ARVELUTTAVA KIRJE KEVASTA

Tämä KEVAn asialliselta vaikuttava kirje on ANSA.

PERUSTEET, MIKSI KIRJE ON ANSA:

MIKSI näin merkittävä kansallinen toimija käyttäisi epäilyttävää "e226-6.smtp-out.us-east-2.amazonses. com" postitusosoitetta, eikä lähetä kirjettä KEVAN oman postipalvelimen kautta?

Analysoin myös kirjeen näkyvän lähetysosoitteen "tuki-keva. fi", jollaista ei ole edes olemassa.
Kirjeessä olevalle puhelinnumerolle, ei löydy omistajaa numerotiedustelusta.

Olen kirjoittanut huijauskirjeissä esiintyvästä amazonses. com osoitteesta aikaisemmin:
https://vaarallinenweb.blogspot.com/2025/10/op-paivitys-huijaus.html

ÄLÄ KOSKE LINKKEIHIN, EIKÄ LIITTEESEEN!

KEVA ILMOITTA SIVUILLAAN:

"Kevan asiakaspalvelun nimissä liikkuu huijausviestejä tekstiviestinä ja sähköpostitse. Viestejä lähettävät rikolliset yrittävät niiden avulla saada haltuunsa vastaanottajien pankkitunnukset tai maksukortin tiedot. Lue toimintaohjeet sivultamme. https://www.keva.fi/tama-on-keva/yhteystiedot/turvallinen-asiointi-kevan-verkkopalveluissa-seka-toimintaohjeet-huijaustilanteissa/"

Älä toimita eläkeasiaan liittyviä asiakirjoja tietosuojan sähköpostiin tai turvapostilla, vaan lähetä ne henkilöasiakkaan tai työnantaja-asiakkaan palvelukanavia pitkin, katso yhteystiedot KEVAN sivuilta.

-- ...

Linkissä oleva "https://www.keva. fi/tietosuoja" osoite analysoituna: 

Hybridianalyysi / Falcon Sandbox -raportoi osoitteen olevan epäilyttävä: Epäilyttävät indikaattorit 2
Verkkoon liittyvää. Epäilyttävä verkkotunnus havaittu. Tiedot: Syötä URL-osoite tai yhdistetty verkkotunnus: "snoobi.com " on tunnistettu epäilyttäväksi. 

MITRE ATT&CK™ Techniques Detection kertoo:
An adversary may rely upon specific actions by a user in order to gain execution.

Suomeksi: Vastustaja voi luottaa käyttäjän tiettyihin toimiin saadakseen suorituksen.

TARKEMMIN: https://attack.mitre. org/techniques/T1204/ (poista tyhjä väli pisteen jälkeen)

SNOOBI on verkkoanalyysiohjelma, joka vastaa "evästeitä".  Milenkiintoista on, että sitä voitaisiin käyttää myös MITRE ATT&CK kuvailemilla tavoin.

OLKAA TARKKOINA SUOMI FI VIESTEISSÄ

Näitä suomi fi huijauksia saapuu tiuhaan tahtiin. 

Hyvä tapa estää vahingot, on katsoa ensiksikin, mistä osoitteesta viesti saapuu.
Tämä viesti saapui osoitteesta "spo. outt" joka ei siis ole "suomi. fi".
Toinen tärkeä kohta on katsoa, minne kirjeen linkki veisi. Tämä vie rikollisen ansaan, osoitteeseen:  
"suomi. fr" ja "outtheformbelow. nl" eli se vie ranskaan (.fr) tai/ja alankomaihin (.nl), ei suomeen lainkaan.

Ja ennenkaikkea, ÄLKÄÄ menkö suomi .fi palveluun minkään e-mailin linkin kautta, vaan käyttäkää suoraa osoitetta "suomi. fi" (tyhjä väli pois pisteen jälkeen).

Traficomilla ei ole mitään tekemistä tämän huijausviestin kanssa.
LIITTEESEEN EI SAA KOSKEA!

------------------------------------KIRJE----------------------------------

SUOMI. FR

Domainnimi on varattu mutta sille ei ole perustettu sivustoa. Domain on rekisterissä palvelimella jonka DNS tunnus on mustalla listalla.

outtheformbelow. nl
ATT&CK / FALCON SANDBOX raportoi osoitteesta: "Hyökkääjät voivat kommunikoida käyttämällä verkkoliikenteeseen liittyviä sovelluskerroksen protokollia välttääkseen havaitsemisen/verkon suodatuksen sulautumalla olemassa olevaan liikenteeseen. Etäjärjestelmään lähetettävät komennot ja usein näiden komentojen tulokset upotetaan asiakkaan ja palvelimen väliseen protokollaliikenteeseen.

Verkkoliikennettä kuljettavat protokollat, kuten HTTP/S[1] ja WebSocket[2], voivat olla hyvin yleisiä ympäristöissä. HTTP/S-paketeissa on monia kenttiä ja otsikoita, joihin tietoja voidaan piilottaa. Hyökkääjä voi väärinkäyttää näitä protokollia kommunikoidakseen uhriverkon sisällä olevien järjestelmien kanssa ja samalla matkia normaalia, odotettua liikennettä."

Tarkoittanee, että verkkorikolliset voivat käyttää avattua liikennettä piilottaakseen siihen rikollisen toimintansa. Tarkemmin erittelemättä vaaraa. En kokeilisi, koska jo kirjeen vilpillinen luonne on vakava varoitus mahdollisesta vaarasta. Henkilöille, jotka haluavat syventyä asiaan löytyy verkosta tietoa: https://attack.mitre. org/. Tekniikkaa on käytetty mm. 2015 tehdyssä hyökkäyksessä Ukrainan sähkölaitoksia vastaan.

ANSA PELAAJILLE

Tämän kirjeen linkkien klikkailu on vaarallista.
Jos pelihimo iskee, mene turvallisemmille pelisivuille, sillä tämä on ANSA.

Valokuvaaja Piotr Marcińskin sähköpostitiliä on käytetty luvatta tämän kirjeen lähettämiseen. Hänen sähköpostinsa on varastettu vastaavalla ansakirjeellä. Näin voi käydä sinullekin.
Tämä kirje kuuluu sarjaan, jossa se kierrätetään: "bc.googleusercontent. com":n kautta.
Tästä olen kirjoittanut: https://vaarallinenweb.blogspot.com/2025/10/googleusercontent-com-koneita-huijarin.html

Kirjeen toistuva linkki vie samaan ANSAAN. "Voit peruuttaa sähköpostit" -linkki vie samaan vaaralliseen osoitteeseen. Näin on kaikissa muissakin ansakirjeissä, joten sitäkään linkkiä EI SAA KÄYTTÄÄ.

Virustorjuntaohjelmat varoittavat linkistä:

"VIPRE" kertoo: "Malicious (100%)" linkki on todettu vaaralliseksi 
FALCON SANDBOX raportoi::"Malicious domain detected"
Details: CONTACTED DOMAIN: "trkemail-hub. com" has been identified as malicious, CONTACTED DOMAIN: "gtly. io" has been identified as malicious                                                                                             
Linkin päästä löytyy useampiakin vaarallisisa osoitteita, joten klikkailu ei ole mikään terveysmatka sinulle, eikä laitteellesi. Lue kirjekopion alapuolelta lisää ansan laadusta.

--------------------------------KIRJE-------------------------------

FALCON SANDBOXIN raportista löytyy myös MITRE ATT&CKin varoitus mahdollisista viruksen aiheuttamista seuraamuksista:

MITRE ATT&CK varoittaa:

https://attack.mitre. org/techniques/T1114/

"Hyökkääjät voivat kohdistaa hyökkäyksiä käyttäjien sähköposteihin kerätäkseen arkaluonteisia tietoja. Sähköpostit voivat sisältää arkaluonteisia tietoja, kuten liikesalaisuuksia tai henkilötietoja, jotka voivat osoittautua arvokkaiksi hyökkääjille. Sähköpostit voivat myös sisältää tietoja meneillään olevista tapahtumien torjuntatoimista, joiden avulla hyökkääjät voivat mukauttaa tekniikoitaan pysyäkseen sinnikkäänä tai välttääkseen puolustuskeinot.[1][2] Hyökkääjät voivat kerätä tai välittää sähköpostia sähköpostipalvelimilta tai asiakkailta."

 

IF VAKUUTUSMAKSU - ANSA

Mikä tahansa e-maililla saapuva "maksumuistutus" jossa on linkkejä, on VAARALLINEN.

Syystä, että oleellista huijarille ei ole saada tuo toistasataa oleva raha, vaan sinun pankkikirjautumisesi, joilla hän pääsee tunkeutumaan tilillesi ja tyhjentämään sen.
Molempi tietysti mahdollista, jos ansaan lankeat.

Tämä on ikäänkuin yritryksiin kohdistettu (lue teksti), mutta jokaisen kirjeen saaneen tulee olla varovainen. Tätä kirjettä ei voi lukea, kuin HTML -kieltä ymmärtävässä selaimessa. Itse katson kirjettä (kuvakaappaus) HTML editorin kautta, joten se ei näytä ihan siltä, miltä se HTML selaimissa näyttää mutta antaa osviittaa, mitä tulee varoa.
TXT selaimissa kirje on tekstisotkua.

--------------------------------KIRJE------------------------------

ALKEELLINEN ANSAKIN ON ANSA

Todella kompelö ja lapsellinen, muita matkiva kirje saattaa olla silti vaarallinen. Liitteeseen ei saa koskea, eikä linkkejä klikata.

MUUTAMIA HUOMIOITAVIA ASIOITA SPÄMMEISSÄ
- Kannataa aina huomioida myös lähettäjän ja vastaanottajan osoitteet. Onko lähetysosoite kirjeen aiheen mukainen?
- Toistuva saman lähetysosoitteen, tässä tapauksessa tuo "Center-hotel-essen", käyttö eri aiheisisissa spämmikirjeissä kertoo epänormaalista kirjeestä. Osoite ei vastaa kirjeen sisältöä.
- Asiallisissa kirjeissä ei omaa osoitetta toisteta.
- Turva- tai IT-alan ammattilaiset eivät myöskään käytä "ikoneita" teksteissään. Se on aina VAROITUS asiattomasta viestistä.

Tämä kirje saapui koneelta joka on verkon mustalla listalla.

-----------------------------------KIRJE-------------------------------------

Samaa peitelähetysosoitetta käytettiin aikaisemmin mobiilipalveluhuijauksessa: https://vaarallinenweb.blogspot.com/2025/10/s-mobiili-huijaus.html

KAIKKI OUDON TOIMIJAN LAINATARJOUKSET OVAT ANSOJA

Älä lankea LAINA - ANSAAN!

Jos rahasi ovat vähissä, ne vähenevät entisestään tämänkaltaisen huijarin käsissä.
Asioi raha-asioissa ainoastaan tunnettujen pankkien ja rahalaitosten kanssa, eikä niidenkään sivuille saa mennä mistään e-mail - linkistä, vaan niiden todellisen verkko-osoitteen kautta.

Vipre virustorjunta scannaus tuotti varoituksen kirjeen linkeistä: URL Score Malicious (100%). Linkki on VAARALLINEN

------------------------KIRJE-------------------------

S-Mobiili huijaus

Tämä ansa kuuluu sarjaan pankkitietojen varastaminen.

ÄLÄ KOSKAAN klikkaa tämän, tai vastaavan kaltaisen kirjeen linkkejä!

Pankit eivät nykyään enää laita viesteihinsä kirjautumislinkkejä. Tämän kirjeen linkissä oleva ohjelma kerää pankkitietosi ja sen jälkeen pankkitilisi tyhjennetään.

Falcon Sandbox virustorjunta raportoi tämän kirjeen linkin olevan VAARALLINEN:

"Malicious domain detected. Details: SUBMITTED URL: "https://www.theblogarticle. com/sppa.php" contacted related malicious domain: "theblogarticle. com""                                                                                              

-----------------------------KIRJE--------------------------

Kirje saapuu Turkista, verkon mustalla listalla olevalta koneelta.
EIKÄ valeosoite center-hotel-essen, ole S-Pankki. 

McAfeen nimissä VALE - VIRUSTURVA

ÄLÄ KOSKE tämän, tai vastaavan kaltaisen sähköpostin linkkeihin tai liitteisiin!

Falcon Sandbox virustorjuntaraportti kertoo osoitteesta: "Hyökkääjät voivat kommunikoida OSI-sovelluskerroksen protokollien avulla välttääkseen havaitsemisen/verkon suodatuksen sulautumalla olemassa olevaan liikenteeseen."
Selkokielellä karkeasti: haittaohjelmia voidaan ujuttaa koneellesi ilman, että virustorjuntasi huomaa toimintaa.

Virustorjuntaohjelmien nimissä yritetään saastuttaa koneesi. Tilaa luotettav virustorjunta VAIN luotettavalta yritykseltä ja jos teet sen verkossa, kirjoita itse yrityksen sähköposti, tai verkko-osoite! KAIKKI LINKIT voivat olla vaarallisia. Myös Google hakujen tuloksissa tai missä tahansa sosialisen median viestintäkanavissa.
Verkkorikolliset ovat kaiken aikaa liikkeellä.
Kuuntele uutisia ja lue varoitukset sivuilta: 
https://www.kyberturvallisuuskeskus.fi/fi

Näissä E-mailin linkkiosoitteissa olevat pallukat kertovat suoraan, että kyseessä on ANSA. Jokainen linkki vie samalle ansasivulle, jossa pankkitietosi urkitaan, ja/tai koneellesi asennetaan virus.

--------------------------------------KIRJE--------------------------------------

VAARALLINEN VIRUSSKANNAUS

Tämä kirje on todella VAARALLINEN. Tässä virusskannauksessa koneellesi saapuu VIRUS.

ÄLÄ KOSKE LIITTEESEEN, ÄLÄ KLIKKAA KINKKEJÄ, äläkä vastaa kirjeeseen.

--------------------------------KIRJE HTML näkymässä-----------------------------------

--------------------------------KIRJE TXT näkymässä---------------------------------

"itm. pro" on puolalainen IT alan toimija. Todennäköisesti feikki-firma, jonka domainilla ratsastetaan tai kyseessä on hakkeroitu palvelin. Kaikissa tapauksissa kirje on vaarallinen.

Kirjeen rakennustapa näyttää jatkuvasti vaarallisia spämmejä lähettävän henkilön tai ryhmän käsialalta. Vastaavalla tavalla rakennettuja ansakirjeitä saapuu niin paljon, että kyseessä on mahdoillisesti venäläinen ryhmä. Tämä sylttytehdas on lähettänyt tänä syksinä jo toistasataa ansakirjettä. 
Linkkien osoitteet on koodattu piiloon mutta osoite vie tuttuun IP osoitteeseen: "84.247.166. 138" joka kuuluu Contabo GmbH:n koneelle, joka on Saksassa pilvipalveluita ja webhotelleja tarjoava yritys. Maantieteellinen sijainti on kuitenkin Englannissa. Yritykselle on kerrottu, että kone on ilmeisesti hakkeroitu, tai joka tapauksessa koneella on VAARALLISTA aineistoa. Mahdollisesti virus, tai muu haittaohjelma.  Virustorjuntaohjelma varoittaa salaamattomasta yhteydestä koneelle, joka saattaa mahdollistaa haittaohjelman sijoittamisen viestivirtaan.

SCAMADVICER virustorjunta kertoo lähetysosoitteesta:

"Negative highlights

This website does not have many visitors

We did not find a SSL certificate

We could not analyze the content of the site"

Tämän sylttytehtaan tuotannon tunnusmerkkrihin kuuluu mm. base64 koodattu HTML esitys.
Tämä näyttää lähdekoodissa kirjainsotkulta mutta käännettynä, se on esityskelpoista HTML:ää, kuten tämän artikkelin ylimmästä kuvakaappauksesta näkyy. TXT muotoa esittävä selain ei osaa kääntää koodia, joten kirje näyttää yksinkertaisemmalta.

SUOLENTYHJENNYSLÄÄKE ON HUIJAUSTA

Eläkkeellä olevan tohtori, kirurgi, gastroenterologi "Noah Tuominen" kertoo Instagrammissa, liian hitaan suolen toiminnasta aiheutuvista terveyshaitoista ja antaa runsaasti ohjeita.

"Julkaisija" esiintyy luotettavana henkilönä (Dr.Kim), joka on ottanut yhteyttä jopa Suomen Gastroenterologiayhdistykseen, taatakseen Tuomisen / mainoksensa "aitouden". Vakuuttelu ei kuitenkaan takaa yhtään mitään, kun luet eteenpäin.

Lopuksi mennään itse asiaan, eli "tilaamaan" tohtorin suosittelema suolentyhjennyslääke. 
Ikävä piirre tilauksessa on, että sinulta kysytään pankkitietoja, vaikka maksun pitäisi tapahtua, vasta tuotteen saatuasi. Tässä vaiheessa viimeistään pitää HÄLYTYSKELLOJEN soida.

Kiirekin on päällä, kuten aina huijauksissa. Tuote meinaa loppua ja ikääkin alkaa olla liikaa, vaikka lisää luvataan runsaasti. MUISTA. Jos jokin kuulostaa liian hyvältä ollakseen totta, se ei ole totta.

------------------------INSTAGRAMMIN ALKUKUVA-------------------------------