VANHA TUTTU META - COPYRIGHT ANSA

Vastaava "META":n nimissä rakennettu "copyright" -ansa saapui helmikuussa. Paras todiste kirjeen huijaustarkoituksesta on, että tähän päivään mennessä ei tiliäni ole suljettu uhkailusta huolimatta.
https://vaarallinenweb.blogspot.com/2025/02/metahuijaus-loukkaus.html

Muitakin huijauksen tunnusmerkkejä löytyy:
Kirje ei tule Metalta, vaan huijarin kehittämästä, rekisteröimättömästä osoitteesta (r9pascalecamron52@doco6.io. vn), joka on Vietnamin maatunnuksella.
LINKKI "https://beacons. ai/busineshelpssuports" VIE HUIJARIN koneelle, josta  ANY.RUN virustorjunta kertoo: PHISHINGSuspected Phishing domain by CrossDomain ( .beacons .ai)

ANY.RUNin raportista löytyy osoitteesta viisi uhkaa. Kirje on henkilötietokalasteluyritys.

----------------------------------------KIRJE---------------------------------------------

ANY.RUN raportissa näkyy alamarginaalissa teksti "DANGER" eli "VAARA"
Kuvakaappauksessa näkyy animoitu Metan tunnus. Tämän tunnuksen esittäminen huijaustarkoituksessa, olisi se todellinen tekijänoikeusloukkaus ja sen olisi tehnyt huijari itse.

.

ISO KASA VAARALLISIA OSOITTEITA

"TARKISTUS TARVITAAN", "PAKETTISI ODOTTAA".
Saman kirjeen linkistä Falcon-virustorjunta löysi useita vaarallisia osoitteita, joista ANY.RUN kertoo lisää.

Varsinainen RYSÄ. Jäljen johtavat piilotekstibuttoneineen Venäjälle, vaikka osoitteet harhailevat useassa muussakin maassa. Lähettäjän kone-IP 193.226.79. 123 osoittaa Singaporeen

Virustorjunnan Raportti kertoo karua kieltä linkistä:
http://glawter.dynuddns. net/fwd/P2Q9NTIzOCZlaT0xNTI0NzAwNjMmaWY9MTMwNTcmbGk9NTgmdHk9MQ

Omistaja/käyttäjä? on Catalin Draga, Virtono Networks SRL, Bd. Mamaia, Nr. 288, Hotel Turist, 900552, Constanta, Romania. 
Kone vaikuttaa kaapatulta, eli rikollinen käyttää sitä ansansa kotikoneena. Näin voi käydä huolimattomalle surfailijalle.

Falcon Sandbox Report jatkaa: Malicious domain detected. Details: Input URL or Contacted Domain: "dynuddns. net" has been identified as malicious
Koneesta löytyy lisäksi runsas määrä muita vaarallisia linkkejä: 
Input URL or Contacted Domain: "tollroadways. com" has been identified as malicious
Input URL or Contacted Domain: "starlightskythe. com" has been identified as  malicious
Input URL or Contacted Domain: "sharedtris. com" has been identified as  malicious
Input URL or Contacted Domain: "ofijii. com" has been identified as  malicious 
Input URL or Contacted Domain: "copaxso. xyz" has been identified as  malicious 

Kuvakaappauksessa näkyy yksi haittapostien tunnus, eli näkymätön (valkoinen) teksti valkoisessa buttonissa. Punaisen ovaalin sisällä. Olen korostanut linkin tekstin ennen kuvakaappausta. Buttoni on täysin valkoinen.

---------------------------------KIRJE----------------------------------

ANY.RUN virustorjunta analysoi noita vaarallisia yhteyksiä seuraavalla tavoin:

Löytyy sivu: Best International IPTV Service (joka on vakiosivu haittaposteissa. Luultavasti kopioitu sivu, jonka takaa verkkorikollinen toimii noiden vaarallisten linkkien avulla)

Ja viisi eri uhkaavaa kontaktia

Potentially Bad Traffic

(kaikki uhat viittavat MS Edge selaimen ohjelmistotiedostoon. "C:\Program Files (x86)\Microsoft\Edge\Application\msedge. exe " )

ET DYN_DNS DYNAMIC_DNS Query to a *.dynuddns .net Domain 

Potentially Bad Traffic

msedge. exe

ET DYN_DNS DYNAMIC_DNS Query to a *.dynuddns .net Domain

Potentially Bad Traffic

msedge. exe

ET DYN_DNS DYNAMIC_DNS Query to a *.dynuddns .net Domain

Potentially Bad Traffic

msedge. exe

ET DYN_DNS DYNAMIC_DNS Query to a *.dynuddns .net Domain

Potentially Bad Traffic

msedge. exe

Näissä linkeissä ulkopuolinen keskusteleva kone on Floridassa, Miamissa: 5.34.179. 199

VIRUSTORJUNTAA VIRUKSILLA?

Tämä kirje on huijaus ja se saapuu Venäjältä. 
Kataluutena on, että todennäköisesti lataat VIRUKSEN virustorjuntaohjelman sijaan.

Näitä, tai vastaavia kirjeitä on syytä varoa. Jos epäilet, että virustorjuntasi on vanhentunut, ota yhteys suoraan siihen firmaan, josta olet virussuojauksen aikaisemmin tilannut.
Missään tapauksessa, ÄLÄ KLIKKAA tällaisen kirjeen linkkeihin.

Virustorjuntafirma EI käytä outlook ilmaisosoitetta, eikä se kirjoita kirjeitään huonolla suomenkielellä, eikä se piiloita linkkibuttonin tekstiä (punaisessa ovaalissa). 
Näiden tunnisteiden lisäksi Falcon Sandbox raportoi kirjeen linkin olevan VAARALLINEN:
Malicious domain detected. Details:
Input URL or Contacted Domain: "saleleaddeals. com" has been identified as malicious
Input URL or Contacted Domain: "pagestableload. com" has been identified as malicious   
Molemmat osoitteet löytyvät myös aikaisemmista venäläisistä virusposteista.                                                                                          

 ---------------------------------------KIRJE---------------------------------------

SAMAN VIRUSPOSTITTAJAN KIRJEITÄ

https://vaarallinenweb.blogspot.com/2025/05/poliglu-translator-ansa.html

https://vaarallinenweb.blogspot.com/2025/05/googlen-nimissa-huijausyritys.html
https://vaarallinenweb.blogspot.com/2025/05/virussuoja-ansa.html
https://vaarallinenweb.blogspot.com/2025/05/google-play-lahjakortti.html
https://vaarallinenweb.blogspot.com/2025/05/iso-kasa-elisan-nimissa-saapunutta.html
https://vaarallinenweb.blogspot.com/2025/03/t-max-huijaa-rahasi.html
https://vaarallinenweb.blogspot.com/2025/05/suuri-joukko-venalaista-alkuperaa.html

TOKMANNI ja TOIMITUS - ANSA

En ole, etkä sinäkään ole saamassa yhtään mitään TOKMANNILTA. Tämä kirje on ANSA.

--------------------------------------------KIRJE-----------------------------------------------

EDELLISEN POSTIN ELISA VIRUSVAROITUS

http://5x2ec55ri4M5Ng7@95.213.139. 105/fwd/P2Q9MjA5NzAmZWk9MTUyNDcwMDYzJmlmPTM4NzU2JmxpPTU4

kone-IP on Venäjällä Pietarissa

TOKMANNI

Kanta-asiakaspalkkiosi on valmis - vahvista toimitusosoitteesi

http://6cve89A5c3q5@81.181.104.

62/fwd/P2Q9MjA5NTUmZWk9MTUyNDcwMDYzJmlmPTM4NzU2JmxpPTU4

kone-IP on Puolassa, Varsovassa

DNS on mustalla listalla

Tästä voidaan helposti päätellä, että kyseessä on sama rikollisporukka asialla. FWD linkinjatke vie samalla tavoin toimivalle ansaivulle molemmat, vaikka koneet ovat eri valtioiden alueella.
Mahdollista on, että Puolassa oleva kone on joko hakkeroitu, tai Puolassa istuu samaan porukkaan kuuluvia verkkorikollisia, samoissa puuhissa. Tämä eri koneiden käyttö on yleistä, vaikka harvemmin voidaan näin suoraan osoittaa asia todeksi.

Malicious domain detected

Input URL or Contacted Domain: "ponelaz. com" has been identified as malicious 

Tämän saman kone-IP:n takaa löytyi aikaisemmin myös toinen vaarallinen osoite:  

Falcon Sandbox kertoo tämän osoitteen olevan VAARALLINEN: http://t4RIYx6dv7Nu7WU@81.181.104. 62/fwd/P2Q9MjA5MzcmZWk9MTUyNDcwMDYzJmlmPTM4NzUyJmxpPTU4
Malicious domain detected
Input URL or Contacted Domain: "webstateful. com" has been identified as malicious 
Tämä osoite on löytynyt venäläisistä kirjeistä myös.

LISÄÄ VASTAAVIA ANSOJA:

https://vaarallinenweb.blogspot.com/2022/02/uusi-venalainen-spammeriosoite.html

                                                                                          

https://vaarallinenweb.blogspot.com/2022/02/verkkokauppacomin-ja-tokmannin-nimella.html

https://vaarallinenweb.blogspot.com/2022/12/vaaralliset-tokmanni-ja-omalaina-ansat.html

https://vaarallinenweb.blogspot.com/2025/05/tokmannin-nimella-ansapostina.html

https://vaarallinenweb.blogspot.com/2022/11/tokmannin-lahjakorttihuijauksen-uudet.html

LIDLI ja SAMA SYLTTYTEHDAS JÄLLEEN

Tässä pukeudutaan "LIDL"in valeasuun ja koitetaan huijata Makita työkalusetin varjolla.
Tätä samaa settiä on tarjoiltu jo kymmenissä, eri firmojen logoilla ratsastavissa "palkintoposteissa".

LINKKI vie samaan venäläiseen ansaan, kuin ELISAn "virusvaroiotus". 

-------------------------------------------KIRJE------------------------------------------------

VAKAVA VIRUS JA KEINOELISA

Elisan nimissä saapui eilen tämä VIRUS - posti.
Jos sait vastaavan kirjeen, viruksista ei ole huolta, niin kauan kun et koske kirjeen linkkeihin.
TÄMÄ ON ANSA. 

Kirje ei saavu ELISASTA. Ja linkki vie Venäjälle. Kone-IP on Venäjällä Pietarissa."http://5x2ec55ri4M5Ng7@95.213.139. 105/fwd/P2Q9MjA5NzAmZWk9MTUyNDcwMDYzJmlmPTM4NzU2JmxpPTU4"

Elisan "Logo" on konnan surkea yritelmä.

-------------------------------------------KIRJE-----------------------------------------------

FALCON SANBOX REPORTS kertoo vahvistuksen linkin VAARALLISUUDESTA:

"Malicious domain detected"

Input URL or Contacted Domain: "webstateful. com" has been identified as malicious

Tämä sama IP-osoite toistuu useassa muussakin kirjeessä virusten kotipesänä.
                              

LINKKIPOSTIA SAMAAN HUIJARIN OSOITTEESEEN

Huijaritkin laiskistuvat. Samalle ansasivulle johtaa nyt useita peräkkäisiä sähköpostikirjeitä samasta "lähetysosoitteesta" websterptsa. org, joka ei vastaa mitenkään kirjeiden sisältöä.
Jokaisessa kirjeessä on yksi ja sama LINKKI samaan ansaan
Linkki on analysoitu useassa virustorjuntapalvelussa VAARALLISEKSI

------------------------------HUIJAUSKIRJEITÄ MALLIKSI----------------------------------

KAIKISSA SAMA LINKKI: http://wrispen.freeddns. org/fwd/P2Q9NDYyMyZlaT0xNTI0NzAwNjMmaWY9MTQ4MDkmbGk9NTgmdHk9MQ

Falcon Sandbox Reports

wrispen.freeddns. org "Malicious domain detected"

    Input URL or Contacted Domain: "webstateful. com" has been identified as malicious 

ANY.RUN virustorjunnassa löytyy osoitteesta
7 uhkaa

"Suspicious activity"

RYOKO WI-FI nimellä ansapostia

Ryoko nimen kanssa yritetään saada ihmisiä ansaan. 
En ota kantaa itse laitteeseen, vaan nimenomaan tähän kirjeeseen, joka on rakennettu ansaksi tuotemerkin taakse. RYOKOa on käytetty aikaisemminkin lumeosoitteena.

Lähettäjä "canoaselmoyau. com" näyttäisi olevan kanoottimelontaa ja siihen liittyvien palvelujen markkinointiin keskittynyt yritys, jonka osoitetta on käytetty hämäyksenä. Aika kaukana kannettavien verkkojen tuotteista. Kannattaa kiinnittää huomiota myös kirjeeseen, jossa käytetään valmis-ikoneita: otsakkeissa ja rivien päissä. Vakavasti otettavat kaupalliset toimijat eivät käytä niitä kirjeissään. 

LINKKI on analysoitu virustorjunta-alan palveluissa VAARALLISEKSI

------------------------------------KIRJE-------------------------------------

ANY.RUN virustorjunta löytää 15 UHKAA linkin osoitteessa olevalta sivulta. Sivu näyttää tekaistulta tai varastetulta? Missään tapauksessa linkkiin ei kannata koskea. Hanki Wi-Fi reitittimesi muualta.

AIKASEMPIA VASTAAVIA HUIJAUKSIA

https://vaarallinenweb.blogspot.com/2025/01/ryoko-wifi-huijaus.html

PROSTARON ANSA. SAMA VENÄLÄINEN OSOITE

PROSTARON ANSA. SAMA VENÄLÄINEN OSOITE JA HUIJARIPORUKKA KUIN EDELLISET.

Kannattaa hankkia nämä tuotteet luotettavasta apteekista. Tämä kirje on HUIJAUS.

Linkin osoite vie puolalaiselle koneelle Warsovaan. Kone on verkon MUSTALLA LISTALLA.

Falcon Sandbox kertoo osoitteen olevan VAARALLINEN: http://t4RIYx6dv7Nu7WU@81.181.104. 62/fwd/P2Q9MjA5MzcmZWk9MTUyNDcwMDYzJmlmPTM4NzUyJmxpPTU4
Malicious domain detected
Input URL or Contacted Domain: "webstateful. com" has been identified as malicious 
Tämä osoite on löytynyt venäläisistä kirjeistä myös.

-------------------------------------------KIRJE------------------------------------------

POLIGLU TRANSLATOR ANSA

KIELIKONEANSA JOKA VIE SAMAAN VAARALLISEEN IP LINKKIOSOITTEESEEN kuin edellinen postaus.
http://Dfkws19j@87.251.83. 51/fwd/P2Q9MjA5NTAmZWk9MTUyNDcwMDYzJmlmPTE5MjIzJmxpPTU4JnR5PTE<
"Effective URL" on edelleenkin: https://iptvunlimited. net/ 

Linkki vie verkkorikollisen palvelimelle. "http://748fD4F242@87.251.83. 51/fwd/P2Q9MjA5NTYmZWk9MTUyNDcwMDYzJmlmPTE5MjIzJmxpPTU4JnR5PTE"

KONE IP ALOITTAA VARSINAISEN OSOITTEEN joka heittää FWD linkillä selaimen eteenpäin.
Sieltä löytyy varsinainen eli "Effective URL": https://iptvunlimited. net/ 

FALCON SANDBOX RAPORTOI: "Malicious domain detected
Input URL or Contacted Domain: "saleleaddeals. com" has been identified as malicious
Input URL or Contacted Domain: "pagestableload. com" has been identified as malicious"
Molemmat palvelimet (osoitteet) ovat ennestään tuttuja venäläisen huijarin käyttämiä.

Edellinen Poliglu ansa: https://vaarallinenweb.blogspot.com/2024/12/vaarallinen-kielenkaantaja.html

--------------------------------------------KIRJE---------------------------------------------------