KONE - IP PALKINTOTARJOUS - ANSA

Näitä saapuu silloin tällöin eri suunnista ja eri kone-IP osoitteista mutta lähde voidaan määritellä "sormenjälkien" perusteella, eli miten ansa on kasattu. 

Tässä ansassa tunnusomaista on tuo kone IP:n käyttö ja tuo /FWD/ kansio linkkiosoitteessa. FWD kansiossa oleva ohjelma ohjaa selaimen edelleen tuntemattomaan osoitteeseen. Kaikki virustorjuntaohjelmat eivät pysy perässä.
Tuttua on myös "lähetys" ja "vastaanottaja" -osoitteet, joita samoja tai samankaltaisia, on huijauskirjeiden käytössä. Kiire ja sekakielisyys on  myös tyypillistä huijauksissa. 
Muiden muassa, tämä ansa on sukua: https://vaarallinenweb.blogspot.com/2025/03/apple-shit.html sivulla kuvaillulle ansalle.

Falcon Sandbox analysoi linkin VAARALLISEKSI  (linkki on tässä rikottu mutta käy malliksi) "http://193.38.248. 00/fwd/P2Q9MTk3NyZlaT0xNTI0NzAwNjMmaWY9MTEwNiZsaT01OA"
IP osoite viittaa alueellisesti Buffalo, New York, United States (US),  Provider DigiRDP, LLC (US ).
Tämä kone saattaa olla hakkeroitu ja tällä hetkellä putsauksessa, koska testaamani linkki vei tyhjälle sivulle. Myös on mahdollista, että sivun sisältö olisi piiloitettu. En halua edes tietää, mitä sillä sivulla on. Näitä tyhjiä sivuja tulee usein vastaan, vaikka linkki on tutkitusti vaarallinen.

-------------------------------------KIRJE---------------------------------------

TÄMÄN KIRJEEN LINKKIOSOITTEEN KALTAISIA HUIJAUSOSOITTEITA ON SUUNNATON MÄÄRÄ MUTTA AINA NIISSÄ NÄYTTÄÄ OLEVAN JONKINLAISIA SAMANKALTAISUUKSIA

https://vaarallinenweb.blogspot.com/2025/01/spammereiden-kayttamia-domannimia.html

SUOMI.FI ja KANTA.FI HUIJAUKSET

ÄLKÄÄ KIRJAUTUKO SÄHKÖPOSTILINKIN KAUTTA SUOMI. FI ja KANTA. FI PALVELUIHIN.
Nyt saapuu myös VEROTUS-tietoja. Verovirastoon on myös kirjauduttava osoitteella "vero. fi" tai "omavero.vero. fi" (poista tyhjä väli pisteen jälkeen). ÄLÄ KÄYTÄ KIRJEESSÄ MAHDOLLISESTI OLEVIA LINKKEJÄ! Linkkejä sisältävä kirje tulee huijarilta.

Tämän kaltaisia huijauskirjeitä saapuu nyt sähköpostiinne.

--------------------------------------------KIRJE----------------------------------------------------

Tämän kirjeen linkin osoitteen

Falcon Sandbox Reports  kertoo olevan Malicious eli VAARALLINEN

Tässä sähköpostissa on, jopa ilman virusskannausta, monta viitettä, että kirje saapuu huijarilta:

1) lähettäjän sähköpostiosoite ei ole" suomi. fi" vaan "portal@dtsxp. com".

2) kirje saapuu Iranista, eikä Suomesta

3) Suomi.fi logo kirjeessä on "kehittäjille" sivuilta varastettu, ei asiakassivuilta

4) Mikä ihmeen My Suomi -palvelu? Ei sellaista ole.

GOOGLE / BLOGGER spämmäykselle ei näy loppua

Tähän mennessä näitä GOOGLE / BLOGGER linkitettyjä ansoja on saapunut yli 60 kpl.
Analysoin viimeisimmän ja sen tautipesää ei kyennyt paljastamaan kuin F-Secure.

Ajoin useamman muunkin virustorjunnan läpi tuon osoitteen ja olivat sitä mieltä, että GOOGLEn taakse piiloitetussa linkkiosoitteessa ongelmaa ei ole. Joka tapauksessa tuo on samaa vaarallista roskapostiryöpytystä, kuin nuo 59 edellistä ansakirjettä. Aiheita on pääasiassa nämä seksipartnertarjoukset. Se on varmin tapa saada nuoret ajattelemattomat surffailijat ansaan. Partneria ei löydy mutta VIRUS saattaa saapua sen sijaan ikäänkuin "video-"  tai "kuva-"  tiedostona. Nerokkaimmillaan nämä virukset asentavat koneelle itse itsensä.

Skannattu osoite on: https://maps.google.com.au/url?q=https%3A%2F%2F%73%65%61%6E%32%30%30%39%64%69%61%72%79%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D&sa=D&sntz=1&usg=AOvVaw2xISL_Nmrthog8VzUoyjOD#aHR0cHM6Ly8xLmFkLnRyY2tsay5jb20vNjc3YTlkOTNmMjRmZGUwNjZiZjBmZTk3P3JlZl9pZD0xJnN1YjI9MjFWYnF0QmJQUDhKWWRWY25uejF4MSZlbWFpbD1oYW5udS5rdXVra2FuZW5AZWxpc2FuZXQuZmk=

Osoitteesta paljastuu tuo tuttu blogger osuus. Tällä kertaa muodossa: sean2009diary.blogspot. com.
Luulisi olevan Googlelle helppo nakki estää tällaisen osoitegeneraattorin toiminta. Kun noissa osoitteissa on selkeä logiikka, niistä on rakennettavissa suodatin. 

Googlen potkurihatut, tehkää jotain tälle ongelmalle. Valitin tästä ilmiöstä, jonka GOOGLE mahdollistaa.

---------------------------------------KIRJE-----------------------------------------

Tuossa F-Securen varoituksessa on avattu tuo GOOGLE / BLOGGER osoitteen takana piilossa ollut VAARALLINEN osoite: vnalra.searchamors. net

En ole koskaan antanut tälle toimijalle lupaa käyttää sähköpostiosoitettani yhdenkään kolmannen osapuolen kautta, vaikka teksti niin väittää. Tällä tekstillä yritetään peitellä sähköpostiosoitevarkaus.

Lähdekoodista löytyi yksi linkkiosoite lisää: Norton Safe Web on analysoinut sivuston haligr. click turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI. Tuo linkki paljastui kirjeen avaamisen paljastajaksi, eli rikollinen voi havaita osoitteeni toimivan, kun kuva haetaan palvelimelta. Siksi kiellän kuvat selaimessa.

EDELLISIÄ GOOGLE / BLOGGER ANSOJA
https://vaarallinenweb.blogspot.com/2025/02/google-blogger-on-erittain-vaarallinen.html

https://vaarallinenweb.blogspot.com/2025/01/google-blogger-spammays-jatkuu.html
https://vaarallinenweb.blogspot.com/2025/01/google-blogger-ansat-jatkuvat.html
https://vaarallinenweb.blogspot.com/2025/01/gogle-blogger-ansat-jatkavat.html
https://vaarallinenweb.blogspot.com/2025/01/google-blogger-ansalinkit.html
https://vaarallinenweb.blogspot.com/2025/01/bileansa.html
https://vaarallinenweb.blogspot.com/2025/02/googlen-kautta-kiertava-pizza-game.html
https://vaarallinenweb.blogspot.com/2025/02/imagesgoogle-linkit-vievat-ansaan.html
https://vaarallinenweb.blogspot.com/2025/02/google-blogger-ansoille-tunnusomaista.html

APPLE SHIT

Apple kamaa tarjotaan, vaikka olen PC-käyttäjä. Kehnot ovat huijareiden laittomat osoitteistot ja niiden taustatiedot.

Kuvaavaa on ansasta lähtevän linkin osoite: "azeazeazqdfq.shit. vc/fwd"
Analysoituna tuo "**ska" osoite on myös VAARALLINEN. AnyRun löysi linkin päästä 5 vaaralliseksi arvioitua ohjelmaa ja Falcon Sandbox Reports mainitsee osoitteen olevan "Malicious" eli vaarallinen, syystä, että linkin päästä löytyy myös kaksi haitalliseksi osoittautunutta osoitetta "Input URL or Contacted Domain: "saleleaddeals. com" has been identified as malicious ja Input URL or Contacted Domain: "faultlessconnect. com" has been identified as malicious". Nämä olisivat olleet ilmeisesti valittavissaolevia linkkejä (Input).

Näkyvillä olevat: thetelegram.newsletters@postmedia. com ja elkharroubilah@gmail. com, osoitteet ovat hämäysosoitteita jotka kannataa laittaa kuitenkin roskapostisuodatukseen mukaan. Niitä käytetään vastaavissa ansoissa useimminkin.

-----------------------------------------KIRJE---------------------------------------------

AnyRun kävi kaappaamassa myös kuvan linkin päässä olevasta sivusta . ÄLKÄÄ ihmeessä ladatko tuota VPN ohjelmaa ainakaan tuolta sivulta ja koneelta, jos haluatte oman koneenne säilyvän käyttökunnosssa. Kommentissa alhaalla on oikea VPN ohjelman osoite. Käyttäkää sitä.

KRYPTOVALUUTTA - HUIJAUS

Otsake voisi olla myös: Näin köyhät menettävät rahansa.
Kirje saapui Tokiosta ja lähettänyt kone on rekisteröity Singaporeen.
Tämä ei vielä kerro paljon mutta Falcon Sandbox Reports kertoo linkin osoitteen olevan "Malicious", eli VAARALLINEN.

Falcon löysi osoitteesta haitallisen / epäilyttävän jatkodomainin: details Input URL or Contacted Domain: "jsdelivr. net" has been identified as suspicious.

Osoitteen, joka alkaa tekstillä:  merramail98.github. io/amazon/, voi laittaa spämmisuodattimeen.
Myös tuo palveluntarjoaja github. io joutaa kiellettyjen listalle, vaikka ansa ei juuridomainissa olekaan. Kuitenkin osoitteesta saapuu runsaasti haittapostia, eli palveluntarjoaja ei ole kiinnostunut asiakkaittensa luotettavuudesta ja laadusta. (poista tyhjä väli pisteen jälkeen). Älä koske liitteeseen.

----------------------------------KIRJE-------------------------------------

Allaoleva sivu löytyi Falcon Sandboxin kautta tuosta kryptohuijauslinkkiosoitteesta. Tämä domainosoite on myös vaarallinen. Tämä on vastaussivu osoitteesi poistamiseksi postituslistalta. Ei kuitenkaan ole mitään syytä klikata huijauspostin mihinkään linkkiin, koska myös tämä linkki on huijarin ahkerassa käytössä.
Norton Safe Web on analysoinut tämän sivuston seekangels. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

Kirjeen lähdekoodista (selaimelta piilotettuna) löytyi myös kirjeenvaihtoa tratan hoitamisesta. Erittäin vaarallista yksityisyyttä loukkaavaa materiaalia, joka sisältää henkilönimiä arkaluontoisen asian ympärillä. 
Tähän viestiketjuun on sotkettu myös, rosvon kehittämä "ikäänkuin" minun sähköpostiosoitteeni "b11.return-hannu.kuukkanen@aspitel. com" (Norton Safe Web on analysoinut sivuston aspitel. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.). Mukana on myös minun todellinen sähköpostiosoitteeni. En ole ollut koskaan aspitelin asiakas.

 

PAINONPUDOTUS ANSA Kone-IP osoitteessa

Tämä kirje kuuluu sarjaan jossa linkit menevät saman kone-IP tunnuksen palvelinkoneeseen.
Kaikki edellisen kirjeen varoitukset voidaan kopsata suoraan tänne.

Tämän huijauskirjesarjan tunnusmerkkeihin kuuluu:
Sama peiteosoite lähettäjänä: "thetelegram.newsletters@postmedia. com" ja vastaanottajana:  elkharroubilah@gmail. com
Ja linkkiosoitteessa ensimmäisenä on tuo kone-IP /fwd/ (173.195.100. 00/fwd/) (muutettu siten, että .31 tilalla on . 00, jotta vahinkoja ei pääse tapahtumaan).

Falcon Sandbox Reports tuomitsi linkin VAARALLISEKSI "Malicious". Input URL or Contacted Domain: "3dimensionality. com" has been identified as malicious. Eli linkin päästä löytyi jatkolinkki vaaralliseen osoitteeseen.
Ohjelma, joka linkin päästä löytyi, pystyy mm. luomaan, hankkimaan tai varastamaan koodin allekirjoitusmateriaaleja haittaohjelmiensa tai työkalujensa allekirjoittamiseksi. Tämä tarkoittaa, että VIRUS pystyy asentamaan itsensä ilman lupaa koneellesi.

-------------------------------------------------KIRJE-----------------------------------------------

Falcon raportti jatkuu. Tässä on vain murto-osa, eli tärkeimmät, koneellesi tunkeutuneen viruksen toimintojen aiheuttamat haittamahdollisuudet.

Vastustajat = verkkorikolliset

Vastustajat voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin.
(kerätään kirjautumisen tunnustietoja)

Vastustajat voivat käyttää hämärtyneitä tiedostoja tai tietoja piilottaakseen tunkeutumisen artefaktit analyysistä. (virustorjunta ei löydä virusta)

Vastustajat voivat siirtää työkaluja tai muita tiedostoja ulkoisesta järjestelmästä vaarantuneeseen ympäristöön. (koneelle voidaan ladata haittaohjelmia)

Norton Safe Web on analysoinut sivuston 3dimensionality.com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI mutta se ei tätä piiloitettua linkkiä osoitteesta osannut kaivaa esille.  Myöskään toiseksi paras virustarkistaja AnyRun ei päässyt kone-IP:n läpi. 
 Sen sijaan Falcon Sandbox osasi kaivaa IP:n takaa piilolinkit. 

SAMALLA TEKNIIKALLA TOIMIVIA ANSAKIRJEITÄ

https://vaarallinenweb.blogspot.com/2025/03/ilmainen-vakuutus.html

https://vaarallinenweb.blogspot.com/2025/03/erittain-vaarallinen-kone-ip-linkki.html

https://vaarallinenweb.blogspot.com/2025/03/linkki-suoraan-venalaiseen.html

ILMAINEN VAKUUTUS

Tämä kirje muistuttaa Elisa - ansaa. Kirjeessä oleva linkki vie kone-IP osoitteeseen (173.195.100.00 muutettu).

Falcon Sandbox Reports tuomitsi March 4th 2025 10:09:40 (UTC) linkin VAARALLISEKSI "Malicious". Input URL or Contacted Domain: "topnewlink. com" has been identified as malicious. Eli linkin päästä löytyi jatkolinkki vaaralliseen osoitteeseen.
Ohjelma, joka linkin päästä löytyi, pystyy mm. luomaan, hankkimaan tai varastamaan koodin allekirjoitusmateriaaleja haittaohjelmiensa tai työkalujensa allekirjoittamiseksi. Tämä tarkoittaa, että VIRUS pystyy asentamaan itsensä ilman lupaa koneellesi. Niin, että kyseessä onkin KALLIS VAIKUTUS, eikä ilmainen vakuutus.

Falcon raportti jatkuu. Tässä on vain murto-osa, eli tärkeimmät, koneellesi tunkeutuneen viruksen toimintojen aiheuttamat haittamahdollisuudet.

Vastustajat = verkkorikolliset

Vastustajat voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin.
(kerätään kirjautumisen tunnustietoja)

Vastustajat voivat käyttää hämärtyneitä tiedostoja tai tietoja piilottaakseen tunkeutumisen artefaktit analyysistä. (virustorjunta ei löydä virusta)

Vastustajat voivat siirtää työkaluja tai muita tiedostoja ulkoisesta järjestelmästä vaarantuneeseen ympäristöön. (koneelle voidaan ladata haittaohjelmia)

SAMALLA TEKNIIKALLA TOIMIVIA ANSAKIRJEITÄ

https://vaarallinenweb.blogspot.com/2025/03/ilmainen-vakuutus.html

https://vaarallinenweb.blogspot.com/2025/03/erittain-vaarallinen-kone-ip-linkki.html

https://vaarallinenweb.blogspot.com/2025/03/linkki-suoraan-venalaiseen.html

https://vaarallinenweb.blogspot.com/2025/03/painonpudotus-ansa-kone-ip-osoitteessa.html

MUISTUTUS GOOGLE - LINKKIEN VAAROISTA

 GOOGLE / BLOGGER osoitteiden taakse piiloitettujen ansalinkkien ryöppy jatkuu edelleen. Tällä hetkellä koneelleni on saapunut yli 50 erilaista GOOGLE / BLOGGER linkein varustettua, "houkuttelu" - postia, erliaisin "tärpein" ja "tyrkyin".  ÄLÄ KLIKKAA!
Yleensä ohjaan nämä suoraan roskiin (suosittelen). Tämän alla olevan kuvan kaltainen ANSA saapui jälleen ja analysoin sen kokeeksi, nähdäkseni millä tasolla tällä hetkellä mennään.

----------------------------------------KIRJE--------------------------------------

ANYRUN - virustorjunta selvitti linkin ohi Googlen ja Bloggerin sivujen ja löysi tämän kuvakaappauksessa näkyvän naistenkuvilla varustetun ansasivun. Seuraava klikkaus on todennäköisesti virus tai vähintäänkin henkilötieto - ja tai pankkitietovarkaus. Viruksen asentamiseen nämä ansat yleensä tähtäävät. Seurustelusta ei ole kysymys missään tapauksessa. Mannekiinien ja valokuvamallien ei tarvitse hakea seuraa verkkosivuilla.

Edellisen vastaavan  GOOGLE / BLOGGER linkin selvitys vei ANYRUN analyysin vastaavaan valinta-ansaan. Molempien linkkien takana on tuo edellä kuvailtu ansa.
Nuo vaarallisiksi luoktellut "svchost.exe-prosessit ovat yleensä turvallisia, mutta hakkerit ja verkkorikolliset voivat luoda svchost-haittaohjelmia jäljitelläkseen laillista svchostia. Virustarkistusohjelmat merkitsevät joskus lailliset svchost.exe-tiedostot, koska niillä on pääsy tietokoneen herkkiin osiin.
Miksi tämän kaltainen kirje johdattaa asiakkaan sivulle, joka käynnistää mahdollisen haittaohjelman ilman haitanteon tarkoitusta?

(KIRJE VENÄJÄLTÄ) Vain minuutti aikaa – Voit voittaa upean palkinnon!

Tyypillinen huijauksen kuvailema KIIRE! Älä mene tällaiseen lankaan. Kirje on vaarallinen.

LÄHETETTY:  heathcote.conroy. biz. Kirje on lähetetty amazonses. com postipalvelimelta
TODELLINEN KONEOSOITE: 80.76.42.48 = VENÄJÄLLÄ

Norton Safe Web on analysoinut sivuston ouaqsdqsoijqsoi.d-n-s. nam... turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

-----------------------------------------------KIRJE-----------------------------------------

Tämä kirje on samasta sylttytehtaasta, kuin e

 

 

TÄMÄ KIRJE ON SAMASTA SYLTTYTEHTAASTA, KUIN EDELLINEN:

ERITTÄIN VAARALLINEN KONE IP - LINKKI VENÄJÄLTÄ

 

ERITTÄIN VAARALLINEN KONE IP - LINKKI VENÄJÄLTÄ

Kannattaa seurata tarkkaan millaisia linkkejä klikkailee ja millaisiin kirjeisiin vastailee.
Jos olet yhtään epävarma, älä koske linkkeihin lainkaan, olemme mukana sodassa, haluamme tai emme, osana Euroopan itäistä puolustusta. Verkkoihimme yritetään jatkuvasti tunkeutua yksityisten koneitten kautta.

Jälleen kerran on liikkeellä erittäin vaarallisia e-maileja, joissa tavallisemmat virus-skannerit eivät näe vaaraa. Kyseessä on, tässä tapauksessa, konetunnukseen eli kone-IP - osoitteeseen vievä linkki.
Koneosoite saattaa vaihdella eri kirjeissä mutta varoituksena kannattaa pitää linkkejä, joiden alussa on pistein jaettu numerosarja (esim. 173.195.100.00. - tämä osoite on muutettu).

Ajoin osoitteen usealla eri virustorjuntaohjelmalla ja käyttämistäni ohjelmista, vain Falcon Safe Web löysi VAARALLISEN ansan. Ajo kesti hieman aikaa, mutta tulosta kannatti odottaa. Kuvan alla tarkempaa analyysiä kirjeen osoitteesta.

--------------------------------------KIRJE-------------------------------------

Tässä otteita Falconin ansiokkaasta raportista:

kirje on lähetetty venäläiseltä koneelta, vaikka se muuta esittää:

Description Selectel Network

PTR record slighteen. club

Provider JSC Selectel (RU)

Falcon Sandbox Reports (1)

March 3rd 2025 13:31:25 (UTC)

Malicious (osoite on VAARALLINEN)

Malicious Indicators 1 (miksi se on vaarallinen)

Network Related

    Malicious domain detected (löydettiin vaarallinen domainosoite. Tämä tarkoittaa, että näennäinen osoite vie selaimen lopuksi aivan muualle, kuin miltä näyttää)

    details (tarkemmin, löytyi kaksi vaarallista jatkolinkkiä)

        Input URL or Contacted Domain: "webstateful. com" has been identified as malicious

        Input URL or Contacted Domain: "dsw0trk. com" has been identified as malicious 

Vastustajat = verkkorikollinen

Vastustajat voivat lähettää phishing-viestejä päästäkseen uhrijärjestelmiin (siis urkkivat tunnistetietoja päästäkseen koneellesi).

Vastustajat voivat käyttää toteutuksen suojakaiteita rajoittaakseen suorittamista tai toimia, jotka perustuvat vastustajan toimittamiin ja ympäristöön liittyviin olosuhteisiin, joiden odotetaan olevan kohteena. (en osaa selittää. Kenties joku muu tietää. Kaikissa tapauksissa tämä on vaaratekijä)

Vastustajat voivat luoda, hankkia tai varastaa koodin allekirjoitusmateriaaleja haittaohjelmiensa tai työkalujensa allekirjoittamiseksi. (Tämä tarkoittaa, että haittaohjelmat on asennettavissa koneellesi ilman suostumustasi)

Vastustajat voivat yrittää saada tietoa käynnissä olevista prosesseista järjestelmässä. (Tarkoittanee mahdollisia suojausohjelmiasi)

Vastustajat voivat käyttää Domain Generation Algorithms (DGA) -algoritmeja tunnistaakseen dynaamisesti kohdealueen komento- ja ohjausliikenteen sen sijaan, että luottaisivat staattisten IP-osoitteiden tai verkkotunnusten luetteloon. (Koneen verkkotunnistetta voidaan muuttaa ohjelmallisesti. Näitä menetelmiä oli listattu muutamia)

Vastustajat voivat kommunikoida DNS (Domain Name System) -sovelluskerroksen protokollan avulla välttääkseen havaitsemisen/verkkosuodatuksen sulautumalla olemassa olevaan liikenteeseen. (Verkkorikollisen aktiivista konetta ei voida tunistaa)

Vastustajat voivat siirtää työkaluja tai muita tiedostoja ulkoisesta järjestelmästä vaarantuneeseen ympäristöön. (tämä tarkoittaa virusten asentamista koneellesi)

 

TÄMÄ KIRJE ON PERÄISIN SAMASTA SYLTTYTEHTAASTA, KUIN EDELLINEN

https://vaarallinenweb.blogspot.com/2025/03/kirje-venajalta-vain-minuutti-aikaa.html

.