torstai 6. maaliskuuta 2025

GOOGLE / BLOGGER spämmäykselle ei näy loppua

Tähän mennessä näitä GOOGLE / BLOGGER linkitettyjä ansoja on saapunut yli 60 kpl.
Analysoin viimeisimmän ja sen tautipesää ei kyennyt paljastamaan kuin F-Secure.

Ajoin useamman muunkin virustorjunnan läpi tuon osoitteen ja olivat sitä mieltä, että GOOGLEn taakse piiloitetussa linkkiosoitteessa ongelmaa ei ole. Joka tapauksessa tuo on samaa vaarallista roskapostiryöpytystä, kuin nuo 59 edellistä ansakirjettä. Aiheita on pääasiassa nämä seksipartnertarjoukset. Se on varmin tapa saada nuoret ajattelemattomat surffailijat ansaan. Partneria ei löydy mutta VIRUS saattaa saapua sen sijaan ikäänkuin "video-"  tai "kuva-"  tiedostona. Nerokkaimmillaan nämä virukset asentavat koneelle itse itsensä.

Skannattu osoite on: https://maps.google.com.au/url?q=https%3A%2F%2F%73%65%61%6E%32%30%30%39%64%69%61%72%79%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D&sa=D&sntz=1&usg=AOvVaw2xISL_Nmrthog8VzUoyjOD#aHR0cHM6Ly8xLmFkLnRyY2tsay5jb20vNjc3YTlkOTNmMjRmZGUwNjZiZjBmZTk3P3JlZl9pZD0xJnN1YjI9MjFWYnF0QmJQUDhKWWRWY25uejF4MSZlbWFpbD1oYW5udS5rdXVra2FuZW5AZWxpc2FuZXQuZmk=

Osoitteesta paljastuu tuo tuttu blogger osuus. Tällä kertaa muodossa: sean2009diary.blogspot. com.
Luulisi olevan Googlelle helppo nakki estää tällaisen osoitegeneraattorin toiminta. Kun noissa osoitteissa on selkeä logiikka, niistä on rakennettavissa suodatin. 

Googlen potkurihatut, tehkää jotain tälle ongelmalle. Valitin tästä ilmiöstä, jonka GOOGLE mahdollistaa.

---------------------------------------KIRJE-----------------------------------------



Tuossa F-Securen varoituksessa on avattu tuo GOOGLE / BLOGGER osoitteen takana piilossa ollut VAARALLINEN osoite: vnalra.searchamors. net
En ole koskaan antanut tälle toimijalle lupaa käyttää sähköpostiosoitettani yhdenkään kolmannen osapuolen kautta, vaikka teksti niin väittää. Tällä tekstillä yritetään peitellä sähköpostiosoitevarkaus.






keskiviikko 5. maaliskuuta 2025

APPLE SHIT

Apple kamaa tarjotaan, vaikka olen PC-käyttäjä. Kehnot ovat huijareiden laittomat osoitteistot ja niiden taustatiedot.

Kuvaavaa on ansasta lähtevän linkin osoite: "azeazeazqdfq.shit. vc/fwd"
Analysoituna tuo "**ska" osoite on myös VAARALLINEN. AnyRun löysi linkin päästä 5 vaaralliseksi arvioitua ohjelmaa ja Falcon Sandbox Reports mainitsee osoitteen olevan "Malicious" eli vaarallinen, syystä, että linkin päästä löytyy myös kaksi haitalliseksi osoittautunutta osoitetta "Input URL or Contacted Domain: "saleleaddeals. com" has been identified as malicious ja Input URL or Contacted Domain: "faultlessconnect. com" has been identified as malicious". Nämä olisivat olleet ilmeisesti valittavissaolevia linkkejä (Input).

Näkyvillä olevat: thetelegram.newsletters@postmedia. com ja elkharroubilah@gmail. com, osoitteet ovat hämäysosoitteita jotka kannataa laittaa kuitenkin roskapostisuodatukseen mukaan. Niitä käytetään vastaavissa ansoissa useimminkin.

-----------------------------------------KIRJE---------------------------------------------


AnyRun kävi kaappaamassa myös kuvan linkin päässä olevasta sivusta . ÄLKÄÄ ihmeessä ladatko tuota VPN ohjelmaa ainakaan tuolta sivulta ja koneelta, jos haluatte oman koneenne säilyvän käyttökunnosssa. Kommentissa alhaalla on oikea VPN ohjelman osoite. Käyttäkää sitä.





KRYPTOVALUUTTA - HUIJAUS

Otsake voisi olla myös: Näin köyhät menettävät rahansa.
Kirje saapui Tokiosta ja lähettänyt kone on rekisteröity Singaporeen.
Tämä ei vielä kerro paljon mutta Falcon Sandbox Reports kertoo linkin osoitteen olevan "Malicious", eli VAARALLINEN.

Falcon löysi osoitteesta haitallisen / epäilyttävän jatkodomainin: details Input URL or Contacted Domain: "jsdelivr. net" has been identified as suspicious.

Osoitteen, joka alkaa tekstillä:  merramail98.github. io/amazon/, voi laittaa spämmisuodattimeen.
Myös tuo palveluntarjoaja github. io joutaa kiellettyjen listalle, vaikka ansa ei juuridomainissa olekaan. Kuitenkin osoitteesta saapuu runsaasti haittapostia, eli palveluntarjoaja ei ole kiinnostunut asiakkaittensa luotettavuudesta ja laadusta. (poista tyhjä väli pisteen jälkeen). Älä koske liitteeseen.

----------------------------------KIRJE-------------------------------------


Allaoleva sivu löytyi Falcon Sandboxin kautta tuosta kryptohuijauslinkkiosoitteesta. Tämä domainosoite on myös vaarallinen. Tämä on vastaussivu osoitteesi poistamiseksi postituslistalta. Ei kuitenkaan ole mitään syytä klikata huijauspostin mihinkään linkkiin, koska myös tämä linkki on huijarin ahkerassa käytössä.
Norton Safe Web on analysoinut tämän sivuston seekangels. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.


Kirjeen lähdekoodista (selaimelta piilotettuna) löytyi myös kirjeenvaihtoa tratan hoitamisesta. Erittäin vaarallista yksityisyyttä loukkaavaa materiaalia, joka sisältää henkilönimiä arkaluontoisen asian ympärillä. 
Tähän viestiketjuun on sotkettu myös, rosvon kehittämä "ikäänkuin" minun sähköpostiosoitteeni "b11.return-hannu.kuukkanen@aspitel. com" (Norton Safe Web on analysoinut sivuston aspitel. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.). Mukana on myös minun todellinen sähköpostiosoitteeni. En ole ollut koskaan aspitelin asiakas.
 




tiistai 4. maaliskuuta 2025

PAINONPUDOTUS ANSA Kone-IP osoitteessa

Tämä kirje kuuluu sarjaan jossa linkit menevät saman kone-IP tunnuksen palvelinkoneeseen.
Kaikki edellisen kirjeen varoitukset voidaan kopsata suoraan tänne.

Tämän huijauskirjesarjan tunnusmerkkeihin kuuluu:
Sama peiteosoite lähettäjänä: "thetelegram.newsletters@postmedia. com" ja vastaanottajana:  elkharroubilah@gmail. com
Ja linkkiosoitteessa ensimmäisenä on tuo kone-IP /fwd/ (173.195.100. 00/fwd/) (muutettu siten, että .31 tilalla on . 00, jotta vahinkoja ei pääse tapahtumaan).

Falcon Sandbox Reports tuomitsi linkin VAARALLISEKSI "Malicious". Input URL or Contacted Domain: "3dimensionality. com" has been identified as malicious. Eli linkin päästä löytyi jatkolinkki vaaralliseen osoitteeseen.
Ohjelma, joka linkin päästä löytyi, pystyy mm. luomaan, hankkimaan tai varastamaan koodin allekirjoitusmateriaaleja haittaohjelmiensa tai työkalujensa allekirjoittamiseksi. Tämä tarkoittaa, että VIRUS pystyy asentamaan itsensä ilman lupaa koneellesi.

-------------------------------------------------KIRJE-----------------------------------------------



Falcon raportti jatkuu. Tässä on vain murto-osa, eli tärkeimmät, koneellesi tunkeutuneen viruksen toimintojen aiheuttamat haittamahdollisuudet.

Vastustajat = verkkorikolliset

Vastustajat voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin.
(kerätään kirjautumisen tunnustietoja)

Vastustajat voivat käyttää hämärtyneitä tiedostoja tai tietoja piilottaakseen tunkeutumisen artefaktit analyysistä. (virustorjunta ei löydä virusta)

Vastustajat voivat siirtää työkaluja tai muita tiedostoja ulkoisesta järjestelmästä vaarantuneeseen ympäristöön. (koneelle voidaan ladata haittaohjelmia)

Norton Safe Web on analysoinut sivuston 3dimensionality.com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI mutta se ei tätä piiloitettua linkkiä osoitteesta osannut kaivaa esille.  Myöskään toiseksi paras virustarkistaja AnyRun ei päässyt kone-IP:n läpi. 
 Sen sijaan Falcon Sandbox osasi kaivaa IP:n takaa piilolinkit. 



ILMAINEN VAKUUTUS

Tämä kirje muistuttaa Elisa - ansaa. Kirjeessä oleva linkki vie kone-IP osoitteeseen (173.195.100.00 muutettu).

Falcon Sandbox Reports tuomitsi March 4th 2025 10:09:40 (UTC) linkin VAARALLISEKSI "Malicious". Input URL or Contacted Domain: "topnewlink. com" has been identified as malicious. Eli linkin päästä löytyi jatkolinkki vaaralliseen osoitteeseen.
Ohjelma, joka linkin päästä löytyi, pystyy mm. luomaan, hankkimaan tai varastamaan koodin allekirjoitusmateriaaleja haittaohjelmiensa tai työkalujensa allekirjoittamiseksi. Tämä tarkoittaa, että VIRUS pystyy asentamaan itsensä ilman lupaa koneellesi. Niin, että kyseessä onkin KALLIS VAIKUTUS, eikä ilmainen vakuutus.


Falcon raportti jatkuu. Tässä on vain murto-osa, eli tärkeimmät, koneellesi tunkeutuneen viruksen toimintojen aiheuttamat haittamahdollisuudet.

Vastustajat = verkkorikolliset

Vastustajat voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin.
(kerätään kirjautumisen tunnustietoja)

Vastustajat voivat käyttää hämärtyneitä tiedostoja tai tietoja piilottaakseen tunkeutumisen artefaktit analyysistä. (virustorjunta ei löydä virusta)

Vastustajat voivat siirtää työkaluja tai muita tiedostoja ulkoisesta järjestelmästä vaarantuneeseen ympäristöön. (koneelle voidaan ladata haittaohjelmia)


SAMALLA TEKNIIKALLA TOIMIVIA ANSAKIRJEITÄ




MUISTUTUS GOOGLE - LINKKIEN VAAROISTA

 GOOGLE / BLOGGER osoitteiden taakse piiloitettujen ansalinkkien ryöppy jatkuu edelleen. Tällä hetkellä koneelleni on saapunut yli 50 erilaista GOOGLE / BLOGGER linkein varustettua, "houkuttelu" - postia, erliaisin "tärpein" ja "tyrkyin".  ÄLÄ KLIKKAA!
Yleensä ohjaan nämä suoraan roskiin (suosittelen). Tämän alla olevan kuvan kaltainen ANSA saapui jälleen ja analysoin sen kokeeksi, nähdäkseni millä tasolla tällä hetkellä mennään.

----------------------------------------KIRJE--------------------------------------


ANYRUN - virustorjunta selvitti linkin ohi Googlen ja Bloggerin sivujen ja löysi tämän kuvakaappauksessa näkyvän naistenkuvilla varustetun ansasivun. Seuraava klikkaus on todennäköisesti virus tai vähintäänkin henkilötieto - ja tai pankkitietovarkaus. Viruksen asentamiseen nämä ansat yleensä tähtäävät. Seurustelusta ei ole kysymys missään tapauksessa. Mannekiinien ja valokuvamallien ei tarvitse hakea seuraa verkkosivuilla.

Edellisen vastaavan  GOOGLE / BLOGGER linkin selvitys vei ANYRUN analyysin vastaavaan valinta-ansaan. Molempien linkkien takana on tuo edellä kuvailtu ansa.
Nuo vaarallisiksi luoktellut "s
vchost.exe-prosessit ovat yleensä turvallisia, mutta hakkerit ja verkkorikolliset voivat luoda svchost-haittaohjelmia jäljitelläkseen laillista svchostia. Virustarkistusohjelmat merkitsevät joskus lailliset svchost.exe-tiedostot, koska niillä on pääsy tietokoneen herkkiin osiin.
Miksi tämän kaltainen kirje johdattaa asiakkaan sivulle, joka käynnistää mahdollisen haittaohjelman ilman haitanteon tarkoitusta?





maanantai 3. maaliskuuta 2025

(KIRJE VENÄJÄLTÄ) Vain minuutti aikaa – Voit voittaa upean palkinnon!

Tyypillinen huijauksen kuvailema KIIRE! Älä mene tällaiseen lankaan. Kirje on vaarallinen.

LÄHETETTY:  heathcote.conroy. biz. Kirje on lähetetty amazonses. com postipalvelimelta
TODELLINEN KONEOSOITE: 80.76.42.48 = VENÄJÄLLÄ

Norton Safe Web on analysoinut sivuston ouaqsdqsoijqsoi.d-n-s. nam... turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

-----------------------------------------------KIRJE-----------------------------------------

 
 
TÄMÄ KIRJE ON SAMASTA SYLTTYTEHTAASTA, KUIN EDELLINEN:





ERITTÄIN VAARALLINEN KONE IP - LINKKI VENÄJÄLTÄ

Kannattaa seurata tarkkaan millaisia linkkejä klikkailee ja millaisiin kirjeisiin vastailee.
Jos olet yhtään epävarma, älä koske linkkeihin lainkaan, olemme mukana sodassa, haluamme tai emme, osana Euroopan itäistä puolustusta. Verkkoihimme yritetään jatkuvasti tunkeutua yksityisten koneitten kautta.

Jälleen kerran on liikkeellä erittäin vaarallisia e-maileja, joissa tavallisemmat virus-skannerit eivät näe vaaraa. Kyseessä on, tässä tapauksessa, konetunnukseen eli kone-IP - osoitteeseen vievä linkki.
Koneosoite saattaa vaihdella eri kirjeissä mutta varoituksena kannattaa pitää linkkejä, joiden alussa on pistein jaettu numerosarja (esim. 173.195.100.00. - tämä osoite on muutettu).

Ajoin osoitteen usealla eri virustorjuntaohjelmalla ja käyttämistäni ohjelmista, vain Falcon Safe Web löysi VAARALLISEN ansan. Ajo kesti hieman aikaa, mutta tulosta kannatti odottaa. Kuvan alla tarkempaa analyysiä kirjeen osoitteesta.

--------------------------------------KIRJE-------------------------------------


Tässä otteita Falconin ansiokkaasta raportista:

kirje on lähetetty venäläiseltä koneelta, vaikka se muuta esittää:
Description Selectel Network
PTR record slighteen. club
Provider JSC Selectel (RU)

Falcon Sandbox Reports (1)
March 3rd 2025 13:31:25 (UTC)
Malicious (osoite on VAARALLINEN)


Malicious Indicators 1 (miksi se on vaarallinen)
Network Related

    Malicious domain detected (löydettiin vaarallinen domainosoite. Tämä tarkoittaa, että näennäinen osoite vie selaimen lopuksi aivan muualle, kuin miltä näyttää)

    details (tarkemmin, löytyi kaksi vaarallista jatkolinkkiä)
        Input URL or Contacted Domain: "webstateful. com" has been identified as malicious
        Input URL or Contacted Domain: "dsw0trk. com" has been identified as malicious 

Vastustajat = verkkorikollinen

Vastustajat voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin (siis urkkivat tunnistetietoja päästäkseen koneellesi).

Vastustajat voivat käyttää toteutuksen suojakaiteita rajoittaakseen suorittamista tai toimia, jotka perustuvat vastustajan toimittamiin ja ympäristöön liittyviin olosuhteisiin, joiden odotetaan olevan kohteena. (en osaa selittää. Kenties joku muu tietää. Kaikissa tapauksissa tämä on vaaratekijä)

Vastustajat voivat luoda, hankkia tai varastaa koodin allekirjoitusmateriaaleja haittaohjelmiensa tai työkalujensa allekirjoittamiseksi. (Tämä tarkoittaa, että haittaohjelmat on asennettavissa koneellesi ilman suostumustasi)

Vastustajat voivat yrittää saada tietoa käynnissä olevista prosesseista järjestelmässä. (Tarkoittanee mahdollisia suojausohjelmiasi)

Vastustajat voivat käyttää Domain Generation Algorithms (DGA) -algoritmeja tunnistaakseen dynaamisesti kohdealueen komento- ja ohjausliikenteen sen sijaan, että luottaisivat staattisten IP-osoitteiden tai verkkotunnusten luetteloon. (Koneen verkkotunnistetta voidaan muuttaa ohjelmallisesti. Näitä menetelmiä oli listattu muutamia)

Vastustajat voivat kommunikoida DNS (Domain Name System) -sovelluskerroksen protokollan avulla välttääkseen havaitsemisen/verkkosuodatuksen sulautumalla olemassa olevaan liikenteeseen. (Verkkorikollisen aktiivista konetta ei voida tunistaa)

Vastustajat voivat siirtää työkaluja tai muita tiedostoja ulkoisesta järjestelmästä vaarantuneeseen ympäristöön. (tämä tarkoittaa virusten asentamista koneellesi)
 
TÄMÄ KIRJE ON PERÄISIN SAMASTA SYLTTYTEHTAASTA, KUIN EDELLINEN


.

sunnuntai 2. maaliskuuta 2025

ENERGY. CA TUNNUKSELLA TOIMIVA ELISA - HUIJARI

ELISA - nimissä yritetään kalastella henkilötietojasi. Linkki on kanadalaisen domainin nimissä "evenergy. ca" - palvelin on ilmeisesti hakkeroitu huijarin käyttöön. 
Koneesta varoitetaan virustorjunta-alan palveluissa mutta ei varsinaisesti luokitella vaaralliseksi. Kaikki omistajatiedot on domainrekisterissä piilotettu. Kirje on lähetetty amazonses. com postipalvelimelta, ei ELISAlta.
Kirjeellä ei ole mitään tekemistä ELISAn kanssa.

ÄLÄ KLIKKAA LINKKEIHIN

---------------------------------------------KIRJE-----------------------------------------




lauantai 1. maaliskuuta 2025

LINKKI SUORAAN VENÄLÄISEEN KONEOSOITTEESEEN

Harvinaista mutta totta. Tämän e-mailin linkki vie tiettyyn koneosoitteeseen. Osoitteen nimeyksestä voi päätellä, että tuo kone ei ole linkin lopullinen päämäärä. "FWD" osoitepolussa tarkoittaa "eteenpäin", eli todellinen kohdeosoite siirtyy useamman virustorjunnan ulottumattomiin.

ÄLÄ HAE LAINAA TÄÄLTÄ. Kone on Venäjällä, joten mitään hyvää ei linkistä kannata odottaa.
"etsilaina. fi" on tässä vain hämäyksenä. Kyseessä on venäläinen huijari, joka varastaa henkilö- ja pankkitietosi. 
Olen analysoinut virustarkistajalla vastaavia, uudempia kirjeitä. Linkit kuvan alapuolella.

---------------------------------------------KIRJE---------------------------------------------