Netin ansoja

keskiviikko 9. heinäkuuta 2025

Onko sähköpostitilini varastettu?

Mielenkiintoista on, että palvelu "haveibeenpwned. com" on verkon virustorjuntayrityksen mukaan merkitty VAARALLISEKSI. On syytä välttää palvelua, kunnes varoitus poistuu tai domainnmi poistetaan verkosta. Kehota tarkistamaan mahdollisesti varastetut sähköpostiosoitteet luotettavan virustorjuntaohjelman kautta.

Esimerkiksi F-Secure kaivoi minulle luotettavasti kaikki osoitevuodot ja mitä tietoja niihin oli kuulunut.
Tarkistin kaikki ja tein tarvittavat suojausoperaatiot. Tarkistukset kannattaa tehdä silloin tällöin, koska eri verkkopalvelujen asiakastietoja kalastellaan jatkuvasti.

sunnuntai 6. heinäkuuta 2025

LIITEANSA JÄLLEEN

KIRJE SAAPUI, MINULLE AIKAISEMMIN TUNTEMATTOMASTA FIRMASTA

support@firevps. net (FireVPS) (osoite on vaaraton mutta LINKKI ei)

Kuvaus yrityksestä: "Affordable VPS hosting with powerful features, top-tier performance, and scalable options for Windows VPS, Linux VPS, and CyberPanel VPS solutions."
"Edullinen VPS-hosting tehokkailla ominaisuuksilla, huippuluokan suorituskyvyllä ja skaalautuvilla vaihtoehdoilla Windows VPS-, Linux VPS- ja CyberPanel VPS -ratkaisuille."

Kirje viittaa tilaukseen, josta minulla ei myöskään ole mitään tietoa.

Koska mitään vastauslinkkiä ei kirjeessä ole, ansa on LIITTEESSÄ.

ÄLÄ AVAA KOSKAAN TUNTEMATTOMALTA LÄHETTÄJÄLTÄ SAAPUNUTTA LINKKIÄ TAI LIITETTÄ!

-------------------------------KIRJE-----------------------------------

KIRJE KÄÄNNETTYNÄ EI OIKEASTI KERRO YHTÄÄN MITÄÄN,
joten huijarin tarkoituksena on vain saada uhri avaamaan liite.
--------------------------------------------------------------------------------------

PO-ORDER 104_07_04_2025 (40FT) Sheet_Specifications_Samples
(PO-TILAUS 104_07_04_2025 (40FT) Arkki_Tekniset_Näytetiedot)

United Global Sourcing (UGS)<support@firevps .net>

4.7.2025 11.42

Vastaanottaja hannu.kuukkanen@xxxxxxxx.fi

Yllä olevaan asiaan viitaten pyydämme ystävällisesti kilpailukykyisintä tarjousta liitteenä olevien asiakirjojen mukaisten tuotteiden/tarvikkeiden toimittamisesta.

Lähetä tarjouksesi viimeistään 27. kesäkuuta 2025 mennessä, sillä aiomme käsitellä tämän pyynnön kiireellisesti tulevia messuja varten. (tarjous olisi ollut huomattavasti myöhässä)

Tarpeettomien viivästysten välttämiseksi vahvista liitteenä olevan tilauslomakkeen 104_07_04_2025 (40FT) Sheet_Specifications_Samples vastaanottaminen ja palauta se Proforma-laskusi ja pankkitietojesi kanssa mahdollisimman pian. Näin voimme suorittaa ennakkomaksun tällä viikolla.
(lomakkeella udellaan yrityksesi pankkitiedot)

Arvostamme nopeaa huomiotasi tähän asiaan.

Kiitos ajastasi ja yhteistyöstäsi.

---------------------------------------------------------------

SEURAAVA VASTAAVA HUIJAUSKIRJE SAAPUI HETI PERÄÄN

Osoitetta "savio.edu. pe" ei ole olemassa, joten LIITE on vaarallinen, kuten edellisessäkin.

torstai 3. heinäkuuta 2025

ELISA HYVITYS HUIJAUS

Tämä kirje saapui espanjalaiselta Juanignaciolta, ei suinkaan Elisalta.
Kannattaa aina katsoa ensin kirjeen lähettäjä ja vastaanottaja, tässä tapauksessa postituslista, ei henkilö, kuten laskutusasioissa yleensä.

Huijari on osannut lähettää Elisan sähköpostin omistajille hyvityksen "Elisalta" mutta siihen taito onkin jo loppunut. Onneksi.

ÄLÄ KLIKKAA LINKKIÄ!
Falcon Sandbox virustorjunta raportoi linkin osoitteen: "Malicious domain detected, details:
CONTACTED DOMAIN: "elisanett. com" has been identified as malicious".
Tässä tapauksessa on perustettu "näköisdomain" (shorturl. at/US2Yg), joka oli kaiken lisäksi piiloitettu, osoitteen lyhennepalvelun avulla. .

------------------------------------------VIESTI---------------------------------------------

sunnuntai 29. kesäkuuta 2025

McAfeen nimissä huijataan jälleen

Jälleen kiertää neitisssä tällainen huijausyritys McAfeen nimissä.

Varsinainen LINKKI on keskipalkissa (email), joka veisi rikollisen koneelle, jossa henkilötietosi ja pankkitietosi varastetaan ja pankkitilisi tyhjennetään.

Kirjeen lähdekoodissa (näkymättömissä), kummittelee jälleen tuo tuttu "TRATTA" teksti, joka sisältää arkaluontoista yksityistä tietoa, jollaisen levittäminen on jo sellaisenaan rikos.
Alinna osakaappaus sisältötekstin alusta, oleellinen tieto peitettynä.

Kuten lähettäjäosoitteesta voi nähdä, ei kirje tule yhdeltäkään McAfee kauppiaalta. Lue lisää kuvien alapuolelta.

-----------------------------------------KIRJE-------------------------------------------------

OSITTAINEN KUVAKAAPPAUS LÄHDEKOODISTA, JOKA EI SUORAAN NÄY SELAIMESSA
MUTTA ON USEAMMALLA SELAIMILLA LUETTAVISSA.

LÄHETYSOSOITTEESTA:

Sea Breeze Inn - Ocean City

seabreezeoc. com

Located at 2nd Street and North Baltimore Avenue, in Downtown Ocean City, Maryland, the Sea Breeze Inn is the perfect starting point for a vacation in Ocean ...

Matkanjärjestäjän osoite on varastettu huijauskäyttöön.

ITSE KIRJEEN LINKISTÄ KERTOO virustorjuntaohjelma Falcon Sandbox:

Malicious domain detected

details

CONTACTED DOMAIN: "seekangels. com" has been identified as malicious

CONTACTED DOMAIN: "upsearching. com" has been identified as malicious

MUITA McAfee ANSOJA

https://vaarallinenweb.blogspot.com/2023/09/mcafee-huijausta-yritettaan-jalleen.html

https://vaarallinenweb.blogspot.com/2022/05/android-ja-mcafee.html

https://vaarallinenweb.blogspot.com/2022/05/trollien-mcafee-huijaukset-jatkuvat.html

https://vaarallinenweb.blogspot.com/2022/03/mcafee-huijaus-jatkuu-ja-jatkuu.html

https://vaarallinenweb.blogspot.com/2022/01/vaarallinen-mcafee-2022-paivitysansa.html

https://vaarallinenweb.blogspot.com/2022/01/mcafee-virusvaroitus-suoraan-ansaan.html

https://vaarallinenweb.blogspot.com/2021/12/olematon-mc-afee-paattyy.html

https://vaarallinenweb.blogspot.com/2021/12/mcafee-vaarallista-virustorjuntaa.html

https://vaarallinenweb.blogspot.com/2015/03/facebook-tykkayksia-kaupan-kuulostaako.html

lauantai 28. kesäkuuta 2025

OMAKANTA HUIJAUS

Halpamainen yritys huijata sairaita ihmisiä.

Tämän kaltaiseen, viralliselta vaikuttavaan viestiin EI SAA VASTATA LINKIN KAUTTA!

Kyseessä on huijarin virittämä ansa, jossa henkilötietosi ja mahdollisesti myös pankkitietosi, varastetaan rikollisen käyttöön.
Jos odottelet reseptiä tai haluat tietää omakannan tilanteesi, kirjoita itse selaimen osoitekenttään virallinen osoite "omakanta.fi".

Tässäkin tapauksessa kirjeen lähetysosoite on jotakin aivan muuta, kuin "omakanta" (punaisella alleviivattu). Samoin vastaanottajan kohdalla tulisi olla sinun osoitteesi eikä mitään muuta.

------------------------------------KIRJE--------------------------------------

VEROTTAJAN VIESTIKÖ?

KANTA.FI OSOITTEESTA EI OLE SYYTÄ LUKEA TÄTÄ VIESTIÄ
TÄMÄ ON HUIJAUS
Vastaavia "virallisen" tuntuisia viestejä saapuu nyt tiheään. ÄLÄ KLIKKAA!

---------------------------------VIESTI-------------------------------

Tarkistin lähettäjän osoitteen (joka siis ei oikeasti ole suomi. fi). Osoite veisi Saksaan huijarin koneelle.
Linkin päässä urkitaan henkilötietosi ja pankkitietosi ja tilisi tyhjennetään.

KÄÄNNÖS abuseipdb. com virustorjunnan RAPORTISTA
IP-väärinkäyttöraportit osoitteelle 13.105.28.18:

Tästä IP-osoitteesta on tehty ilmoitus yhteensä kuusi kertaa kahdesta eri lähteestä. Osoitteesta 13.105.28.18 tehtiin ensimmäinen ilmoitus 30. heinäkuuta 2021, ja viimeisin ilmoitus tehtiin neljä päivää sitten.

Viimeaikaiset ilmoitukset: Olemme saaneet ilmoituksia väärinkäytöksistä tästä IP-osoitteesta viimeisen viikon aikana. Se on mahdollisesti edelleen aktiivisesti mukana väärinkäytöksissä.

ALKUPERÄINEN RAPORTTI:
IP Abuse Reports for 13.105.28.18:

This IP address has been reported a total of 6 times from 2 distinct sources. 13.105.28.18 was first reported on July 30th 2021, and the most recent report was 4 days ago.

Recent Reports: We have received reports of abusive activity from this IP address within the last week. It is potentially still actively engaged in abusive activities.

tiistai 24. kesäkuuta 2025

HUIJARI HALUAA "SUOJATA" TILISI

Pankkihuijaukset ovat jatkuva riesa.

Tässäkään tapauksessa ei ole syytä klikkailla viestin linkkejä, koska tämä kirje on ANSA!

Kaikista pankin nimissä saapuvista viesteistä on syytä tarkistaa ihan ensiksi, MISTÄ kirje saapuu (lähettäjä). Toiseksi kannattaa tarkistaa, EI KLIKATA, viestissä oleva osoite.
PC:llä, vie kohdistin linkin yläpuolelle. Osoite ilmestyy näkyville viestisivun alalaitaan. Jos linkin loppuosassa ei ole tekstiä "spankki.fi", (tai muun pankin domain) ei linkki vie pankkiin.
Android kännyssä linkki näkyy, kun vie sormen joksikin aikaa linkin päälle. Tämä on sikäli vaarallista, että linkki saattaa aktivoitua, joten jos olet epävarma kännynkäyttäjä, en suosittele.

Turvallisinta on kirjoittaa itse pankin virallinen osoite selaimen osoitekenttään ja tarkistaa mahdolliset viestit todelliselta pankin sivulta. Tässä tapauksessa osoite on siis: "spankki.fi".

------------------------------------------KIRJE------------------------------------------

LISÄTIETOA VAARALLISESTA LINKISTÄ

LINKIN ALKU: https://emailclick.rezdy. com/ls/click?upn=u001.02ActwbtOirRhf-2B5sRwtRtWPhvHCajAj4v14OuOpiaRkTPQR...

Malicious domain detected, details:

LÖYTYNYT DOMAIN: "stixgartengeraete. de" has been identified as malicious

LÄHETYSOSOITE: APP S Pankki<cdmc3@md.go. th> (ei ole minkään pankin osoite ja osoite vie Thaimaahan). Oikea pankin osoite olisi tyyppiä: xxxxxx@spankki.fi

LISÄÄ KOPIOITA TÄLLÄ HETKELLÄ, S-Pankkin nimissä, SAAPUVISTA HUIJAUSKIRJEISTÄ

Tässä seuraavassa kirjeessä urkitaan puhelinnumerosi ja varmasti muitakin pankkikirjautumiseen tarvittavia tietoja, jotta rikollinen saisi pankkitilisi tyhjennettyä.

VERONPALAUTUS JOKA KAY KALLIIKSI

Olen useamman kerran varoittanut näistä eri julkisen palvelujen nimissä saapuvista huijauksista.
"mysuomi.fi" ei ole verottajan tai viranomaisten palvelu, vaan: "My Suomi toimii sillanrakentajana Suomen ja Japanin välillä", eikä palauta suomalaisille veroja. Tässä tapauksessa sitä käytetään valeosoitteena. "suomi.fi" ei myöskään palauta veroja, se on viranomaiskanava.

ÄLÄ KOSKAAN klikkaa tällaisen kirjeen linkkiä.
Jos epäilet, että olet todellakin saanut veronpalautuksen, mene vero.fi ja omavero.fi sivuille suoraan selaimen osoitekenttään itse kirjoittamallasi osoitteella. Sama koskee kaikkia terveydenhuollon ja julkishallinon palveluita.
Mm. kanta.fi ja omakanta.fi nimissä saapuu paljon huijauskirjeitä.

JOS klikkaat huijauskirjeen linkkiä, saavut virallisen näköiselle kirjautumissivulle, jossa henkilötietosi ja pankkitietosi varastetaan ja tilisi tyhjennetään.

---------------------------------KIRJE------------------------------

HUOMAA PIENI ALATEKSTI, joka tarkoittaa, että tietojasi urkitaan todellakin pankkitilisi tyhjjentämistarkoituksessa.

Kirje ei saavu verottajalta. Katso aina lähettäjän osoite, se on ensimmäinen huijauksen paljastaja. Toiseksi, jos osaat katsoa linkin osoitteen, se on seuraava huijauksen paljastaja.
Tässä tapauksessa: "https://idp-amfas-int. com/vahistuta", kertoo, että linkki ei vie verottajan sivuille, vaan huijarin palvelimelle.

Falcon Sandbox virustorjunta varoittaa linkistä:

Malicious domain detected
details: SUBMITTED URL: "https://idp-amfas-int. com/vahistuta" contacted related malicious domain: "idp-amfas-int. com"

sunnuntai 22. kesäkuuta 2025

NYT SYÖTETÄÄN VAARALLISTA RAUTALANKAA

Kiinalaiselta postipalvelimelta saapui VAARALLINEN kirje.

Kirjeen ansa on toteutunut jo siinä vaiheessa, kun avaat sähköpostin, eli virustorjuntasi on syytä olla kunnossa. Virustorjuntapalvelu Falcon Sandbox:n raoportti löytyy kuvakaappauksen alapuolelta.

----------------------------KIRJE ------------------------------

Kirje saapui honkongilaisesta osoitteesta:

15009567621<15009567621@163. com>

Return-Path: <teotgbva@uni-hohenheim. de>

Fakultäten & Institute: Universität Hohenheim = saksalainen yliopisto mutta kirje ei saavu sieltä, eikä palautusosoitteella ole merkitystä, koska virus on jo koneellasi, jos virustorjuntasi ei ole kunnossa.

Falcon Sandbox Reports:

MALICIOIUS (VAARALLINEN)

Drops executable files to the Windows system directory

(pudottaa ohjelmatiedostoja koneesi järjestelmäkansioon)

File type "DOS executable (COM)" was dropped at "%WINDIR%\SystemTemp\chrome _PuffinComponentUnpacker_BeginUnzipping3672_1288410438\Part-RU" (RU saattaa viitata venäläiseen alkuperään?)

File type "PDP-11 pure executable not stripped - version 8" was dropped at "%WINDIR%\SystemTemp\chrome _PuffinComponentUnpacker_BeginUnzipping3672_1999391634\typosquatting_list.pb"

KÄÄNNÖS

Tiedostotyyppi "DOS executable (COM)" poistettiin tiedostosta "%WINDIR%\SystemTemp\chrome_ PuffinComponentUnpacker_BeginUnzipping3672_1288410438\Part-RU"

Tiedostotyyppi "PDP-11 pure executable not stripped - version 8" poistettiin tiedostosta "%WINDIR%\SystemTemp\chrome_ PuffinComponentUnpacker_BeginUnzipping3672_1999391634\typosquatting_list.pb

TOISIN SANOEN SAMASTA VAARASTA

Persistence

Installs hooks/patches the running process

Fingerprint

Queries sensitive IE security settings

Queries the display settings of system associated file extensions

Exploit

Contains escaped byte string (often part of obfuscated shellcode)

KÄÄNNÖS

Pysyvyys
Asentaa koukkuja/korjauksia käynnissä olevaan prosessiin

Sormenjälki

Kyseli arkaluontoisia IE-tietoturva-asetuksia

Kyseli järjestelmään liittyvien tiedostopäätteiden näyttöasetuksia

Hyödyntää haavoittuvuutta

Sisältää koodinvaihdolla merkittyjä tavuja (usein osa hämärrettyä komentotulkkikoodia)

perjantai 13. kesäkuuta 2025

TÄMÄ KIRJE EI PARANNA HYVIONVOINTIASI

"Tarkistus tarvitaan" - otsakkeella saapunut spämmi Venäjältä

Spämmerin käyttämä lähettäjäosoitekin on tuttu: "hearttnewspaper. com"
Linkki vie Venäjälle: http://shikamaru.kr-trans. ru/fwd/P2Q9NjQ3NCZlaT0xNTI0NzAwNjMmaWY9MTgzMDEmbGk9NTgmdHk9MQ