lauantai 13. heinäkuuta 2024

Aiheeton mutta vaarallinen viestien rypäs

Aihe: Ei aihetta 

Kirjeen linkistä paljastuu kryptattu osoite "goo(.)gl/2b28FL#". Kun linkkipakkauksen purkaa auki, löytyy osoite: "jennadigsya(.)com/?&debcefo" - joka on merkitty vahingolliseksi verkkoturvayhtiö Norton Safe Webin sivuilla. Sulkumerkeillä estetään suora linkki, vahinkojen varalta.

Kohdeosoitteena on vieraan henkilön nimi ja minun emailosoitteeni (To: Tara Woolverton <hannu.kuukkanen@xxxxxxxx>). 

---------------------------------------KIRJE------------------------------------

-------------------------------------------------------------------------------------
Tämän kaltaisia kirjeitä on saapunut eri ilmaisosoitteista tänään yhteensä seitsemän kappaletta ja eilen viisi. Kaikki käyttävät Googlen lyhennepalvelua linkeissään. Nämä linkit pystyy selvittämään ilmaisilla linkinpurkupalveluilla mutta tämäkin vaatii viitseliäisyyttä. Sen jälkeen on vielä tarkistettava osoitteen vaarallisuus virustorjuntapalvelujen sivuilta. Yleensä nämä ovat VAARALLISIA, tai niitä ei ole toistaiseksi virusskannattu.

Kirjeissä ei yleensä ollut otsaketta: "Ei otsaketta"
Muita otsakkeita oli: 
Re: DID U RECEIVE MY MESSAGE YESTERDAY?
Re: Affectionate nibble
Re: Meeting at the Park 

perjantai 12. heinäkuuta 2024

METAMASK HUIJAUSTA YRITETÄÄN JÄLLEEN

JOS sinulla sattuu olemaan METAMASK -tili, ÄLÄ klikkaile tämänkaltaisen sähköpostin linkkeihin. Tämä on ANSA. Tällä urkitaan sinun Metamask tunnuksesi ja henkilötietosi. 
Jos olet klikkaillut vastaavan kirjeen linkkejä, olet todellisessa vaarassa menettää tilisi kryptovaluuttoineen.

Huijaus paljastuu jo sillä, että minulla ei ole koskaan ollutkaan Matamask-tiliä, joka kirjeessä kerrotaan lukituksi. Kannattaa aina katsoa myös, mistä kirje saapuu. Tämä ei saapunut Metamaskin osoitteesta.

12 virusturvayritystä on merkinnyt linkin osoitteen VAARALLISEKSI.

----------------------------------KIRJE----------------------------------


Metamask-tilien ansaposteista olen varoittanut useammassakin artikkelissa. Aikaisemmat esimerkit löytyvät allaolevista linkeistä:



KARVALAKKITREFFIANSA JA PELIANSA INTIASTA

Kirjeet perustuvat vastaanottajan uteliaisuuteen.

REPLY, eli vastaukseksi merkitty posti. Tämä on huijauksissa erittäin yleinen tapa yrittää kiinnittää huomio. Kirje on jaeltu neljälle sähköpostiosoitteelle (tekaistulle), joten syntyy vaikutelma ryhmätapaamisesta. Kun sitten oikeasti ei kerrota mitään, utelias lähettää itse REPLY postin, eli vastaa kirjeeseen ja joutuu ansaan.
Lähetyksen kellonajasta (10.15) voi päätellä, että kirje on lähetetty Intiasta. Saapui kello 5.35 Suomenaikaa. Tulee pitkä treffimatka, joten vastaajaa jallitetaan ihan vaan sähköpostitse.

-------------------------------KIRJE-----------------------------------



HIEMAN AIKASEMMIN SAAPUI TÄMÄ KIRJE

Kirje on hyvin samankaltainen edellisen kanssa. Kirje on lähetetty myös Intiasta muutamia tunteja aikaisemmin. Tässä kalastellaan pelureita. Ilmaisten kierrosten täky on hyvin yleinen, eikä tarkoita muuta, kuin peliriippuvaisten vedätystä pelaamaan rahansa. Ilmoittautumisella kerätään henkilötietoja, joita sittemmin voidaan käyttää verkossa rikolliseen toimintaan.

Koko kuvapinnan kattavan linkin osoite on merkitty virustorjuntaohjelmatalon listoilla VAARALLISEKSI!. Punaruskealla taustalla on iso yhtenäinen kuva. En hakenut kuvaa, koska sekin linkki oli todettu VAARALLISEKSI. Se olisi viennyt HTML sivulle. Verkkosivuja ikäni tehneenä tiedän, että tavallinen HTML sivukin sisältää selattaessa laukeavia linkkejä ja koodeja. 







ROSKAPOSTIN UUDET PAIKKATIETOULOTTUVUUDET

Tämä tekaistun domainnimen (mueloe.com) haltija ei ole koskaan saanut minun sijaintikoordinaattejani. Kone sijaitsee samassa paikassa, kuin edellisen huijauskirjeen kone, eli sylttytehdas on sama.
Kirjeen perusajatus noudattaa samaa "seurustelukaavaa", jota on kylvetty roskaposteina jo vuosia. "Ihania naisia" (mukaprofiileja, kuvilla tai ilman)  sähköpostilistalla tai jaellaan yksittäin. Taustalla pyörii sama ansa, jolla kalastellaan henkilötietoja ja halutaan vastaus keinolla millä hyvänsä.

Toinen kirje saapui perään hieman erilaisella asettelulla ja sisällöllä (ks. kuvan alla tekstikopio).

----------------------------------------------KIRJE---------------------------------------


 SURAAVA ROSKAPOSTI SAMOIN AIKEIN
(Omat kommenttini punaisella suluissa)

AIHE:

Re: An Evening of Romance Awaits Us ???

LÄHETTÄJÄ: Amy Monica<mnbvcxdtdtesaxvb@gmail(.)com> (robottigeneroitu sähköpostiosoite. Lähettäjä voi olla kuka tahansa. Samalta koneelta, kuin edellinen kirje)

16.59

VASTAANOTTAJA: (spämmilistalta)  gerbsselina@gmail(.)com,   sefapjopc@gmail(.)com ... (jne. Joukko robottigeneroituja ilmaisosoitteita) ...

On Fri, Jul 12, 2024 at 9:54?PM Amy Monica <mnbvcxdtdtesaxvb@gmail(.)com> wrote:

    I just realized we’re neighbors, and I’m currently alone at my place. (tällaiselle tiedolle ei ole perusteita, koska oma sijaintitietoni ei ole lähettäjällä tiedossa)

    I thought it would be lovely to spend some time together tonight if you’re free. 

    How about we plan a cozy evening with some beers and romantic movies in my room?

    If you’re available tonight, let me know so I can get everything ready for a special and intimate evening.  (koko edeltävä teksti on tyypillistä "ansaanhoukuttelutekstiä")

    I’m really looking forward to getting to know you better!

--------------------------------------------------------------------------------

Useissa kirjeissä kehutaan myös vastaanottajan profiilia ihanaksi, vaikka sellaista ei varmasti näissä palveluissa, esimerkiksi minusta, ole koskaan tehty. En ole myöskään luovuttanut tuota käytettyä email-osoitettani tämänkaltaisiin palveluihin, se on varastettu verkosta. 

Huijauksissa tyypillistä on myös nimen kopioiminen sähköpostiosoitteesta, jolloin nimessä on alkukirjaimet pieniä ja piste erottaa etu- ja sukunmen. 


LUVATONTA JA VAARALLISTA ROSKAPOSTIA

Yksi helppo tapa tunnistaa (vaarallinen) roskaposti, on kirjeessä oleva väite, että lähettäjällä olisi lupa käyttää sähköpostiosoitettasi kirjeen kaltaiseen toimintaan (kuvakaappauksessa alinna).
Kun kirjeen sisältö osoittaa, että sinulla ei ole mitään tekemistä kyseisen palvelun kanssa, kirje on roskapostia ja yleensä se on myös VAARALLINEN.

Tämän esimerkkikirjeen sisältö väittää, että olisin tällaisen palvelun jäsen. EI PIDÄ PAIKKAANSA.
Näitä vastaavan kaltaisia "ikäänkuin jäsenkirjeitä" saapuu jatkuvana virtana. Kaikki ovat roskapostia ja sisältävät hyvin usein joko henkilötietojen keräilyansan, tai viruksen.
Jokainen kirjeen linkki saattaa tuoda koneellesi vaarallista sisältöä.  Tässäkään kirjeessä ei ole syytä koskea yhteenkään buttoniin, tai linkkiin. Tuo "Report this email" button ja alarivillä näkyvä teksti vievät myös vaaralliseen sisältöön.

Kuvakaappauksessa alinna on teksti: "You have received this message because your email address hannu.kuukkanen@xxxxxxxxxx.fi is associated with a profile registered on one of our websites or dating site partners."
EI PIDÄ PAIKKAANSA

To stop receiving news messages, just let us know" TÄMÄ LINKKI ON YHTÄ VAARALLINEN; KUIN KAIKKI MUUTKIN

Tuo kehotus "kuvien näyttämiseen" tarkoittaa yhtä vaarallista linkkiä lisää ja että huijari voi kuvalatauksista tarkistaa, onko tämä roskaposti mennyt toimivaan sähköpostiosoitteeseen. Verkossa on myynnissä suuri joukko varastettuja sähköpostilistoja, joiden laatu on suhteessa huijareilta veloitettuun hintaan.

Lähettäjän konetunnus on merkitty verkon mustalle listalle. Domainnimi perustuu sukunimeen Coelho ja se on ensireksiteröity 2002, joka viittaa siihen, että kone on kaapattu rikollisen käyttöön. Domainnimelle ei löydy myöskään kotisivua, joka on aina huono merkki.

-------------------------------------------KIRJE----------------------------------------



keskiviikko 10. heinäkuuta 2024

ALLEKIRJOITA SOPIMUS - HUIJAUS

 Tämänkaltaiseen kirjeeseen ei ole mitään syytä vastata. Mitään tuntemattoman lähettäjän liitedokumentteja EI SAA AVATA (tässä tapauksessa ÄLÄ KLIKKAA buttonia "View Document").

Verkon kautta tuntemattomalta lähettäjältä saapunutta sopimusta EI SAA ALLEKIRJOITTAA missään tapauksessa (vaikka aihe tai tuote olisi sinulle tuttu).

----------------------------------------------KIRJE-----------------------------------------------------



MONIKIELIMATKA HUIJARIN KONEELLE

Otsakkeella: Puhu helposti yli 40 kieltä. 
JOS kyseessä on selaimen konekäännökseen ja puhesyntetisaattoriin perustuva palvelu, tämän kirjeen versio ei tarjoa mitään uutta, paitsi ison riskin joutua huijatuksi. Pahimmassa tapauksessa koneellesi istutetaan virus.

Cloudflare Pages - pages(.)dev (ilmainen verkkosivutuotanto, joten huijareiden ei tarvitse sijoittaa huijaussivustoon senttiäkään). Tällaiset verkkotoimijat mahdollistavat verkon täydeltä rikollisten generoimia vaarallisia sivustoja. "Build fast sites. In record time". Eli ansasivustoja nopeasti ja  ilmaiseksi.

Norton Safe Web VAROITTAA lähetysosoitteesta ja linkistä.
"larmetrip(.)com" osoitetta ei löydy verkosta tällä hetkellä ja "aws-e13.pages(.)dev" sivustokaan ei näytä toimivan nyt. Toivottavasti se ei toimi koskaan.

Norton-luokitus: Varoitus

Norton Safe Web on analysoinut lähettäjän "larmetrip(.)com", sekä kuvalinkin "aws-e13.pages(.)dev", turvallisuus- ja tietoturvaongelmien osalta. Norton-luokitus myönnetään automaattisen analysointijärjestelmän tulosten perusteella. Norton on virustorjunta-alan yritys.

NYKYINEN NORTON LUOKKA: Epäilyttävä  turvallisuus- ja tietoturvaongelmien osalta.Norton-luokitus myönnetään automaattisen analysointijärjestelmän tulosten perusteella. Käyttäjiemme mielipiteisiin perustuva yhteisön luokitus näkyy erikseen alla.
NYKYINEN YHTEISÖN LUOKITUS: Epäilyttävä, Roskaposti

-----------------------------------------KIRJE---------------------------------------



maanantai 8. heinäkuuta 2024

YKSITYISYYDEN UHKA - GOOGLE APIS HUIJAUS

Tämä kirje saapui hieman ennen edellistä Google API huijauskirjettä. Sama kaavaa, hieman erilainen teksti. Sama VAARALLISEKSI TODETTU lähettäjä. Otsake: "Yksityisyydensuoja Uhka!".

Olkaa tarkkana! Nyt liikkuu viritelmiä, jotka hyödyntävät Google Apis - palveluita.
TOISTAN TÄMÄN SAMAN VAROITUKSEN näiden kirjeiden yhteydessä.

Linkki vie sivulle:https://magicmico.storage.googleapis(.)com/Windbreaker.htm", Google API palvelusta netti tietää kertoa: "Google API Services, including Google Sign-In, are part of an authentication and authorization framework that gives you, the developer, the ability to connect directly with Google users when you would like to request access to Google user data." Sama suomeksi: "Googlen sovellusliittymäpalvelut, mukaan lukien Google-sisäänkirjautuminen, ovat osa todennus- ja valtuutuskehystä, joka antaa sinulle, kehittäjälle, mahdollisuuden ottaa yhteyttä suoraan Googlen käyttäjiin, kun haluat pyytää pääsyä Googlen käyttäjä

tietoihin." Kuulostaa erittäin vaaralliselta väärissä käsissä.

Miten huijareille annetan mahdollisuus hyödyntää tämän kaltaista Googlen softaa? Hakiessani linkkiä, haku ei antanut ainuttakaan sivua, joten saattaa olla, että Googlen oma virustorjunta on ollut sittenkin hereillä? Tosin ainakin kaksi eri kirjeversiota on ehditty lähettää.

------------------------------------------KIRJE----------------------------------------------



SUCURI-virustorjuntapalvelu antaa varoituksen lähettäjän linkistä:




GOOGLEAPIS HUIJAREIDEN KÄYTÖSSÄ?

Olkaa tarkkana! Nyt ilmestyi viritelmä, joka hyödyntää Google Apis - palveluita. Otsake kirjeessä oli "Vahvistus tarvitaan".
Linkki vie sivulle:https://magicmico.storage.googleapis(.)com/kaijouhidden.htm", Google API palvelusta netti tietää kertoa: "Google API Services, including Google Sign-In, are part of an authentication and authorization framework that gives you, the developer, the ability to connect directly with Google users when you would like to request access to Google user data." Sama suomeksi: "Googlen sovellusliittymäpalvelut, mukaan lukien Google-sisäänkirjautuminen, ovat osa todennus- ja valtuutuskehystä, joka antaa sinulle, kehittäjälle, mahdollisuuden ottaa yhteyttä suoraan Googlen käyttäjiin, kun haluat pyytää pääsyä Googlen käyttäjätietoihin." Kuulostaa erittäin vaaralliselta väärissä käsissä.

Se, miten huijareille annetan mahdollisuus hyödyntää tämän kaltaista Googlen softaa? Tosin, hakiessani linkkiä, haku ei antanut ainuttakaan sivua, joten saattaa olla, että Googlen oma virustorjunta on ollut sittenkin hereillä?

-----------------------------------------KIRJE-----------------------------------------





SUCURI.net antoi lähettäjästä varoituksen:



PUHELIN CHAT HUIJAUS

En ottaisi missään tapauksessa yhteyttä tällaisen e-mailin perusteella.
Huijari saa sinun puhelinnumerosi ja jos onnistuu vielä saamaan henkilötietosi, on odotettavissa yllättävien laskujen suma sähköpostiisi.

Näiden epämääräisten toimijoiden "chat"-softat saattavat olla myös viruksia. Tarkoitan "sites messaging system" softaa, joka ilmeisesti olisi pakko asentaa jos aikoisit päästä chattailemaan.

Norton Safe Web ilmoittaa linkkiosoitteen olevan "epäilyttävä".
Olen Nortonin kanssa samaa mieltä. "See her pictures" buttoni vaikuttaa ansalta.

-----------------------------------------KIRJE-------------------------------------