Tämä e-mail vie ANSAAN!
Minulla ei ole Spotify:ta. eikä tämä kirje tule miltään laillisella asialla olevalta toimijalta.
Lähettäjän Domainin takaa ei löydy verkkosivua lainkaan. Linkki vie virustorjunnan tietojen mukaan VAARALLISELLE sivulle.
Älä koske LINKKIIN, äläkä avaa LIITETTÄ.
Sinulta kaapataan henkilötiedot ja maksutietoihisi kirjautuminen.
--------------------------KIRJE------------------------
Kuvatiedostoja on harvemmin käytetty vaarallisissa tarkoituksissa MUTTA sekin pelko on ihan todellinen. Jos linkki vie kuvaan, jonka linkkinimi päättyy ".SVG", älä klikkaa. Näitä vaarallisia SVG kuvia on kylvetty tässä blogissanikin olevien kirjeiden kuvituksiin, joten olen pyrkinyt kieltämään kaikki kuvat, jos olette ihmetelleet. Myös näkymätöntä pikselin kokoista kuvaa käytetään ilmoittamaan, että kirje on luettu. Tämä on rosvoille tärkeää tietoa.
SVG (Scalable Vector Graphics) kuvatiedostoon voidaan ujuttaa haittakoodia.
ANY.RUN uutispalsta kertoo aiheesta lisää kiinnostuneille.
Verkkorikollisille on tarjolla runsaasti ilmaista valmismateriaalia, jolla toteuttaa asiakkaiden pankkitietojen varastaminen erittäin helposti ja nopeasti. Niihin artikkeleihin ja koodinpätkiin, konnat löytävät ilman osoitettakin.
Virustorjunta seuraa näitä "tietosivuja" varmasti ahkerasti. Kuitenkin vaikuttaa siltä, että ainakaan palveluntarjoajia ei isommin kiinnosta mitä heidän palvelimillaan touhutaan.
Aikaisemmin olen kertonut aiheesta artikkelissani: https://vaarallinenweb.blogspot.com/2018/10/virus-kuvatiedostoissa.html
Tämä on toistuva, VAARALLINEN haittaposti. Lähetysosoite ja aihe vaihtelevat, mutta tekniikka säilyy. Tällä tekniikalla saapuu runsaasti ansapostia. Mm. CASINO -postit kuuluvat tähän huijaussarjaan. Lähettäjinä käytetään suomalaisia varastettuja postiosoitteita ja posti kierrätetään googleusercontent. com osoitteen kautta.
HTML osuus on koodattu Base64 koodiksi, joka näkyy vain TXT muodossa ja lähdekoodissa.
Linkki vie aina samalle koneele, jonka IP osoite paljastuu linkistä. ANSALINKKI VIE saksaan rekisteröidylle koneelle joka sijaitsee Ranskassa: "http://76 3862552793003873541457376354 22@0x54f7a68a/fwd/P2Q9MTQ5NyZlaT0wMDEmaWY9MTE4MjcmbGk9MDAmdHk9MQ==" Paljastettu kone IP on 84.247.166. 138. Jos linkkiosoite näyttää (kohdistin linkin päällä mutta älä klikkaa) pitkän numerosarjan osoitteen alussa, se on yleensä rikollisen tapa piiloutua. Hanki Derila tyynysi jostain muualta. Tämä on ANSA:
TXT muodossa kirje on karu. ÄLÄ KOSKE LIITTEESEEN.
---------------------------------KIRJE-------------------------------------
HTML näyttää suurinpiirtein tämän yläpuolella olevan kuvakaappauksen näköisen sivun.
Nämä spämmerit alkavat sekoilla kohta enemmän, kuin asiakkaansa.
Tässäkin e-mailissa on otsakkeessa S-Pankki ja tekstissä Ålandsbanken.
Hyvä niin, koska siitä näkee heti, että kyseessä on huijaus.
Todellinen lähetysosoite on ScamAdvicer - virustorjunnassa luokiteltu luottamustasolle NOLLA, eli e-maili on VAARALLINEN ja kirje on syytä heittää koskematta roskikseen.
------------------------------------------KIRJE---------------------------------------------
IF:n nimissä saapuu jälleen maksuansoja.
Olen varoittanut näistä, pääasiassa yrityksiin ja nimenomaan pienyrityksiin kohdistuvasta pankkikirjautumistunnuksia varastavista ansakirjeistä.
Kirje näyttää tekstimuodossa lähinnä HTML-koodisotkulta, joten se on helppo todeta rikoksen yritykseksi, eli haittapostiksi. Kannattaa katsella outoja kirjeitä myös TXT muodossa, jos selain sen mahdollistaa. Yritysten viralliset kirjeet ovat aina luettavissa kaikissa näyttömuodoissaan.
----------------------------------KIRJE HTML MUODOSSA------ -------------------------
https://vaarallinenweb.blogspot.com/2025/10/if-vakuutusmaksu-ansa.html
https://vaarallinenweb.blogspot.com/2022/11/if-vakuutuksen-kyseenalainen-sms-viesti.htm
https://vaarallinenweb.blogspot.com/2025/03/ilmainen-vakuutus.html
Kirjeessä on kuvalinkkejä palvelimelle, joka on ilmeisesti poistumassa käytöstä ja varsinaisia sisältölinkkejä, jotka vievät norjalaisen purjehduskoulun osoitteeseen: "app.stavanger-seilsportsenter. no". Linkki viittaa "applikaatioon" eli ohjelmaan, joten siihen ei ole syytä koskea.
IF:in sivuilta varastettuja kuvia on talletettu osoitteeseen: "if-stargate-cdn.azureedge. net/img/logo/logo-new-150. png". Vaikka kuvatiedostoissa harvemmin on viruksia, sellaisiakin tapauksia verkosta löytyy. https://vaarallinenweb.blogspot.com/2018/10/virus-kuvatiedostoissa.html
----------------OSA KIRJEESTÄ NÄYTTÄÄ TÄLTÄ TXT MUODOSSA------------------
<html><body><div class="rcmBody" id="message-htmlpart1" style="margin-top: 0 !important; margin-bottom: 0 !important; margin-right: 0 !important; margin-left: 0 !important; padding-top: 0; padding-bottom: 0; padding-right: 0; padding-left: 0; background-color: #ffffff; width: 100%; table-layout: fixed; -webkit-text-size-adjust: 100%; -ms-text-size-adjust: 100%">
ANY.RUN VIRUSTORJUNTA UUTISOI LOKAKUUSSA 2025:
"QR-koodiuhat kehittyvät: Phishkit-hyökkäykset käyttävät yhä useammin QR-koodeja havaitsemisen välttämiseksi, koska monet tietoturvaratkaisut eivät vieläkään pysty skannaamaan ja analysoimaan QR-koodien sisältöä riittävästi."
Varoituksena QR-koodin avaamasta linkistä artikkelini:
https://vaarallinenweb.blogspot.com/2023/12/lidl-esitteen-qr-koodi-osa2.html
https://vaarallinenweb.blogspot.com/2023/08/qr-koodia-kaytetaan-myos-huijauksissa.html
Nämä artikkelit muistuttavat meitä siitä, että mikään ei ole niin varmaa kuin epävarma. Ei kannata skannailla edes QR -koodeja, kuin luotettavista paikoista. Tosin voisi kuvitella suuren ruokakaupan esitteen olevan sellaisen.
Ole varovainen näiden "suomi. fi" kirjeiden kanssa!
ÄLÄ klikkaa lenkkiä, ÄLÄKÄ avaa liitettä!
Viestissä oleva linkki vie sinut huijarin tekemälle näköissivulle, jossa sinun kirjautumisesi varastetaan ja pankkitilisi tyhjennetään. Suomi. fi ei laita kirjautumislinkkiä e-maileihinsa.
Huijauskirjeen tunnistaa helposti:
- Kirje ei tule suomi. fi palvelusta. Tämä kirje on saapunut tuntemattomasta osoitteesta Saksasta
- Vastaanottajan paikalla tulisi olla sinun osoitteesi
- Linkki ei vie suomi. fi palveluun, vaan huijarin (ow.ly) salattuun piilo-osoitteeseen, jonka voi lukea nuolen näyttämältä kohtaa kirjeen lopussa. Osoite kiertää Googlen kautta.
------------------------------------KIRJE-------------------------------------
TÄMÄ KIRJE EI TULE POLIISILTA.
Älkää ihmeessä suostuko minkäänlaiseen viestinvaihtoon tämän huijarin kassa.
Kopioin kirjekopion alapuolelle liitteen joka on täyttä soopaa. Teidän ei tarvitse riskeerata omaa konettanne tämän LIITETIEDOSTON katseluun. Liitetiedostoissa tapaa olla erittäin usein se varsinainen ansa, kuten tässäkin tapauksessa on asian laita.
KIRJEEN TUNNISTAA HUIJAUKSEKSI (paitsi älyttömän sisältönsä ansiosta) näistä ristiriitaisita seikoista:
- Poliisi ei käytä "GMAIL" osoitteita, kuten tässä tapauksessa on huijari tehnyt. Vastausosoite menee samalle rikolliselle henkilölle. "kirjaamo.poliisi.fi"@gmail .com" osoitteessa alkuosa ei vie poliisille. GMAIL osio kertoo oikean postiosoitteen.
- Edes "info09@poliisi. fi" osoitetta ei ole olemassa
- 72 tunnun kiire kuuluu huijauksen luonteeseen pelottelun lisäksi
- BRIGADI on kroatiaa, ei suomenkieltä
- Suomi ei ole liittovaltio, kuten kirjeen allekirjoitustekstissä on mainittu
Jos sinulla on asiaa poliisille, todellinen verkko-osoite on "poliisi.fi" tai e-mail esimerkiksi "vihjeet.helsinki@poliisi.fi".
-----------------------------KIRJE-----------------------------
https://vaarallinenweb.blogspot.com/2023/04/poliisi-huijaus-jalleen.html
https://vaarallinenweb.blogspot.com/2023/10/uusi-poliisi-huijaus.html
https://vaarallinenweb.blogspot.com/2023/07/poliisi-ei-laheta-s-postia-gmail.html
https://vaarallinenweb.blogspot.com/2023/02/poliisi-on-jalleen-liikkeella-haasteen.html
https://vaarallinenweb.blogspot.com/2023/01/poliisiylijohtaja-seppo-kolehmainen.html
jne. näitähän on. Älä usko yhteenkään.
Kirjeen juoni on yleensä ollut, että tunnustat tälle "poliisi" -huijarille tehneesi jotain ja sen jälkeen huijari kiristää sinua tällä tunnustuksella. Ansana saattaa olla, että "valepoliisi" pyytää tarkempia hekilö- ja yhteystietojasi "tarkistaakseen" tietojasi (valepoliisi ei tiedä tietojasi lainkaan, joten näin hän ne saa sinulta), tai peräti maksattaa sinulla olemattomia sakkomaksuja ja niiden perusteella pyytää pankkitietojasi. Myös liitteessä saattaa olla virus.
Älä avaa liitettä mutta jos, JOS osallistut kirjeessä kuvailtuihin toimiin, kannattaa ilmoittautua todelliselle poliisille. https://poliisi.fi/nettivinkki Samassa osoitteessa voit ilmoittaa itseäsi kohtaan tehdyistä verkkorikoksista.
Näkyvissä olevalle lähetysosoitteelle ei löydy verkkosivuja.
Vaarallinen linkki ei näy TXT muotoisesta e-mailista mutta HTML esitysmuodossa linkki näkyy.
Tämä on esimerkki Amazonin amazonses. com:in postipalvelun käytöstä rikolliseen toimintaan.
Tällaisenko toimijan huomaan annetaan Suomen vaalitulosten seuranta?
Lähetysosoite / palautusosoite: "X-Original-Sender: 010d019a5a076e85-19780fe2-807c-4ca9-b7cb-6fa3fb0968b2-000000@ca-central-1.amazonses. com" on kirjautunut kirjeeseen, joten verkkorikollisilla on mahdollisuus huijata tuntemattomana vastauslähetyksen tehnyttä lukijaa.
Vaarallinen linkkiosoite "https://oraculodosenhor. com" löytyy HTML koodista ja se näkyy HTML sähköpostiselaimissa.
Kirjeessä on hämäyksen vuoksi varoitusteksti asiasta mutta linkki on vaarallinen, koska näkyvä osoite peittää alleen vaaralliseksi osoittautuneen lopullisen osoitteen.
ScamAdvicer virustorjunta varoittaa linkistä löytyvästä jatko-osoitteesta:
-------------------------------TXTmuotoinen-KIRJE----------------------------------------
Kirjeen varoitusteksti:
"Huomaathan, että turvallisuutesi takia emme kysy salasanaasi tai henkilötunnustasi sähköpostitse. Varmista aina, että selainosoite alkaa https:// ja että sivusto on kanta.fi ennen kirjautumista."
Tämä selainosoite EI OLE KANTA.FI palvelussa , vaan rikollisen varastetulla palvelimella.
ScamAdvicer kertoo tarkemmin sivun vaarallisista ominaisuuksista:
Negatiiviset asiat:
- Verkkosivuston omistaja piilottaa henkilöllisyytensä WHOIS-tiedoissa maksullisen palvelun avulla.
- Tällä verkkosivustolla ei ole paljon kävijöitä.
- Toinen verkkosivusto käyttää tätä verkkosivustoa iframe-kehyksessä.
- Löysimme samalta palvelimelta useita huonosti arvioituja verkkosivustoja.
-Tämä verkkosivusto on rekisteröity vasta äskettäin.
- Emme voineet analysoida sivuston sisältöä.
- Tämä verkkosivusto näyttää käyttävän kyseenalaisen maineen omaavaa hosting-palveluntarjoajaa.
