JOULUKUUSI - HUIJARI

Tämä verkkorikollinen on päättänyt merkitä selkeästi omat viritelmänsä kuusi-ikonilla.
Helpottaa huomattavasti virustorjuntaa, kiitos.

Älä klikkaa, äläkä missään tapauksessa lataa noita liitteitä!

Linkin kone IP osoittaa Vietnamiin ja lähetysosoite on kaapattu huijauskäyttöön. Osoite on mustalla listalla.

------------------------------KIRJE----------------------------------

JA TÄMÄ VIIMEINEN ON EDELLEEN  SAMAN TEKIJÄN

Nyt kuusi on vaihdettu korppuun.

(Black Lagoon on japanilainen mangasarja, jota on kirjoittanut ja piirtänyt Rei Hiroe vuodesta 2002 lähtien. Tämä nettihuijari vetää lokaan sarjan maineen tällä huijauksellaan.)

Jokaisen kirjeen linkki vie samaan osoitteeseen eri kansioihin. Piilossa oleva lomake tai ohjelma on sama tuotteesta riippumatta, eli tarkoituksena on viedä uhrilta rahat kaikissa tapauksilla..

CHAT GPT TILAUS - HUIJAUS

On helppo todeta kirje huijaukseksi, jos tuotetta ei ole käytössä.
Myöskään ei ole maksullista Open Ai tiliä, vaikka kirje niin lopussa väittää.

Kun viimeinen käytöpäivä on merkitty historiaan (1,12,25), uhri saadaan hermostumaan.

Virustorjuntaskannaus kertoo lohduttavan uutisen. Tämä kirje on huijausyritys. LINKKI-soitteesta "mafo. it" Virustorjunta Vipre kertoo: URL Score Malicious (100%)
Falcon Sandbox virustorjunta: Malicious domain detected. Details: CONTACTED DOMAIN: "2fasecurityzone. com" has been identified as malicious 

MAFO on italialainen yritys: "Yritys valmistaa kotitalous- ja teollisuuspesuaineita. Irtotavarana myytäviä pesuaineita DETERSFUSO-franchising-ohjelman kautta." Ei ihan kuulosta Ai kauppiaalta. Oletettavasti firman kone on hakkeroitu ja palvelimelle on ladattu verkkorikollisen ansasofta.

----------------------------------KIRJE-----------------------------------

PAKETTIANSOJEN LIMBO

Enpä varmaan tämän typerämpää pakettiansaa ole nähnyt. Hyvä tietysti niin, jotta kaikilla on mahdollisuus vältää kirjeiden tuoma ansa.
Aktia pankista on leivottu lähettipalvelu. Lähetysosoitteeksi on keksitty, näin advettiajan kunniaksi, "adventraza. com" ja vastausosoitteena on  "esimerkki. com". 

Todellinen lähetyskone on vanhassa piilossa Googlen osoitteen takana: "Received: from mail-ot1-f69.google. com.

Kirjeen lähetyspäivä: "Date: Tue, 16 Dec 2025" kertoo kirjeen olevan pahasti myöhässä, kun toimitus oli jo 10.12.

Linkistä "Siirry kirjautumiseen" pääsisi trumppilaiseen "links.truthsocial. com/link/115729614872775282?mode=3DresetPassword&o...", jossa koodin mukaan siis pääsisi kirjautumaan - mutta minne?
Virustorjuntaskannaukset kertovat: "urlscan. io: Url Scan Analysis Malicious (100%)"
ScamAdviser. Domain Scam Score Malicious (100%). Linkki on todettu VAARALLISEKSI.
Truthsocial näyttäisi hyysäävän tätäkin huijaria palvelimellaan.

Allekirjoituksena on copyright: "© 2025 Your Company Ltd. Kaikki oikeudet pidätetään."
Toivottavasti myös huijari pidätetään. Olisihan tuolle yritykselle voitu keksiä viisaampikin nimi. 

-------------------------------KIRJE------------------------------

GOOGLE CLOUD HUIJAUS MENOSSA

Nämä kirjeet eri pilvipalveluiden sopimusten päättymisestä, tai "tarkistamisesta", tai muusta hömpästä, ovat kaikki huijauksia jos niitä ei ole lähettänyt Google.
Myös tuo "KIIRE" on hyvä tunnusmerkki huijauksesta.

Jos sinulla on epäilys, että asiassa voisi olla perää (ei tämän kirjeen vuoksi, vaan yleensä), ÄLÄ KLIKKAA tämän kirjeen linkkejä, vaan mene suoraan omalle GOOGLE CLOUD tilillesi.
Tämä verkkorikollinen kaappaa tilillekirjautumisesi ja henkilötietosi ja sen jälkeen olet lirissä.

Linkit alkavat piilotetulla IP osoitteella:"http://0x8d0bd23 c/...", "avattuna 141.11.210. 60". Tämä on ollut venäläisten koodaamissa ansalinkeissä nykyään tapana. IP paikallistuu Los Anglesiin. Konetunnus on mustalla listalla.

Lähetysosoitteesta  raportoi virustorjuntayritys Falcon Testbed: "proprimedeals.ddnsguru. com Malicious domain detected. Details:  SUBMITTED URL: "http://ultrasaleshub.ddnsguru. com/" contacted related malicious domain: "ddnsguru. com" CONTACTED DOMAIN: "classactdigital. net" has been identified as malicious "

-----------------------------------KIRJE-----------------------------------

ANSALINKKI ANALYSOITUNA GOOGLEN TEKOÄLYLLÄ:

"Annettu linkki ohjaa IP-osoitteeseen perustuvalle verkkosivustolle, joka ei tällä hetkellä lataudu tai ole julkisesti käytettävissä tavanomaisten turvallisuuskäytäntöjen mukaisesti [1]. Lisätietoja ei ole saatavilla tästä lähteestä."

Falcon Sandbox analyysi kertoo linkin osoitteesta:

"Detected suspicious HTML injection technique" 

Havaittiin epäilyttävä HTML-injektiotekniikka

"Adversaries may abuse various implementations of JavaScript for execution"

Vastustajat (huijarit) voivat väärinkäyttää JavaScriptin eri toteutuksia suorittamiseen

Seuraavan vastaavanlaisen kirjeen sisältö kokonaisuudessaan tässä alla:

---------------------------------------------------------------------------------------------

Maksutietojen päivitys (Googlen nimeä ei otsakkeessa ole)

Toimenpide vaaditaan tilisi turvaamiseksi

Hei hannu.kuukkanen,

Emme pystyneet vahvistamaan nykyistä maksutapaasi. Google Cloud -palvelusi ovat edelleen aktiivisia, mutta maksutietojen päivittäminen on välttämätöntä palvelukatkosten tai tietojen käytön estämisen välttämiseksi.

Laskutuksen yhteenveto

Viimeisin yritys : Thu, 18 Dec 2025 15:58:42 +0100 (en ole yrittänyt, tai käynnyt linkin osoitteessa, koska sen klikkaaminen ei ole turvallista)

Tila : Vahvistamaton

Maksutapa : Visa •••• 4927 (ei ole minun Visani päättyvä numero)

? Toimenpide vaaditaan viimeistään: Thu, 18 Dec 2025 15:58:42 +0100

Päivitä maksutietosi ennen määräaikaa, jotta palvelut pysyvät keskeytyksettä käytössä.
(höpö, höpö)

Aktiivisella laskutusprofiililla saat:

? Pääsyn Google Cloud Platformiin 

...

? Päivitä maksutapa http://defenceintelligente. camdvr. (tässä on kirjeen suurin vaara. Menetät tilisi kirjautumisen verkkorikolliselle) org/fwd/P2Q9MTUyODUmZWk9MTUyNDcwMDYzJmlmPTQzMDI4JmxpPTU4JnR5PTE

Tämän vaiheen suorittaminen varmistaa palvelujen jatkuvuuden ja tietojesi suojan.

Kysymyksiä? Vieraile osoitteessa cloud.google. com/support https://cloud.google. com/support

© 2025 Google LLC. (tämä osoite on oikea - hämäystarkoituksessa) Kaikki oikeudet pidätetään. (toivon mukaan myös tämä huijari pidätetään)

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Saat tämän viestin, koska olet rekisteröitynyt palveluumme tai tehnyt ostoksen.
(ei pidä paikkaansa)

Peruuta tilaus http://defenceintelligente. camdvr. org/unsub/P2Q9MTUyODUmZWk9MTUyNDcwMDYzJmlmPTQzMDI4JmxpPTU4JnR5PTE | Lähetä palautetta http://defenceintelligente. camdvr. org/sunsub/P2Q9MTUyODUmZWk9MTUyNDcwMDYzJmlmPTQzMDI4JmxpPTU4JnR5PTE

GmbH · 27 Old Gloucester Street · London, WC1N 3AX · United Kingdom

SÄÄSTÖPANKIN ASIAKKAISIIN KOHDISTUVA ANSA

Näitä vastaavia ansakirjeitä saapuu kaikkien pankkien nimissä.
Tärkeää on ihan ensiksi katsoa, mistä osoitteesta kirje on lähetetty.
Tämäkään ei tule Säästöpankista, eikä linkki vie Säästöpankkiin, vaan huijarin ansasivulle, joka muistuttaa Säästöpankin sivua.

Heti perään saapui Aktia-pankin nimissä sama ansa.

---------------------------------KIRJE-----------------------------------

SAMA HUIJAUSVIESTI SAAPUI MYÖS AKTIA-PANKIN NIMISSÄ

[4302402230] Pakollinen tietoturvapäivitys: Toimenpide vaaditaan 17. joulukuuta mennessä
Akti? Pankki Oyj (huomaa viimeinen kirjain piiloitettu virustorjunnan hämäämiseksi)
<tyy.nousvousenverronsunautre.com@tyy.nousvousenverronsunautre.com> (höpö, höpö osoitetta ei edes löydy verkosta)

Vastaanottaja  hannu.kuukkanen@xxxxxxxx

FALCON SANDBOX - VIRUSKANNAUS linkistä tuotti arvattavissaolevan tuloksen:
Malicious Indicators 2
1) Malicious domain detected. Details: CONTACTED DOMAIN: "btpndabonus. com" has been identified as malicious 

2) Recently registered domain detected. Details:  Recently Registered domain detected: "nousvousenverronsunautre. com" (0 days old). Commonly seen with phishing or other suspicious domains 

Näitä ansakirjeitä tehtaillaan nyt teollisessa mittakaavassa, joka viittaa järjestäytyneeseen toimintaan.
Kannattaa pitää mielessä, että elääme "kyber-sota-aikaa" ja varovaisuutta kaikessa raha- ja tietoliikenteessä tarvitaan jokaiselta kansalaiselta.

iCLOUD MAKSUONGELMA JOTA MINULLA EI OLE

Huijari lähettää ansan PC koneiden käyttäjille. Minulla ei nimittäin Applen koneita ole.
Kirje hämärtää tarkoituksella  toden ja valheen rajamaan, jotta uhri saataisiin uskomaan viestiin ja houkuteltua ansaan. Näin tapahtuu hyvin usein.

Tämän ansan juju on mitättömässä summassa, jonka jokainen innokas Apple tietokoneenkäyttäjä on valmis maksamaan heti pois MUTTA...
Kun maksat tuota pientä summaa, joudut käyttämään jotakin maksuliikennetiliäsi JOKA KAAPATAAN HENKILÖTIETOINEEN. 0,99€ muuttuukin sen jälkeen ihan eri maksuluokkaan.

DOMAIN on tarkistettu Falcon Sandbox virustorjuntapalvelussa: "Malicious domain detected. Details: SUBMITTED URL: "http://ultrasaleshub.ddnsguru. com/" contacted related malicious domain: "ddnsguru. com". CONTACTED DOMAIN: "classactdigital. net" has been identified as malicious"

Toistuva sama linkki näyttää olevan tuhottu jo sähköpostipalvelun virustorjunnassa. Hyvä niin.
href="http://??????????????? /fwd/P2Q9MTUxODImZWk9MTUyNDcwMDYzJmlmPTQyODQ0JmxpPTU4JnR5PTE"

---------------------------------KIRJE------------------------------

TÄMÄN VIESTIN JÄLKEEN SAAPUI SAMA ANSA PC KONEILLE

"Maksusi 0,99 € on keskeytynyt – toiminta vaaditaan"

Tallennustila

<malakyaakoubi14@outlook. com>

Vastaanottaja  hannu.kuukkanen@xxxxxxxxxxxxxx

Näitä ansakirjeitä tehtaillaan nyt teollisessa mittakaavassa, joka viittaa järjestäytyneeseen rikollisuuteen.
Kannattaa pitää mielessä, että elämme "kyber-sota-aikaa" ja varovaisuutta kaikessa raha- ja tietoliikenteessä tarvitaan jokaiselta kansalaiselta.

HUIJAUS VEROVIRASTON NIMISSÄ

 Jälleen kerran. Ensimmäiseksi, katsokaa, mistä kirje saapuu.

Veroviraston osoite on "vero. fi" EI "vero-kysely. fi".
Verkkorikollisille henkilötietosi ovat pankkitilisi arvoiset.

Linkki vie rikollisen sivustolle, joka on todettu viruskannauksessa VAARALLISEKSI..

Kuvan alapuolella virusskannauksen tulos eriteltynä.

-----------------------------------KIRJE----------------------------------------

KIRJEEN LÄHETTÄJÄ on kierrättänyt kirjeen "amazonin" palvelimen kautta huijareiden tavan mukaan. Näin saadaan todellinen lähettäjä piiloon.

X-Original-Sender: 010c019b1574fcf8-09f02646-b5a9-4138-a02c-936b662cb9b1-000000@ap-northeast-2.amazonses. com

Received: from c177-1.smtp-out.ap-northeast-2.amazonses. com (c177-1.smtp-out.ap-northeast-2.amazonses. com [76.223.177. 1]) 

IP OSOITE ON MUSTALLA LISTALLA: On DNS Blacklist Checked 21 DNSBL listings Yes

VerohaIIinto <no-reply@vero-kysely. fi> tällaista osoitetta ei verkosta löydy

https://uutiskirje.vero. fi/a/s/213162239-054a14924eb903462a7175429c5e6ef4/6215580
Tämä linkki vie veroviraston palvelimelle, mutta osoitettua sivua ei sieltä löydy.

Tässä huijauskirjessä on kuvalinkkejä mm. Lähitapiolan sivulle (kuvat varastettu).

https://res.info.lahitapiola. fi/res/lahitap_mid_prod1/spacer.gif  ("spacer" viitannee tyhjään GIF kuvaan, jota on käytetty kirjeessä erottimena, tai laskurina. Kuvaa ei tosin löydy osoitteesta. Luultavasti kuvavarkaus on havaittu ja kuvalinkki on poistettu käytöstä)

https://vero.fi/static/img/logos/logo-vero-v2023. svg (on veroviraston sivulta varastettu logo. Linkki toimii)

https://europortparts. com on se varsinainen ansalinkki, joka on virusskannauksessa todettu VAARALLISEKSI.

URLSCAN.IO kertoo osoitteesta:

vero-fi.info-m. info

66.29.148. 134  Malicious Activity!

Submitted URL: https://europortparts. com/

Effective URL: https://vero-fi.info-m. info/update. php 

PHP pääte viittaa palvelin puolen ohjelmaan, joka saattaa tehdä mitä tahansa. Tässä tapauksessa kerää ansaan mennen henkilön henkilötiedot. Se on lähes yhtä vaarallista, kuin pankkikirjautumisen kaappaus. Nyt menetät rosvolle pankkitilitietosi ainakin.

Tämän blogin kaikki linkit on tehty vaarattomiksi, lisäämällä tyhjät välit lopputunnisteisiin.

KUVAKAAPPAUS LINKIN PÄÄSSÄ OLEVASTA PHISHING - LOMAKKEESTA
Lomake kerää myös pankkitilitietosi joten tämä on erittäin vaarallinen linkki.

Vastaavia kirjeitä saapuu myös pankkien ja eri maksuvälineiden nimissä!

VEROVIRASTO TIEDOTTAA NÄISTÄ ANSOISTA:
"Verohallinto ei koskaan pyydä henkilökohtaisia tietojasi viestillä. Jos saat tällaisen viestin, älä klikkaa linkkejä tai avaa liitteitä.

Kun hoidat veroasioitasi, muista nämä:

Tarkista veroasiasi aina OmaVerosta.Kirjaudu OmaVeroon vero. fi:n kautta.

Älä käytä hakukoneiden linkkejä, vaan kirjoita itse selaimen osoitekenttään "www.vero. fi". Tarkista, että olet kirjoittanut osoitteen oikein. Vero. fi:stä pääset turvallisesti myös OmaVeroon." Poista tyhjä väli pisteen jälkeen.

TOINEN SAMANLAINEN KIRJE SAAPUI ERI OSOITTEESTA

"VerohaIIinto" (huomaa spammisuotimien harhautus kahdella isolla II kirjaimella)

 <no-reply@vero-avustus. fi> (vero-avustus. fi ei ole veroviraston osoite)

 14.12.2025 20.50

 Tärkeä ilmoitus verohallinnolta

 Vastaanottaja  hannu.kuukkanen

(huomaa piste - nimi on poimittu sähköpostiosoitteesta, ei Verohallinon tietokannasta)

SIJOITUSANSA

Ahneus on hyvää tarttumapintaa katteettomille lupauksille.
Näissä ansaposteissa on käsitelty jo lähes kaikki muut inhimilliset riippuvaisuudet (addiktiot). Tässä mennään finanssihaiden altaalle kalaan.

Linkkiosoitteessa: https://rb. gy/vx4r50 odottelee sijoittajaa iso huti.

Falcon Sandbox virusanalyysi kertoo linkkiosoitteesta: Detected malicious domain extracted during analysis. Details EXTRACTED DOMAIN: "scanned.page" identified as malicious but was not contacted during analysis (Source: EXTRACTED_FILE_DOMAINS) 
Se, että kyseistä vaarallista sivua ei tällä kertaa tavoitettu, ei anna armoa mahdollisella seuravalla klikkauskerralla.

Rekisteröitymisesi jälkeen sinun pankkitilisi korjataan huijarin taskuun.

---------------------------------KIRJE------------------------------------

UHKAILUA ECUADORISTA

Tyypillinen pelotteluansa.
Jos vastaanottaja on sekaantunut moiseen toimintaan, niin en kanna huolta ansaan joutumisesta mutta kaikki normaalit ihmiset, älkää edes uteliaisuuttanne avatko liitteitä. Kirjeen katsominen HTML selaimessakin on vaarallista, sillä kirjeen lähdekoodi on täynnä ohjelmakoodia.

Kirje vaikuttaa saapuvan ecuadorilaisen oppilaitoksen koneelta. Kone saattaa olla kaapattu, tai osoite väärennetty tai sitten oppilailla on sairas huumorintaju.

----------------------------KIRJE------------------------------

VEND TILI JOTA MINULLA EI OLE

Kyse on HUIJAUKSESTA, jonka varjolla pyritään kaappaamaan henkilötietosi ja aiheuttamaan sinulle taloudellista vahinkoa. Mistä tunnistaa tämän kirjeen huijaukseksi?

1) ENSINNÄKIN VEND ON kiinteistövälittäjä.
"Norjan, Suomen ja Ruotsin markkinapaikkojemme kautta annamme käyttäjille ja asiakkaille mahdollisuuden tehdä älykkäämpiä valintoja asuntoa ostettaessa, myytäessä tai vuokrattaessa."
Osoite "vend. com" vie tähän kodinvälitystoimintaa harrastavan yrityksen sivuille MUTTA...

2) Minulla ei ole koskaan ollut mitään tekemistä tällaisen toimijan kanssa, joten en ole sen asiakas ja kenelläkään ei ole oikeutta käyttää luvatta sähköpostiosoitetta viestintäänsä. Osoitteeni on varastettu.

Kuvan alapuolella on lisätietoa vaarallisista linkeistä.

--------------------------------KIRJE------------------------------

FALCON TESTBED virustorjunta raportoi linkistä

Suspicious Indicators. GETs files from a webserver. Details  Host: jfngzs80.r.eu-north-1.awstrack. me. 
Contacted Hosts Amazon Data Services Sweden
The domain name awstrack. me is a URL that belongs to Amazon Web Services (AWS) and is used to track email engagement, such as clicks and opens, for emails sent via AWS's Simple Email Service (SES). 

Tästä ohjelmasta kerrotaan lisää verkkokeskusteluissa:

"What is what is awstrack.me ? - The domain name awstrack.me is a URL that belongs to Amazon Web Services (AWS) and is used to track email engagement, such as clicks and opens, for emails sent via AWS's Simple Email Service (SES)."

"Olemme koonneet vastauksia usein kysyttyihin kysymyksiin. Käy UKK-sivulla (tämä on ansalinkki)

AWS Amazon CloudFront: Amazon Web Servicesin (AWS) palvelu, joka toimittaa verkkosisältöä käyttäjille nopeammin maailmanlaajuisesti. (tätä palvelua mm. verkkorikolliset käyttävät)

Reunasijainnit: Se käyttää käyttäjien lähellä olevia datakeskuksia (reunasijainteja) vähentääkseen staattisen ja dynaamisen sisällön (HTML, kuvat, video) viivettä.

Suuret sivustot käyttävät sitä: Monet suuret verkkosivustot (kuten Twitch, CCleaner) käyttävät sitä tiedostojen tehokkaaseen toimittamiseen.

Milloin kyseessä on ongelma (haitallinen käyttö)

Mainosohjelmat/uudelleenohjaukset: Muiden latausten mukana toimitetut mainosohjelmat voivat kaapata selaimesi, aiheuttaa uudelleenohjauksia cloudfront. net-verkkotunnuksiin tai lisätä mainoksia.

Haittaohjelmien toimitus: Rikolliset käyttävät sitä reittinä haitallisten hyötykuormien toimittamiseen. (esim. virukset).

Mitä tehdä, jos näet sen usein

Etsi haittaohjelmia: Suorita perusteellinen skannaus hyvämaineisella virustorjunta-/haittaohjelmien torjuntaohjelmistolla (kuten Malwarebytes, Norton, Hitman Pro jne.) löytääksesi mukana toimitetut mainosohjelmat."

LINKISTÄ LÖYDETYT HAITALLISET OSOITTEET:

https://jfngzs80.r.eu-north-1.awstrack. me/L0/ (käsitelty ylempänä tekstissä)

https://Faccount.vend. fi/faq/1/0110019b0df93e3a-ce6b7b0f-6d66-487e-b443-456b934ae387-000000/LBNc1NgbMJKBKTCdQwkCRlGgsGE3D241 (tuota domainosoitetta ei verkosta löytynyt? Se ei kuitenkaan poista linkin vaarallisuutta)

https:&#/;&#/;d2ejn7vyb/bnr.cloudfront. net&#/;emails&#/;images&#x2F;brands-fi.png

cloudfront. net (tätä palvelinta mm. verkkorikolliset käyttävät sisältöjensä, tai niiden osien -kuvien, -appsien ... jakamiseen)