MUISTUTUS GOOGLE - LINKKIEN VAAROISTA

 GOOGLE / BLOGGER osoitteiden taakse piiloitettujen ansalinkkien ryöppy jatkuu edelleen. Tällä hetkellä koneelleni on saapunut yli 50 erilaista GOOGLE / BLOGGER linkein varustettua, "houkuttelu" - postia, erliaisin "tärpein" ja "tyrkyin".  ÄLÄ KLIKKAA!
Yleensä ohjaan nämä suoraan roskiin (suosittelen). Tämän alla olevan kuvan kaltainen ANSA saapui jälleen ja analysoin sen kokeeksi, nähdäkseni millä tasolla tällä hetkellä mennään.

----------------------------------------KIRJE--------------------------------------

ANYRUN - virustorjunta selvitti linkin ohi Googlen ja Bloggerin sivujen ja löysi tämän kuvakaappauksessa näkyvän naistenkuvilla varustetun ansasivun. Seuraava klikkaus on todennäköisesti virus tai vähintäänkin henkilötieto - ja tai pankkitietovarkaus. Viruksen asentamiseen nämä ansat yleensä tähtäävät. Seurustelusta ei ole kysymys missään tapauksessa. Mannekiinien ja valokuvamallien ei tarvitse hakea seuraa verkkosivuilla.

Edellisen vastaavan  GOOGLE / BLOGGER linkin selvitys vei ANYRUN analyysin vastaavaan valinta-ansaan. Molempien linkkien takana on tuo edellä kuvailtu ansa.
Nuo vaarallisiksi luoktellut "svchost.exe-prosessit ovat yleensä turvallisia, mutta hakkerit ja verkkorikolliset voivat luoda svchost-haittaohjelmia jäljitelläkseen laillista svchostia. Virustarkistusohjelmat merkitsevät joskus lailliset svchost.exe-tiedostot, koska niillä on pääsy tietokoneen herkkiin osiin.
Miksi tämän kaltainen kirje johdattaa asiakkaan sivulle, joka käynnistää mahdollisen haittaohjelman ilman haitanteon tarkoitusta?

(KIRJE VENÄJÄLTÄ) Vain minuutti aikaa – Voit voittaa upean palkinnon!

Tyypillinen huijauksen kuvailema KIIRE! Älä mene tällaiseen lankaan. Kirje on vaarallinen.

LÄHETETTY:  heathcote.conroy. biz. Kirje on lähetetty amazonses. com postipalvelimelta
TODELLINEN KONEOSOITE: 80.76.42.48 = VENÄJÄLLÄ

Norton Safe Web on analysoinut sivuston ouaqsdqsoijqsoi.d-n-s. nam... turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

-----------------------------------------------KIRJE-----------------------------------------

Tämä kirje on samasta sylttytehtaasta, kuin e

 

 

TÄMÄ KIRJE ON SAMASTA SYLTTYTEHTAASTA, KUIN EDELLINEN:

ERITTÄIN VAARALLINEN KONE IP - LINKKI VENÄJÄLTÄ

 

ERITTÄIN VAARALLINEN KONE IP - LINKKI VENÄJÄLTÄ

Kannattaa seurata tarkkaan millaisia linkkejä klikkailee ja millaisiin kirjeisiin vastailee.
Jos olet yhtään epävarma, älä koske linkkeihin lainkaan, olemme mukana sodassa, haluamme tai emme, osana Euroopan itäistä puolustusta. Verkkoihimme yritetään jatkuvasti tunkeutua yksityisten koneitten kautta.

Jälleen kerran on liikkeellä erittäin vaarallisia e-maileja, joissa tavallisemmat virus-skannerit eivät näe vaaraa. Kyseessä on, tässä tapauksessa, konetunnukseen eli kone-IP - osoitteeseen vievä linkki.
Koneosoite saattaa vaihdella eri kirjeissä mutta varoituksena kannattaa pitää linkkejä, joiden alussa on pistein jaettu numerosarja (esim. 173.195.100.00. - tämä osoite on muutettu).

Ajoin osoitteen usealla eri virustorjuntaohjelmalla ja käyttämistäni ohjelmista, vain Falcon Safe Web löysi VAARALLISEN ansan. Ajo kesti hieman aikaa, mutta tulosta kannatti odottaa. Kuvan alla tarkempaa analyysiä kirjeen osoitteesta.

--------------------------------------KIRJE-------------------------------------

Tässä otteita Falconin ansiokkaasta raportista:

kirje on lähetetty venäläiseltä koneelta, vaikka se muuta esittää:

Description Selectel Network

PTR record slighteen. club

Provider JSC Selectel (RU)

Falcon Sandbox Reports (1)

March 3rd 2025 13:31:25 (UTC)

Malicious (osoite on VAARALLINEN)

Malicious Indicators 1 (miksi se on vaarallinen)

Network Related

    Malicious domain detected (löydettiin vaarallinen domainosoite. Tämä tarkoittaa, että näennäinen osoite vie selaimen lopuksi aivan muualle, kuin miltä näyttää)

    details (tarkemmin, löytyi kaksi vaarallista jatkolinkkiä)

        Input URL or Contacted Domain: "webstateful. com" has been identified as malicious

        Input URL or Contacted Domain: "dsw0trk. com" has been identified as malicious 

Vastustajat = verkkorikollinen

Vastustajat voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin (siis urkkivat tunnistetietoja päästäkseen koneellesi).

Vastustajat voivat käyttää toteutuksen suojakaiteita rajoittaakseen suorittamista tai toimia, jotka perustuvat vastustajan toimittamiin ja ympäristöön liittyviin olosuhteisiin, joiden odotetaan olevan kohteena. (en osaa selittää. Kenties joku muu tietää. Kaikissa tapauksissa tämä on vaaratekijä)

Vastustajat voivat luoda, hankkia tai varastaa koodin allekirjoitusmateriaaleja haittaohjelmiensa tai työkalujensa allekirjoittamiseksi. (Tämä tarkoittaa, että haittaohjelmat on asennettavissa koneellesi ilman suostumustasi)

Vastustajat voivat yrittää saada tietoa käynnissä olevista prosesseista järjestelmässä. (Tarkoittanee mahdollisia suojausohjelmiasi)

Vastustajat voivat käyttää Domain Generation Algorithms (DGA) -algoritmeja tunnistaakseen dynaamisesti kohdealueen komento- ja ohjausliikenteen sen sijaan, että luottaisivat staattisten IP-osoitteiden tai verkkotunnusten luetteloon. (Koneen verkkotunnistetta voidaan muuttaa ohjelmallisesti. Näitä menetelmiä oli listattu muutamia)

Vastustajat voivat kommunikoida DNS (Domain Name System) -sovelluskerroksen protokollan avulla välttääkseen havaitsemisen/verkkosuodatuksen sulautumalla olemassa olevaan liikenteeseen. (Verkkorikollisen aktiivista konetta ei voida tunistaa)

Vastustajat voivat siirtää työkaluja tai muita tiedostoja ulkoisesta järjestelmästä vaarantuneeseen ympäristöön. (tämä tarkoittaa virusten asentamista koneellesi)

 

TÄMÄ KIRJE ON PERÄISIN SAMASTA SYLTTYTEHTAASTA, KUIN EDELLINEN

https://vaarallinenweb.blogspot.com/2025/03/kirje-venajalta-vain-minuutti-aikaa.html

.

ENERGY. CA TUNNUKSELLA TOIMIVA ELISA - HUIJARI

ELISA - nimissä yritetään kalastella henkilötietojasi. Linkki on kanadalaisen domainin nimissä "evenergy. ca" - palvelin on ilmeisesti hakkeroitu huijarin käyttöön. 
Koneesta varoitetaan virustorjunta-alan palveluissa mutta ei varsinaisesti luokitella vaaralliseksi. Kaikki omistajatiedot on domainrekisterissä piilotettu. Kirje on lähetetty amazonses. com postipalvelimelta, ei ELISAlta.
Kirjeellä ei ole mitään tekemistä ELISAn kanssa.

ÄLÄ KLIKKAA LINKKEIHIN

---------------------------------------------KIRJE-----------------------------------------

LINKKI SUORAAN VENÄLÄISEEN KONEOSOITTEESEEN

Harvinaista mutta totta. Tämän e-mailin linkki vie tiettyyn koneosoitteeseen. Osoitteen nimeyksestä voi päätellä, että tuo kone ei ole linkin lopullinen päämäärä. "FWD" osoitepolussa tarkoittaa "eteenpäin", eli todellinen kohdeosoite siirtyy useamman virustorjunnan ulottumattomiin.

ÄLÄ HAE LAINAA TÄÄLTÄ. Kone on Venäjällä, joten mitään hyvää ei linkistä kannata odottaa.
"etsilaina. fi" on tässä vain hämäyksenä. Kyseessä on venäläinen huijari, joka varastaa henkilö- ja pankkitietosi. 
Olen analysoinut virustarkistajalla vastaavia, uudempia kirjeitä. Linkit kuvan alapuolella.

---------------------------------------------KIRJE---------------------------------------------

SAMALLA TEKNIIKALLA TOIMIVIA ANSAKIRJEITÄ

https://vaarallinenweb.blogspot.com/2025/03/ilmainen-vakuutus.html

https://vaarallinenweb.blogspot.com/2025/03/erittain-vaarallinen-kone-ip-linkki.html

https://vaarallinenweb.blogspot.com/2025/03/painonpudotus-ansa-kone-ip-osoitteessa.html

Rahasi lähtee alle 24 tunnissa SINGAPOREEN

Norton Safe Web on analysoinut sivuston (linkin)  softnotebooks. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.  Kirjeen kuva (jota ei kuvakaappauksessa näy) on jälleen kerran varastettu Amazon.comista. Älä koske LIITTEESEENKÄÄN. Lähettänyt kone sijaitsee Singaporessa.

------------------------------------------------------KIRJE--------------------------------------------

Kirjeen avaamisen ilmiantava yhden pixelin kokoinen seurantakuva (tästä syystä en anna selaimen näyttää kuvia), olisi saapunut koneelleni tällä koodilla: "img src=3D"https://api.milfarea. com/tracking/getMailImage/image.gif?trk==3Dvovxuaj" width=3D"1" height=3D"1" alt=3D".

Tuo seurantakuva kertoo huijarille, että e-mailosoitteesi toimii ja että osoitteeseen kannattaa lähettää lisää roskapostia.

EN OLE REKISTERÖITYNYT VAIKKA NIIN VÄITTÄÄ

Tämänkaltaisiakin ansoja saapuu. Väitetään, että olen (olet)  rekisteröitynyt johonkin palveluun, vaikka näin ei ole asianlaita.
Tällaisen kirjeen linkkeihin ei kannata koskea. Tarkoituksena on klikkauksen kautta udella sinun henkilötietosi (nythän heillä ei ole kuin varastettu e-mailosoite) ja muun henkilötiedon avulla, sähköpostiosoite voidaan muuttaa RAHAKSI. Joka penni lähtee sinun tililtäsi.
F-Securen Selausturvan takaa kävin vilkaisemassa, miten ansa jatkuu ja aivan oikein. Eteen ponnahtaa ikkuna, jossa sinua kehoitetaan avaamaan "ilmainen" tili (vaikka siis olit jo kirjeen mukaan jäsen). Tällä kohtaa henkilötietosi varastetaan.

Osoitetta virustorjunnalla skannattaessa, ei tuota vaaraa löydy, koska se vaatii SINUN AKTIIVISUUTESI. Ole aktiivinen ja heitä tällaiset kirjeet roskiin niihin koskematta.

Näissä robottivirityksissä syntyy toisinaan hauskoja nimiä tuohon "asiakkaan" kohdalle. Esimerkiksi " Hello "toimistokennelliitto!".  Kirjeen linkki vie osoitteeseen: "marriedwomenaffairs. com", jonka voit lisätä spämmisuotimeesi. Poista tyhjä väli pisteen jälkeen.

-------------------------------------------------KIRJE-----------------------------------------

SEURAAVA SAMAN SYLTTYTEHTAAN ANSA
En todellakaan ole jäsen, eikä olematon profiilini voi saada "hittejä". Ansan juoni on, että: Tuo pieni maksu edellyttäisi sinulta kirjautumisen johonkin maksupalveluun tai tilille, joka kirjautuminen kaapataan ja tilisi tyhjennetään.

ALAPUOLELLA KUVAKAAPPAUS SIVUSTA, jonne linkki veisi. Tämä on otettu turvallisesti ANY.RUN ohjelman kautta. Ei edes uteliaisuudesta kannata seurata tällaisten kirjeitten linkkejä muulla tavoin. Huomaa kehoitus maksuun pankki ja luottokorttien kautta "PAY BY CARD". Kirjautuminen tilillesi kaapataan maksun yhteydessä.

MAKSU PALVELUSTA, JOTA MINULLA EI OLE

Näitä "MAKSUHUIJAUKSIA" tulee postissa silloin tällöin. Tarkoitus on 48 tunnin varotusajalla hermostuttaa uhri tekemään virheellisen verkkomaksun jonka toimenpiteen aikana pankkitunnukset kaapataan ja tili tyhjennetään. Tämä saapui eilen (25.2.) ja silloin tili olisi ollut jo suljettu. Ei hätää, koska tällaista tiliä minulla ei ole koskaan ollutkaan. Tuskimpa sinullakaan. 

Viesti saapui Turkista, turkkilaiselta koneelta, jonka konetunnus on mustalla listalla.

JOS lasku vaikuttaisi tulevan palvelusta joka sinulla todella on, ÄLÄ SILTI MENE MAKSAMAAN MITÄÄN tällaisen kirjeen linkin kautta. Et pysty takaamaan, ettei kyseessä olisi sittenkin huijaus.
Mene ainoastaan tämän palvelun virallisten sivujen kautta tarkistamaan tilisi saldo ja maksa ainoastaan oman pankkisi virallisten sivujen kautta kirjoittamalla pankkisi verkkotunnus (vaikkapa osuuspankki.fi) selaimen osoitekenttään.

-------------------------------------------------KIRJE-----------------------------------------

"any.run" virustarkistus kaivoi linkin kautta esille mielenkiintoisen, mutta VAARALLISEN sivun.

Peliriippuvaisille on rakennettu verkkoon suuri määrä erilaisia ansoja ja tämä vaikuttaa olevan yksi niistä. Alla on kuvakaappaus varsinaisesta ansasivusta. "any.run" kertoo, että kyseessä olisi "mahdollinen yrityksen yksityisyyden loukkaus", normaalikielellä todennäköisimmin "phishing" eli henkilötietovarkaus. Erittäin todennäköisesti kyseessä on pankkikirjautumisen kaappaaminen tuota olematonta maksua maksaessasi.

GOOGLE / BLOGGER ansoille tunnusomaista

 Näille GOOGLE / BLOGGER linkeillä varustetuille massa-ansoille on tunnuksenomaista:

1) ne tulevat ilmaisosoitteista (gmail, hotmail, jne) 

2) erittäin usein niissä on koko sivun kattava kuva joka vie yhteen ainoaan, samaan GOOGLE / BLOGGER linkkiosoitteeseen. Sivun esityskuvassa on useita buttoneita tai linkeiksi esittäytyviä tekstejä mutta ne siis vievät kaikki samaan osoitteeseen. Joskus löytyy toinenkin osoite mutta se ei ole kuvan yhteydessä, vaan ehkä alimmaisena kirjessä.

3) linkkiosoitteen alku vakiomuodossaan näyttää tältä: "https://maps.google. co.id/url?" (Googlen domainmuoto vaihtelee hieman mutta aina sana GOOGLE - on mukana linkin alussa). 

Koko linkkiosoite näyttää tältä: "https://maps.google. co.id/url?  q=https%3A%2F%2F%76%69%6E%63%65%6E%74%32%30%30%33%70%6F%73%74%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D&sa=D&sntz=1&usg=AOvVaw2B_e8Pi9pVkFuQOlFv1cbC#aHR0cHM6Ly8xLmFkLnRyY2tsay5jb20vNjc3YTlkOTNmMjRmZGUwNjZiZjBmZTk3P3JlZl9pZD0xJnN1YjI9QTNVYTVjUWYyZ2F0WmQ1NnF5eTdqayZlbWFpbD1oYW5udS5rdXVra2FuZW5AZWxpc2FuZXQuZmk=
GOOGLEN JÄLKEEN ALKAVA  https osoite on ASCII koodattu ja näyttää avattuna tältä: "kelly1997diary.blogspot. com". Se vie tyhjälle sivulle - jolta selain ohjautuu automaattisesti varsinaiseen ansaan.

4) kirje on yleensä "seurusteluun houkutteleva" toisinaan hyvin törkeää tekstiä, kuten tässä. Seurustelupalstat ovat muualla, ei näiden kirjeiden takana. Hae seuraa tunnetuilta palstoilta, ei e-maileista!

------------------------------------------KIRJE----------------------------------

EDELLISIÄ GOOGLE / BLOGGER ANSOJA
https://vaarallinenweb.blogspot.com/2025/02/google-blogger-on-erittain-vaarallinen.html

https://vaarallinenweb.blogspot.com/2025/01/google-blogger-spammays-jatkuu.html
https://vaarallinenweb.blogspot.com/2025/01/google-blogger-ansat-jatkuvat.html
https://vaarallinenweb.blogspot.com/2025/01/gogle-blogger-ansat-jatkavat.html
https://vaarallinenweb.blogspot.com/2025/01/google-blogger-ansalinkit.html
https://vaarallinenweb.blogspot.com/2025/01/bileansa.html
https://vaarallinenweb.blogspot.com/2025/02/googlen-kautta-kiertava-pizza-game.html
https://vaarallinenweb.blogspot.com/2025/02/imagesgoogle-linkit-vievat-ansaan.html

GOOGLE / BLOGGER ON ERITTÄIN VAARALLINEN LINKKI

On järkyttävää huomata, kuinka paljon näitä "seurusteluansoja" kiertää sähköposteissa.
Ja kun ottaa huomioon, että jokainen niistä on jonkun tason ansa. Rahaa lähtee onnettomalta klikkailijalta tavalla tai toisella, eikä aina edes vähän. Koko pankkitili saatetaan tyhjentää, kun huonosti sattuu.

Tämä ansa kuuluu siihen valtavaan massaan, jossa linkki alkaa sanalla "GOOGLE". 

Tutkin tämän linkin huolella, koska tämä edusta erittäin VAARALLISTA massapostitusta.
ÄLÄ KLIKKAA! Tarkempi tulos kuvan alapuolella.

----------------------------------KIRJE--------------------------------

app.any.run analyysoi linkin osoitteesta seuraavaa:

Ansaa kutsutaan nimellä "Spearphishing Link". Englanninkielisen tekstin alapuolella on vapaa, suomenkielinen  käännös analyysistä.

Adversaries may send spearphishing emails with a malicious link in an attempt to gain access to victim systems. Spearphishing with a link is a specific variant of spearphishing. It is different from other forms of spearphishing in that it employs the use of links to download malware contained in email, instead of attaching malicious files to the email 

Vastustajat (rikolliset) voivat lähettää huijausviestejä, joissa on haitallinen linkki yrittääkseen päästä uhrijärjestelmiin. Tietojenkalastelu linkin kautta, on spearphishingin erityinen muunnelma. Se eroaa muista verkkourkinnan muodoista siinä, että se käyttää linkkejä sähköpostien sisältämien haittaohjelmien lataamiseen sen sijaan, että sähköpostiin liitettäisiin haitallisia tiedostoja.

Tämä on todella katala viritelmä, koska virustorjunnalla on vaikeuksia selvitä linkeistä, joissa surffailija itse ampuu itseään otsaan. Tämä tapahtuu klikkailemalla vaarallisiin, syvälle, henkilötietovarkautta varten rakennettuihin ja niiden lomakkeisiin, piiloitettuihin linkkeihin.

Tunnuksenomaista näille kirjeille on, että ne saapuvat ilmaisosoitteista (gmail), ja jos kuljetat kohdistinta yli buttonien (tai koko kuva-alan) näkyy tilannerivillä vain yksi ja sama linkkiosoite.

 

GOOGLE kirjoittaa tuon Bloggersivun lähdekoodissa:
"'Tällä sivustolla käytetään Googlen evästeitä palveluiden toimittamiseen ja liikenteen analysoimiseen. IP-osoitteesi ja käyttäjäagenttisi jaetaan Googlelle. Google saa myös suorituskyky ja suojaustiedot, joiden avulla voidaan varmistaa laadukkaat palvelut, luoda käyttäjätilastoja, havaita väärinkäyttöä sekä reagoida siihen." Miten tämä teksti sitten toteutuukaan, se ei näytä vaikuttavan ainakaan tämäntapaiseen väärinkäyttöön.

LISÄÄ TIETOA NÄISTÄ VAARALLISISTA LINKEISTÄ

https://vaarallinenweb.blogspot.com/2025/02/google-blogger-linkitetyt-ansat-jatkuvat.html