TOKMANNI ANSAVERSIO

Tämä huijjariporukka yrittää nyt tosissaan, kaikin mahdollisin houkuttelukeinoin. ÄLKÄÄ menkö halpaan! Kirjeestä kaapatun kuvan päälle olen kirjoittanut buttonin alta löytyneen osoitteen, joka on sama kuin useassa muussakin huijauskirjeessä. Huomaa, että osoite alkaa aina samalla numerosarjalla joka on tuon ansakoneen osoite.

Herää vankka epäilys siihen, että taustalla olisi venäläinen trolliarmeja ja näillä kirjeillä kerätään suomalaisia tietokoneita ja kännyjä kyberhyökkäystä varten.

Lue kuvan alta, mitä virustorjunta kertoo linkkiosoitteesta.

----------------------------------KIRJE-----------------------------------

Osoite "http://103.179.189. 44/elisa/P2Q9MTYwMSZlaT0w....mbGk9MDAmdHk9MQ=="on useampaan kertaan todettu VAARALLISEKSI. Ansa on sama, vaikka houkuttelutekstit vaihtuvat.

Virustorjunnan raportti. SURICATA RAPORTOI: (docs.suricata. io/en/latest/) Detected Suricata Alert. Details: Detected alert "ET MALWARE Win32.Chroject.B Requesting ClickFraud Commands from CnC" (SID: 2020747, Rev: 12, Severity: 1) categorized as "Malware Command and Control Activity Detected" (PUA/PUP/Adware). Source, Suricata Alerts

Lämmin kiitokseni Suricata ryhmälle verkon vartioinnista!

ANSA PELIRIIPPUVAISILLE

Näitä pelien orjuuttamille tähdättyjä roskaposteja saapuu hyvin tajaan. Tämä versio on komeasti kuvitettu ja maalailee loistavia mahdollisuuksia menettää rahansa.

Tämän kirjeen linkit vievät edellisissä haittaposteissa oleviin osoitteisiin. Osoite "http://103.179.189. 44/elisa/P2Q9MTYwMSZlaT0w....mbGk9MDAmdHk9MQ=="on useampaan kertaan todettu VAARALLISEKSI. Ansa on sama, vaikka houkuttelutekstit vaihtuvat.

Virustorjunnan raportti. SURICATA RAPORTOI: (docs.suricata. io/en/latest/) Detected Suricata Alert. Details: Detected alert "ET MALWARE Win32.Chroject.B Requesting ClickFraud Commands from CnC" (SID: 2020747, Rev: 12, Severity: 1) categorized as "Malware Command and Control Activity Detected" (PUA/PUP/Adware). Source, Suricata Alerts

----------------------------------KIRJE-------------------------------------

UUSIN McAFEE ANSA

Verkkorikolliset kaappaavat maksukirjautumisesi, jos klikkailet tämän postin linkkejä. Myös Appstore ja Google Play linkit vievät samaan ansaosoitteeseen. 

Linkkiosoitteesta löytyy vaarallinen haittaohjelma.

SURICATA RAPORTOI: (docs.suricata. io/en/latest/) Detected Suricata Alert. Details: Detected alert "ET MALWARE Win32.Chroject.B Requesting ClickFraud Commands from CnC" (SID: 2020747, Rev: 12, Severity: 1) categorized as "Malware Command and Control Activity Detected" (PUA/PUP/Adware). Source, Suricata Alerts

Kaivoin tietoa virustorjunnasta. Mikä on Suricata?

Suricata on tehokas verkon IDS-, IPS- ja verkon tietoturvan valvontajärjestelmä. Se on avoimen lähdekoodin ohjelmisto ja sen omistaa yhteisön ylläpitämä voittoa tavoittelematon säätiö, Open Information Security Foundation (OISF). Suricatan on kehittänyt OISF.

Kiitos arvokkasta työstä Suricata!

Näiden McAFEE kirjeiden kautta tulevat ohjelmat ovat nimenomaan VIRUKSIA!

Sama linkkiosoite on käytössä useammassakin erilaisessakin kirjeessä.
Osoite "http://103.179.189. 44/elisa/P2Q9MTYwMSZlaT0w....mbGk9MDAmdHk9MQ=="on useampaan kertaan todettu VAARALLISEKSI. Ansa on sama, vaikka pelottelu- ja houkuttelutekstit vaihtuvat.

-------------------------------------KIRJE-------------------------------------

PILVITALLENNUS ANSOJA LIIKKELLÄ

Onkohan niin, että näihin pilvitallennustila-ansoihin lankeaa porukka?

ÄLKÄÄ KLIKATKO LINKKEJÄ!

1) muistakaa aina katsoa ensin, mistä kirje tulee. Jos kirje puhuu Googlen palvelusta mutta kirje tulee ihan jostain muualta, kyse ei ole Googlen palvelusta. Kannattaa olla varovainen myös sellaisten linkkien klikkailussa, joissa näkyy teksti "google", jollei se ole domain-muodossa "google. com". 

2) miettikää, onko teillä tallaista pilveä edes koskaan ollut? 

3) kaikissa tapauksissa - tarkistakaa pilvi-tilanne (jos teillä sellaista on) onko tila todellakin täynnä. Jos tila on täynnä tyhjentäkää sitä omalta koneeltanne (ei linkkien kautta) tarpeettomasta datasta (kuvat, liitetiedostot, sähköpostit)  ja JOS katsotte aiheelliseksi ostaa lisää pilvipalvelutilaa, menkää pilvipalveluntarjoajan sivuille VAIN VIRALLISEN VERKKO-OSOITTEEN KAUTTA. Ei koskaan kirjeen linkeistä.
Huijauskirjeitä saapuu nyt runsain mitoin. Maksutapahtuman yhteydessä kirjautumisenne kaapataan ja tilinne tyhjennetään. 

Kuvien alapuolella kerrotan ansalinkistä lisää.

-----------------------------NÄMÄ KIRJEET OVAT HUIJAUKSIA------------------------

Tuo "pallokirjoitus" linkkiosoitteessa, kätkee alleen tutun huijausosoitteen.
Lue teksti kuvien alapuolella.

LAAJAN ANSAPOSTIKAMPANJAN ANSAOSOITE TOISTUU KIRJEESTÄ TOISEEN!

http://103.179.189. 44/elisa/P2Q9MTU5NiZlaT0wMDEmaWY9MTIzOTQmbGk9MDAmdHk9MQ==

LINKKI VIE VIETNAMIIN. Noiden kuvassa olevien "pallojen" alta paljastuu koneen todellinen IP osoite. Todellinen sylttytehdas on mitä ilmeisimmin Venäjällä.

Malicious Indicators 1. Detected Suricata Alert. Details: Detected alert "ET MALWARE Win32.Chroject.B Requesting ClickFraud Commands from CnC" (SID: 2020747, Rev: 12, Severity: 1) categorized as "Malware Command and Control Activity Detected" (PUA/PUP/Adware).
Lähde, verkon virustorjunta, Suricata Alerts

LISÄÄ VAROITUKSIA NÄISTÄ ANSOISTA 

https://vaarallinenweb.blogspot.com/2025/11/pilvipalvelu-suojaa-viruskaupasta.html

https://vaarallinenweb.blogspot.com/2025/03/icloud-kone-ip-linjan-ansa.html

SAMA ANSA - ERI KIRJE

 Samaan vaaralliseen linkkiosoitteeseen vieviä kirjeitä saapuu tukuttain.

Aihe vaihtuu, lähetysosoite on sama. Roskapostitukseen käytetään, Mezzomonte - italialaisen pikkukylän osoitetta ja linkkiosoite on sama "jsjwl. com".
Linkki virustorjuntapalvelu Falcon Testbedin kautta analysoituna: Malicious domain detected. Details: CONTACTED DOMAIN: "classactdigital. net" has been identified as malicious                                                                                              

 ----------------------------------KIRJE--------------------------------

SEURAAVA KIRJE SAMAA SARJAA, SAMA HUIJARI, SAMA LINKKIOSOITE                                                                                      

MUISTUTUS SEURUSTELUANSOJEN VAAROISTA

 Mikään ei ole niin varma ansa, kuin ihaileva seurusteluehdotus. 

Näitä erilaisia seuranhakuilmoituksia saapuu kymmenittäin joka päivä. Tämä ei tarkoita, ettäkö olisin tai olisit suosittu mies tai nainen, vaan että sähköpostiosoitteesi on levinnyt laajasti verkkohuijareiden joukkoon.
Jos näiden tyrkkyhuijauskirjeiden tulva käy sietämättömäksi, vaihda sähköpostiosoitettasi. Kerää ensin talteen sinulle tärkeät sähköpostiosoitteet.

Nämä tyrkkykirjeet tähtäävät rahanhankintaan, esimerkiksi henkilötietojesi ja pankki- tai muun maksuvälinekirjauksen kautta tilisi tyhjentämiseen. Toinen suuri vaarallisten haittapostien määrä saapuu Venäjältä. Niiden tarkoitus on kaapata (rahojesi lisäksi) koneesi kyberhyökkäystä varten.
Suomi tulkitaan Venäjällä vihollisvaltioksi (Natojäsen). Kyberhyökkäyksillä on tarkoitus saada suomalaiset palvelimet käyttökelvottomiksi. Viranomaistahot, viestintäyritykset, pankit ja suuryritykset ajetaan viestintäpimentoon ja ohjausjärjestelmät käyttökelvottomiksi. Näitä tapauksia on ollut jo useita ja lisää tulee koko ajan. 

Tämän saman huijarin käsialaa on toistuva sama linkki eri otsakkeissa. Tarkoitus on ainoastaan saada uhri klikkaamaan edes jotakin linkkiä, jollakin houkutuksella. Viittaa spämmityypin saapuneella massallaVenäjän trollitehtaiden suuntaan. Tällä hetkellä on jo satoja vastaavia kirjeitä postilaatikossani. 

Virustorjunta kertoo linkistä:
1) "Detected malicious domain extracted during analysis. Details: EXTRACTED DOMAIN: "attirancecoquine. com" identified as malicious but was not contacted during execution (Source: EXTRACTED_FILE_DOMAINS) 

2) Malicious domain detected. Details: SUBMITTED URL: "https://attirancecoquine. com/r/726fcab63d42aea1634b001d9?ct=YTo1O...  ...jaGFubmVsIjthOjE6e3M6NToiZW1haWwiO2k6NTEwO319" contacted related malicious domain: "attirancecoquine. com" CONTACTED DOMAIN: "wl24dt7. com" has been identified as malicious                        

Tämän ansan virittelijä / virittelijät ovat todella huolimattomia. Kirje on ranskaa ja minä olen suomalainen. Kyseessä on laaja massapostitus, jonka osumia mahdollisesti jostain päin ranskankielistä maailmaa saadaan. Alempana yksi suomenkielinen ansaversio. Toistuva sama linkki viittaa samaan huijariin.

---------------------------------------KIRJE--------------------------------------

JA TYYPILLINEN "SEKSIANSA"

Kaikki linkit vievät samaan ansaan. Kuva tai video saattaa olla VIRUS. Myös henkilötietojasi voidaan verkossa käyttää väärin.

Virustorjunta Falcon Testbed kertoo raportissaan osoitteessa olevien linkkien olevan VAARALLINEN:

Malicious domain detected. Details

    CONTACTED DOMAIN: "y0ovqtzh. com" has been identified as malicious

    CONTACTED DOMAIN: "findneighboursonline. com" has been identified as malicious

    CONTACTED DOMAIN: "adtng. com" has been identified as malicious 

VANHEMMASSA POSTAUKSESSANI ON KERROTTU  TÄSTÄ AIHEESTA LISÄÄ

https://vaarallinenweb.blogspot.com/2023/03/suomi-pannaan-polvilleen.html

ELISA BLACK FRIDAY ANSA

Akusoli-huijauksen uusi versio.
Kuva ja logot on varastettu asianomaisen palveluntarjoajan sivuilta. Klarnan logossa oleva linkki vie vietnamilaiselle koneelle ja maksutietotunnistusansaan. Jos kirjaudut tuon linkin kautta, kirjautumisesi ja tilisi varastetaan.

Täysin samalla ilmeellä mutta eri aiheilla ja tuotteilla, saapuu useita vastaavia kirjautumisansoja.

Virustorjunta varoittaa linkistä: Detected Suricata Alert. Details: Detected alert "ET MALWARE Win32.Chroject.B Requesting ClickFraud Commands from CnC" (SID: 2020747, Rev: 12, Severity: 1) categorized as "Malware Command and Control Activity Detected" (PUA/PUP/Adware)                                                                                              

-------------------------------------KIRJE-------------------------------------

KEHNO POLIISI - HUIJAUS

Surkea huijausyritys mutta otan näytille, että kaikkea yritetään huijauslinjalla.
Kirje sisältää niin paljon virheitä, että sitä ei tarvitse analysoida.
Vastaavasta vanhemmasta kirjeestä avasin myös liitteen (ÄLÄ AVAA). Kirjeen/liitteen analyysi on osoitteessa: https://vaarallinenweb.blogspot.com/2025/11/poliisin-nimissa-pelottelu-jatkuu.html.

--------------------------------KIRJE---------------------------------

AIKAISEMPI VASTAAVAN LAINEN KIRJE
https://vaarallinenweb.blogspot.com/2025/11/poliisilla-pelottelua.html

MUITA POLIISIN NIMISSÄ SAAPUNEITA HUIJAUSKIRJEITÄ

https://vaarallinenweb.blogspot.com/2024/02/poliisi-lahettaa-jallen-kirjeen.html

https://vaarallinenweb.blogspot.com/2023/04/poliisi-huijaus-jalleen.html

https://vaarallinenweb.blogspot.com/2023/10/uusi-poliisi-huijaus.html

https://vaarallinenweb.blogspot.com/2023/07/poliisi-ei-laheta-s-postia-gmail.html

https://vaarallinenweb.blogspot.com/2023/02/poliisi-on-jalleen-liikkeella-haasteen.html

https://vaarallinenweb.blogspot.com/2023/01/poliisiylijohtaja-seppo-kolehmainen.html

jne. näitähän on. Älä usko yhteenkään.
Kirjeen juoni on yleensä ollut, että tunnustat tälle "poliisi" -huijarille tehneesi jotain ja sen jälkeen huijari kiristää sinua tällä tunnustuksella. Ansana saattaa olla, että "valepoliisi" pyytää tarkempia hekilö- ja yhteystietojasi "tarkistaakseen" tietojasi (valepoliisi ei tiedä tietojasi lainkaan, joten näin hän ne saa sinulta), tai peräti maksattaa sinulla olemattomia sakkomaksuja ja niiden perusteella pyytää pankkitietojasi. Myös liitteessä saattaa olla virus.

Älä avaa liitettä mutta jos, JOS osallistut kirjeessä kuvailtuihin toimiin, kannattaa ilmoittautua todelliselle poliisille. https://poliisi.fi/nettivinkki Samassa osoitteessa voit ilmoittaa itseäsi kohtaan tehdyistä verkkorikoksista.

SÄÄSTÖPANKKI KIINASSA

Jälleen kerran. KATSOKAA AINA ENSIN LÄHETYSOSOITE! "zjd. com" ei ole säästöpankki.

Domainin analyysi johtaa kiinaan. WWW4. alkuinen linkkiosoite ei ole standardi verkko-osoite. Googlaus kertoo, että numero 4 viittaa mahdollisesti johonkin rinnakkaiskoneeseen.
Linkki: https://www4.saastopankki.fi/pankki/kirjautuminen?
Tässä tapauksessa kyseessä on huijarin tapa hämätä, että saastopankki. fi olisi ikäänkuin validi osoite, ja piilossa oleva osoite viekin aivan muualle.
Todellinen linkki on: https://agonyseparation. com/ata.html? gaK0pZSQitMNHfA DG6cCfd8FN77N09zgkkhJjaAC. Tämän lisäksi piilossa on toinenkin hämäysosoite. Kenties jäänne edellisestä huijausviestistä: "www4.poppankki. fi" 

--------------------------------------KIRJE-------------------------------------

POP PANKKI VALISTAA ASIAKKAITAAN:

Huijausyrityksiä POP Pankin nimissä

POP Pankin nimissä on liikkeellä huijaussivustoja. Kirjaudu verkkopankkiin aina pankin omilta sivuilta tai kirjoittamalla osoite itse selaimen osoitekenttään, älä koskaan sähköpostin linkin tai hakukoneen kautta. Tarkastathan aina osoitekentän ennen kirjautumista verkkopankkiin.

Olethan valppaana verkossa: pankki ei koskaan lähetä sähköpostiviestejä tai tekstiviestejä, joissa pyydetään kirjautumaan verkkopankkiin linkin kautta tai pyydetään lähettämään henkilökohtaisia tietoja, kuten verkkopankkitunnukset, maksukortin tiedot tai henkilötunnus.

DERILLA TYYNY ANSA

DERILLA nimissä yritetään jälleen huiputtaa.

Linkin osoite on virustorjunta Falcon Tesbed raportissa todettu VAARALLISEKSI.
Huijauskirjeissä kiire on tyypillistä.
Aikaisempi artikkelini tästä venäläisestä ansasta: https://vaarallinenweb.blogspot.com/2024/05/kaksi-venajalta-saapunutta.html

-------------------------------------KIRJE-----------------------------------------------

LISÄÄ TIETOA VENÄLÄISISTÄ ANSAPOSTEISTA

https://vaarallinenweb.blogspot.com/2022/09/venalainen-ansapostikampanja-jatkuu.html

Falcon Tesbed raporti linkin osoitteesta "jsjwl. com":

Malicious domain detected. Details: CONTACTED DOMAIN: "allseasclear. com" has been identified as malicious. CONTACTED DOMAIN: "get-derila-ergo. com" has been identified as malicious