata haltuunsa palvelimia. Viittaa trolliarmeijaan, joka on hankkimassa hyökkäyskoneita kyber-sotaansa varten. Kenen joukoissa seisot? Eli älä mene lankaan!

http://v8.pkserve(.)com/ShirleenPhillis/lilly/xxxxxxxxxxxxxxxx
v8.pkserve.com on autoiluun keskittynyt kuvapankki? Kone on kaapattu. Nyt domainosoite heittää (ilmeisesti indonesialaiselle) pelisivustolle https://upi-yptk.ac(.)id/?products=ladangtoto. Osoite on merkitty vaaralliseksi: "Warning: Malware Detected.  Infected with malware. Immediate action is required"

http://v8.pkserve(.)com/BreeHelaine/lilly/xxxxxxxxxxxxxxxxxx
v8.pkserve.com on autoiluun keskittynyt kuvapankki? Kone on kaapattu. Nyt domainosoite heittää ilmeisesti indonesialaiselle pelisivustolle https://upi-yptk.ac(.)id/?products=ladangtoto. Osoiten merkitty vaaralliseksi: "Warning: Malware Detected.  Infected with malware. Immediate action is required"

http://azonno(.)com/KlaraBrynn/lilly/xxxxxxxxxxxxxxxxxxxxxx
Sivustoa ei löydy verkosta ja se on luokiteltu spämmeriksi (roskapostittaja). Ilmeisesti kaappajan vuoksi palvelin on poistettu verkosta.

http://disferrg(.)com/CarylMargene/lilly/xxxxxxxxxxxxxxxxxxxxxxx
Espanjan kielinen rautakauppa-alan sivusto. Kaapattu huijareiden käyttöön. Virusskannauksessa sivu luokitellaan "eäilyttäväksi". Tarkoittaa, että pysy poissa.

http://dev.cassinolivre(.)com/GriseldaErnestine/lilly/xxxxxxxxxxx
Pelifirman sivusto. Vaikuttaa kaapatulta? Aineisto ei viittaa millään tavoin dating spämmikampanjaan, joten oletukseksi jää koneen hakkerointi (kaappaus).

http://faf3asociados(.)com/ElinaLorina/lilly/xxxxxxxxxxxxxx
Ei löydy verkkosivua lainkaan. Palvelin saattaa olla puhdistettavana kaappauksen vuoksi.

http://new.digitronixinc(.)com/KayleneLouella/lilly/xxxxxxxxxxxxxxxx
Tietokonealan firma. Kone on kaapattu eikä sisältö vastaa seurustelupalstan aihepiiriä. Ilmeisesti japanilainen yritys.



keskiviikko 21. helmikuuta 2024

Nakukuvilla ansaan

Tyypillinen "hunajapurkki" -ansa. Tirkistelijäluonne klikkailee innoissaan, kunnes huomaa olevansa huijarin uhri.  Linkki on luokiteltu "henkilötietovarkaaksi" ja "epäilyttäväksi".

------------------------------VIESTI--------------------------------


 


maanantai 19. helmikuuta 2024

FaceBookissa POSTI - 2€ pakettihuijaus

Jos törmäät tämän kaltaiseen ilmoitukseen FaceBookissa, älä koske linkkiin. Tämä on ansa.
Ansaksi sen voi tunnistaa, paitsi olemattomien pakettien halvasta hinnasta, myös muutamasta muusta huijarin paljastavasta seikasta.
Jokainen positiivisen mielipiteen kirjoittanut, on huijarin oma valeprofiili.
Valeprofiili on lähes tyhjä. Jos huijarilla on kavereita, ne on myös tekaistuja ja yleensä pääasiassa venäläisiä (tai kyrillisin tekstein kirjoitettuja).
Itse viesti-striimi on saman toistoa muutamalla erilaisella kuvalla täytettynä.

Tässä ei suurin menetys ole tuo 2€, vaan sen maksutapa. On todennäköistä, että maksun aikana annat huijarille henkilötietojesi lisäksi postiosoitteesi ja Visakorttisi numeron, e-mailosoitteesi ja puhelinnumeron. Kaikki henkilötieto, Visatiedosta puhumattakaan, on verkkorikolliselle puhdasta valuuttaa.
Linkistä saattaa saapua pahimmassa tapauksessa myös virus, jolla koneesi kaapataan kyberhyökkäyksiä varten. Ansan sisältö viittaa Venäjään.

-----------------------------------KUVAKAAPPAUKSIA-------------------------------------

Alapuolella näkyy yhteystiedoissa täysin älytön domain-osoite "tonn7nnot10.click", joka on verkkoturvayritysten sivuilla merkitty VAARALLISEKSI. FaceBookin linkkejä on hankala kopioda, joten huijarit ovat tavallaan turvassa.
Näyttäisi myös siltä, että osoite on onneksemme poistettu rekisteristä: "Dropped from DNS on 2024-02-13". On muistettava, että näitä valedomaineja (osoitteita) generoidaan jatkuvasti uusia.
Puhelinnumero on keksitty, ei ole Postin tai kenekään muunkaan (0202345649). Huijaustyypit säilyvät ja uhrit lankeavat niihin. Kun ihmiset oppivat varomaan näitä, huijaus tulee kannattamattomaksi.
 Alla kaappaus keskustelusta, jossa tuo Lars Johansson on esimerkki huijarin valeprofiilista. Samoin Astrid Olsen ja Tarja Lahti.
Profiilit suosittelevat hankkimaan huijauspaketteja. Näitä valesuosittelijoita oli muutamia. Kaikilla on venäläiset FaceBook kaverit.