torstai 13. marraskuuta 2025

CASINO, DERILA JA MUUT ROSKAPOSTIT

 Tämä on toistuva, VAARALLINEN haittaposti. Lähetysosoite ja aihe vaihtelevat, mutta tekniikka säilyy. Tällä tekniikalla saapuu runsaasti ansapostia. Mm. CASINO -postit kuuluvat tähän huijaussarjaan.  Lähettäjinä käytetään suomalaisia varastettuja postiosoitteita ja posti kierrätetään googleusercontent. com osoitteen kautta.

HTML osuus on koodattu Base64 koodiksi, joka näkyy vain TXT muodossa ja lähdekoodissa.
Linkki vie aina samalle koneele, jonka IP osoite paljastuu linkistä. ANSALINKKI VIE saksaan rekisteröidylle koneelle joka sijaitsee Ranskassa: "http://76 3862552793003873541457376354 22@0x54f7a68a/fwd/P2Q9MTQ5NyZlaT0wMDEmaWY9MTE4MjcmbGk9MDAmdHk9MQ==" Paljastettu kone IP on 84.247.166. 138. Jos linkkiosoite näyttää (kohdistin linkin päällä mutta älä klikkaa) pitkän numerosarjan osoitteen alussa, se on yleensä rikollisen tapa piiloutua.  Hanki Derila tyynysi jostain muualta. Tämä on ANSA:

TXT muodossa kirje on karu. ÄLÄ KOSKE LIITTEESEEN.

---------------------------------KIRJE-------------------------------------


OSITTAINEN HTML KUVA KIRJEESTÄ

HTML näyttää suurinpiirtein tämän yläpuolella olevan kuvakaappauksen näköisen sivun. 

NÄISTÄ HUIJAREISTA ON VAROITETTU AIKAISEMMINKIN:


Lähettänyt klo Ei kommentteja:
Tunnisteet: ,

keskiviikko 12. marraskuuta 2025

S-Pankin ja Ålands - pankin yhteisnimissä muistutus

Nämä spämmerit alkavat sekoilla kohta enemmän, kuin asiakkaansa.
Tässäkin e-mailissa on otsakkeessa S-Pankki ja tekstissä Ålandsbanken.

Hyvä niin, koska siitä näkee heti, että kyseessä on huijaus.
Todellinen lähetysosoite on ScamAdvicer - virustorjunnassa luokiteltu luottamustasolle NOLLA, eli e-maili on VAARALLINEN ja kirje on syytä heittää koskematta roskikseen.

------------------------------------------KIRJE---------------------------------------------






Lähettänyt klo Ei kommentteja:

MAFIA CASINO ja MUUT PELIHUIJARIT

TXT näkymä on karu mutta varoittava!


ALAPUOLELLA HTML NÄKYMÄ, JONKA USEIMMAT NÄKEVÄT


Mitä on selvinnyt tämän huijauspostin taustalta:
Lähetys on tapahtunut varastetulla e-mailosoitteella, jonka omistaa, Pökkylä | Tilausravintola ja sisustusmyymälä. LIITE on myös vaarallinen.
https://www.pokkyla. fi
Ja posti on kierrätetty jälleen tuon Googlen "googleusercontent. com" -palvelun kautta.
Se on edelleenkin vankassa suosiossa verkkorikollisten piirissä.
Ohjaa kaikki tästä osoitteesta saapuva posti roskikseen. Vaikka mukana menisi jotain merkittävääkin postia, en jäsisi kaipailemaan.

"X-Original-Sender: info@pokkyla. fi
Received: from pokkyla.fi (227.181.200. 35.bc.googleusercontent. com [35.200.181. 227])"

ANSALINKKI VIE saksaan rekisteröidylle koneelle joka sijaitsee Ranskassa:
"http://76386255279300387354145737635422@0x54f7a68a/fwd/P2Q9MTQ5NyZlaT0wMDEmaWY9MTE4MjcmbGk9MDAmdHk9MQ=="
http://84.247.166. 138

descr:          Contabo GmbH (palveluntarjoaja)
country:        DE
IP location Lauterbourg, Grand Est Bas-Rhin, France (FR) 
abuse@contabo. de Johannes Selg (administrator)
FWD http://P2Q9MTQ5NyZlaT0wMDEmaWY9MTE4MjcmbGk9MDAmdHk9MQ==

Avattu sähköposti lähettää tämän pikselin tiedoksi lähettäjälle, että sähköpostisi on toiminnassa ja, että luit kirjeen, tai ainakin avasit sen.
PIXEL check
"http://456789876543234567@0x54f7a6 8a/open/P2Q9MTQ5NyZlaT0wMDEmaWY9MTE4MjcmbGk9MDAmdHk9MQ=="

--------------------------------------------------------------------------------

NÄISTÄ HUIJAREISTA ON VAROITETTU AIKAISEMMINKIN:

Lähettänyt klo Ei kommentteja:
Tunnisteet: , ,

maanantai 10. marraskuuta 2025

IF VAKUUTUS - ANSAT

IF:n nimissä saapuu jälleen maksuansoja.

Olen varoittanut näistä, pääasiassa yrityksiin ja nimenomaan pienyrityksiin kohdistuvasta pankkikirjautumistunnuksia varastavista ansakirjeistä.

Kirje näyttää tekstimuodossa lähinnä HTML-koodisotkulta, joten se on helppo todeta rikoksen yritykseksi, eli haittapostiksi. Kannattaa katsella outoja kirjeitä myös TXT muodossa, jos selain sen mahdollistaa. Yritysten viralliset kirjeet ovat aina luettavissa kaikissa näyttömuodoissaan.

----------------------------------KIRJE HTML MUODOSSA------ -------------------------


VASTAAVIA  HUIJAUSKIRJEITÄ

https://vaarallinenweb.blogspot.com/2025/10/if-vakuutusmaksu-ansa.html

https://vaarallinenweb.blogspot.com/2022/11/if-vakuutuksen-kyseenalainen-sms-viesti.htm

https://vaarallinenweb.blogspot.com/2025/03/ilmainen-vakuutus.html

Kirjeessä on kuvalinkkejä palvelimelle, joka on ilmeisesti poistumassa käytöstä ja varsinaisia sisältölinkkejä, jotka vievät norjalaisen purjehduskoulun osoitteeseen: "app.stavanger-seilsportsenter. no". Linkki viittaa "applikaatioon" eli ohjelmaan, joten siihen ei ole syytä koskea. 

IF:in sivuilta varastettuja kuvia on talletettu osoitteeseen: "if-stargate-cdn.azureedge. net/img/logo/logo-new-150. png". Vaikka kuvatiedostoissa harvemmin on viruksia, sellaisiakin tapauksia verkosta löytyy. https://vaarallinenweb.blogspot.com/2018/10/virus-kuvatiedostoissa.html

----------------OSA KIRJEESTÄ NÄYTTÄÄ TÄLTÄ TXT MUODOSSA------------------

<html><body><div class="rcmBody" id="message-htmlpart1" style="margin-top: 0 !important; margin-bottom: 0 !important; margin-right: 0 !important; margin-left: 0 !important; padding-top: 0; padding-bottom: 0; padding-right: 0; padding-left: 0; background-color: #ffffff; width: 100%; table-layout: fixed; -webkit-text-size-adjust: 100%; -ms-text-size-adjust: 100%">

Lähettänyt klo Ei kommentteja:
Tunnisteet: , , ,

lauantai 8. marraskuuta 2025

QR-koodi henkilötietovarkauksissa

ANY.RUN VIRUSTORJUNTA UUTISOI LOKAKUUSSA 2025:

"QR-koodiuhat kehittyvät: Phishkit-hyökkäykset käyttävät yhä useammin QR-koodeja havaitsemisen välttämiseksi, koska monet tietoturvaratkaisut eivät vieläkään pysty skannaamaan ja analysoimaan QR-koodien sisältöä riittävästi."

Varoituksena QR-koodin avaamasta linkistä artikkelini: 
https://vaarallinenweb.blogspot.com/2023/12/lidl-esitteen-qr-koodi-osa2.html
https://vaarallinenweb.blogspot.com/2023/08/qr-koodia-kaytetaan-myos-huijauksissa.html

Nämä artikkelit muistuttavat meitä siitä, että mikään ei ole niin varmaa kuin epävarma. Ei kannata skannailla edes QR -koodeja, kuin luotettavista paikoista. Tosin voisi kuvitella suuren ruokakaupan esitteen olevan sellaisen.

Lähettänyt klo Ei kommentteja:
Tunnisteet: , ,

perjantai 7. marraskuuta 2025

VARO SUOMI FI KIRJAUTUMISHUIJAUKSIA

Ole varovainen näiden "suomi. fi" kirjeiden kanssa!
ÄLÄ klikkaa lenkkiä, ÄLÄKÄ avaa liitettä!

Viestissä oleva linkki vie sinut huijarin tekemälle näköissivulle, jossa sinun kirjautumisesi varastetaan ja pankkitilisi tyhjennetään. Suomi. fi ei laita kirjautumislinkkiä e-maileihinsa.

Huijauskirjeen tunnistaa helposti:

- Kirje ei tule suomi. fi palvelusta. Tämä kirje on saapunut tuntemattomasta osoitteesta Saksasta
- Vastaanottajan paikalla tulisi olla sinun osoitteesi
- Linkki ei vie suomi. fi palveluun, vaan huijarin (ow.ly) salattuun piilo-osoitteeseen, jonka voi lukea nuolen näyttämältä kohtaa kirjeen lopussa. Osoite kiertää Googlen kautta.

------------------------------------KIRJE-------------------------------------

SUOMI: FI PALVELU VAROITTAA:
https://www.suomi.fi/uutiset/varo-liikkeella-olevia-suomi-fi-huijausviesteja1

"Sähköpostiin saapuu ilmoitus, kun henkilö on saanut uuden viestin Suomi.fi-viesteihin. Näissä sähköposti-ilmoituksissa ei koskaan ole linkkiä, jota kehotetaan klikkaamaan tai tunnistautumaan."

TÄSSÄ BLOGISSA ON EDELLISESTÄ SAMANLAISESTA KIRJEESTÄ VAROITUS
https://vaarallinenweb.blogspot.com/2025/11/suomi-fi-ansa-postitus-jatkuu.html


Lähettänyt klo Ei kommentteja:
Tunnisteet: , ,

POLIISIN NIMISSÄ PELOTTELU JATKUU

TÄMÄ KIRJE EI TULE POLIISILTA.

Älkää ihmeessä suostuko minkäänlaiseen viestinvaihtoon tämän huijarin kassa.
Kopioin kirjekopion alapuolelle liitteen joka on täyttä soopaa. Teidän ei tarvitse riskeerata omaa konettanne tämän LIITETIEDOSTON katseluun. Liitetiedostoissa tapaa olla erittäin usein se varsinainen ansa, kuten tässäkin tapauksessa on asian laita.

KIRJEEN TUNNISTAA HUIJAUKSEKSI (paitsi älyttömän sisältönsä ansiosta) näistä ristiriitaisita seikoista:

- Poliisi ei käytä "GMAIL" osoitteita, kuten tässä tapauksessa on huijari tehnyt. Vastausosoite menee samalle rikolliselle henkilölle. "kirjaamo.poliisi.fi"@gmail .com" osoitteessa alkuosa ei vie poliisille. GMAIL osio kertoo oikean postiosoitteen.
- Edes "info09@poliisi. fi" osoitetta ei ole olemassa
- 72 tunnun kiire kuuluu huijauksen luonteeseen pelottelun lisäksi
- BRIGADI on kroatiaa, ei suomenkieltä
- Suomi ei ole liittovaltio, kuten kirjeen allekirjoitustekstissä on mainittu

Jos sinulla on asiaa poliisille, todellinen verkko-osoite on "poliisi.fi" tai e-mail esimerkiksi "vihjeet.helsinki@poliisi.fi".

-----------------------------KIRJE-----------------------------


---------------------------LIITE KOPIONA---------------------------
AIKAISEMPI VASTAAVAN LAINEN KIRJE
https://vaarallinenweb.blogspot.com/2025/11/poliisilla-pelottelua.html

MUITA POLIISIN NIMISSÄ SAAPUNEITA HUIJAUSKIRJEITÄ

https://vaarallinenweb.blogspot.com/2024/02/poliisi-lahettaa-jallen-kirjeen.html

https://vaarallinenweb.blogspot.com/2023/04/poliisi-huijaus-jalleen.html

https://vaarallinenweb.blogspot.com/2023/10/uusi-poliisi-huijaus.html

https://vaarallinenweb.blogspot.com/2023/07/poliisi-ei-laheta-s-postia-gmail.html

https://vaarallinenweb.blogspot.com/2023/02/poliisi-on-jalleen-liikkeella-haasteen.html

https://vaarallinenweb.blogspot.com/2023/01/poliisiylijohtaja-seppo-kolehmainen.html

jne. näitähän on. Älä usko yhteenkään.
Kirjeen juoni on yleensä ollut, että tunnustat tälle "poliisi" -huijarille tehneesi jotain ja sen jälkeen huijari kiristää sinua tällä tunnustuksella. Ansana saattaa olla, että "valepoliisi" pyytää tarkempia hekilö- ja yhteystietojasi "tarkistaakseen" tietojasi (valepoliisi ei tiedä tietojasi lainkaan, joten näin hän ne saa sinulta), tai peräti maksattaa sinulla olemattomia sakkomaksuja ja niiden perusteella pyytää pankkitietojasi. Myös liitteessä saattaa olla virus.

Älä avaa liitettä mutta jos, JOS osallistut kirjeessä kuvailtuihin toimiin, kannattaa ilmoittautua todelliselle poliisille. https://poliisi.fi/nettivinkki Samassa osoitteessa voit ilmoittaa itseäsi kohtaan tehdyistä verkkorikoksista.





Lähettänyt klo Ei kommentteja:
Tunnisteet: ,

OMAKANTA- PALVELUN NIMISSÄ HUIJATAAN

Näkyvissä olevalle lähetysosoitteelle ei löydy verkkosivuja.

Vaarallinen linkki ei näy TXT muotoisesta e-mailista mutta HTML esitysmuodossa linkki näkyy.

Tämä on esimerkki Amazonin amazonses. com:in postipalvelun käytöstä rikolliseen toimintaan.
Tällaisenko toimijan huomaan annetaan Suomen vaalitulosten seuranta?

Lähetysosoite / palautusosoite: "X-Original-Sender: 010d019a5a076e85-19780fe2-807c-4ca9-b7cb-6fa3fb0968b2-000000@ca-central-1.amazonses. com" on kirjautunut kirjeeseen, joten verkkorikollisilla on mahdollisuus huijata tuntemattomana vastauslähetyksen tehnyttä lukijaa.

Vaarallinen linkkiosoite "https://oraculodosenhor. com" löytyy HTML koodista ja se näkyy HTML sähköpostiselaimissa.
Kirjeessä on hämäyksen vuoksi varoitusteksti asiasta mutta linkki on vaarallinen, koska näkyvä osoite peittää alleen vaaralliseksi osoittautuneen lopullisen osoitteen.

ScamAdvicer virustorjunta varoittaa linkistä löytyvästä jatko-osoitteesta:


-------------------------------TXTmuotoinen-KIRJE----------------------------------------


Kirjeen varoitusteksti:
"Huomaathan, että turvallisuutesi takia emme kysy salasanaasi tai henkilötunnustasi sähköpostitse. Varmista aina, että selainosoite alkaa https:// ja että sivusto on kanta.fi ennen kirjautumista."
Tämä selainosoite EI OLE KANTA.FI palvelussa , vaan rikollisen varastetulla palvelimella. 

ScamAdvicer kertoo tarkemmin sivun vaarallisista ominaisuuksista:
Negatiiviset asiat:
- Verkkosivuston omistaja piilottaa henkilöllisyytensä WHOIS-tiedoissa maksullisen palvelun avulla.
- Tällä verkkosivustolla ei ole paljon kävijöitä.
- Toinen verkkosivusto käyttää tätä verkkosivustoa iframe-kehyksessä.
- Löysimme samalta palvelimelta useita huonosti arvioituja verkkosivustoja.
-Tämä verkkosivusto on rekisteröity vasta äskettäin.
- Emme voineet analysoida sivuston sisältöä.
- Tämä verkkosivusto näyttää käyttävän kyseenalaisen maineen omaavaa hosting-palveluntarjoajaa.



Lähettänyt klo Ei kommentteja:
Tunnisteet: , ,

tiistai 4. marraskuuta 2025

SUOMI FI / TRAFICOM ANSA - POSTITUS JATKUU

Tämä kirje jatkaa Suomi. fi palvelun nimissä tuotettua kirjautumisansapotitusta, jossa kirjautuminen varastetaan ja pankkitilisi tyhjennetään.

Falcon Sandbox virustorjunta löytää linkin päästä "lyhennetyn" osoitteen, joka viittaa piiloitettuun haittaohjelmaan: Detected URL or domain pattern embedded within URL path. Details: Discovered embedded domains: -> ow.ly (piiloitettu osoite).
Osoite löytyy linkistä, koka on kuvakaappauksessa osoitettu punaisella nuolella: Source URL: https://apis.google. com/additnow/l?applicationid=180181176205&amp%3B__ls=ogb&amp%3B__lu= (tässä on jatkolinkki) https%3A%2F%2Fow.ly (piilo-osoite) %2FYeVU50XmBRa.

Lähettäjän "ursatz. de" osoite ei ole Suomi fi:n osoite.
Vastaanottajan kohdalla pitäisi olla sinun osoitteesi.

SUOMI. FI palvelu EI laita kirjautumislinkkiä kirjeisiinsä. Kirjaudu palveluun ainoastaan itse kirjoittamasi osoitteen kautta: "suomi. fi" tai "traficom.fi" (poista tyhjä väli pisteen jälkeen). Kirjoita osoite selaimesi osoitekenttään. Jos haluat tietää osoitteesta lisää, jatka lukemista kuvan jälkeen.

 -----------------------------------------KIRJE------------------------------------------


ANY.RUN VIRUSTORJUNTA KERTOO PIILO-OSOITTEESTA:
URL:

https://apis.google. com/additnow/l?applicati_onid_=180181176205&__ls=ogb&__lu=https://17.35.109.208.host.secureserver. net/app.cfe.mx/?Ver=ssc@ssc.cdmx.gob.mx

Full analysis:https://app.any.  run/tasks/c48f62af-24f3-48cf-8ea9-338c82a895e2
Verdict:Malicious activity
Analysis date:February 12, 2025 at 03:47:37
OS:Windows 10 Professional (build: 19045, 64 bit)
Tags:
possible-phishing

Toisin sanoen linkistä löytyy ohjelma, joka varastaa pankkikirjautumisesi.

Olisiko Googlen aika ryhtyä valvomaan, kuka käyttää heidän palvelujaan ja mihin tarkoitukseen.

                                                                                            

Lähettänyt klo Ei kommentteja:
Tunnisteet: , , ,

sunnuntai 2. marraskuuta 2025

POLIISILLA PELOTTELUA

ÄLÄ MISSÄÄN TAPAUKSESSA AVAA LIITTEITÄ, äläkä klikkaa linkkejä.
Tämä on pelotteluansa.

Suomessa poliisin ei tarvitse käyttää, eikä käytä nimitystä "Suomen poliisi",  (©Suomen Poliisi<37017@rr.ac. th>). ".th" maatunnus kuuluu Thaimaalle, ei Suomelle.

Poliisi EI lähetä kirjeitä tuntemattomasta osoitteesta, kuten "@rr.ac. th". 

Poliisi ei myöskään käytä "kielletty ajosuunta" - ikonia kirjeissään. 

-------------------------------------KIRJE--------------------------------------


Poliisi varoittaa sivuillaan muistakin huijauksista, joihin Suomen kansa on taipuvainen uskomaan "poliisin" - nimissä. On syytä aina olla varuillaan, jos vastaavan lainen kirje saapuu sähköpostiisi. Se on huijaus ja jos epäilet, että se ei olisi huijaus, ota yhteys poliisiin puhelimitse tai poliisin verkkosivujen kautta. Poliisi löytyy osoitteesta: "https://poliisi.fi".

UUDEMMASSA KIRJOITUKSESSANI OLEN AVANNUT MYÖS LIITTEEN
Liitteen avaamisessa on aina olemassa riski, joten en suosittele liitteitä avaamaan.
https://vaarallinenweb.blogspot.com/2025/11/poliisin-nimissa-pelottelu-jatkuu.html


Lähettänyt klo Ei kommentteja:
Tunnisteet: ,
Tilaa: Kommentit (Atom)