S-KAUPAN LAHJAKORTTI HUIJAUS

S-Kaupan lahjakorttihuijaus liikenteessä. Helppo tunnistaa huijaukseksi. Tekstimuotoisissa selaimissa alkuosa kirjeestä on rikkinäistä HTML koodia, jota selain ei osaa näyttää. Jos koodin vie HTML selaimeen, ei tulos parane. Heitä kirje roskiin, tämä on ansa.

Kirje on lähetetty Japanista (alianla@jcom.zaq.ne. jp).

----------------------------------------KIRJE-----------------------------------------

VAARALLINEN DERILLA TYYNY

Tai oikeammin, tämä Derillatyynyä markkinoiva sähköposti on VAARALLINEN.

Kokeilin tekoalyanalyysiä tähän standardista poikkeavaan osoitteeseen ja sain odottamani vastauksen. Ohjeet ovat yleispäteviä tämän kaltaisen linkkiosoitteen kohdatessasi. IP osoite oli kaiken lisäksi koodattu muotoon "0x5ccc28 ed":

"Linkki vaikuttaa erittäin epäilyvältä, ja sen avaamista tulee välttää.

Tässä ovat tärkeimmät syyt, miksi linkki on turvallisuusriski:

Pelkkä IP-osoite: Linkki ohjaa suoraan numeeriseen IP-osoitteeseen (92.204.40. 237) sen sijaan, että se käyttäisi tunnettua verkkotunnusta (kuten google.fi tai yritys.fi). Lailliset palvelut käyttävät lähes poikkeuksetta selkeitä verkkotunnuksia.

Suojaamaton yhteys (HTTP): Linkki käyttää vanhentunutta ja suojaamatonta http-protokollaa https-protokollan sijaan. Tämä tarkoittaa, ettei välissä ole salausta.

Hämärä rakenne: Osoitteen loppuosa (/fwd/P2Q9NDExMS...) viittaa usein automaattiseen uudelleenohjaukseen tai seurantaan, jota käytetään usein sähköpostihuijauksissa (phishing = identiteettivarkaus) tai haittaohjelmien levittämisessä.

Suositus:

Älä klikkaa linkkiä. Jos sait tämän linkin tekstiviestillä tai sähköpostilla tuntemattomasta lähteestä, poista viesti välittömästi.

Voit tarkistaa epäilyttäviä linkkejä turvallisesti käyttämällä palveluita kuten VirusTotal tai Google Transparency Report."

https://linkstruthsocialcom/link/115750794020452466... Tällainenkin linkki löytyy koodista mutta se ei johda minnekään, ei edes muodossa "truthsocialcom". Muoto "truthsocial. com" toimii mutta sellaista osoitetta ei ole kirjeessä.

Rahanpesula S-Pankin nimissä

Huijauskirje, jossa on omalaatuisia linkkiosoitteita "surveymonkey" ilmaiselle lomakealustalle rakennettuna. Viestiasetukset - osoite, vaikuttaa enemmänkin ohjelmakoodilta. Olen katkaiissut kuvakaappuksessa olevan osoitteen. ÄLÄ KLIKKAA mihinkään linkkiin! Tarkempi analyysi toistuvasta linkistä kuvan alapuolella.

Mikään pankki ei lähetä "rahanpesulain" mukaista tietotarkistusta "surveymonkey" - osoitteen takaa.

----------------------------------KIRJE-------------------------------------

Falcon Sandbox virustorjuntaraportti: "Havaitut verkkotunnukset: tiktokw.us (epäilyttävä)

www.surveymonkey. com (kohde)

Tämä esimerkki sisältää epäilyttävällä verkkotunnuksella isännöidyn tunnistetietojen syöttösivun joka on havaittu sivun sisällön analysoinnin kautta. Tämä on vahva merkki tietojenkalastelusivustosta.

Tätä tietojenkalastelutekniikkaa käytetään:

-> Käyttäjätunnusten (käyttäjätunnusten, salasanojen jne.) varastamiseen

-> Laillisten palveluiden henkilöllisyyden anastamiseen käyttäjien luottamuksen saamiseksi

-> Arkaluonteisten tietojen keräämiseen luvatonta käyttöä varten

-> Tilin kaappauksen ja lisäriskin mahdollistamiseen"

JOULUKUUSI - HUIJARI

Tämä verkkorikollinen on päättänyt merkitä selkeästi omat viritelmänsä kuusi-ikonilla.
Helpottaa huomattavasti virustorjuntaa, kiitos.

Älä klikkaa, äläkä missään tapauksessa lataa noita liitteitä!

Linkin kone IP osoittaa Vietnamiin ja lähetysosoite on kaapattu huijauskäyttöön. Osoite on mustalla listalla.

------------------------------KIRJE----------------------------------

JA TÄMÄ VIIMEINEN ON EDELLEEN  SAMAN TEKIJÄN

Nyt kuusi on vaihdettu korppuun.

(Black Lagoon on japanilainen mangasarja, jota on kirjoittanut ja piirtänyt Rei Hiroe vuodesta 2002 lähtien. Tämä nettihuijari vetää lokaan sarjan maineen tällä huijauksellaan.)

Jokaisen kirjeen linkki vie samaan osoitteeseen eri kansioihin. Piilossa oleva lomake tai ohjelma on sama tuotteesta riippumatta, eli tarkoituksena on viedä uhrilta rahat kaikissa tapauksilla..

CHAT GPT TILAUS - HUIJAUS

On helppo todeta kirje huijaukseksi, jos tuotetta ei ole käytössä.
Myöskään ei ole maksullista Open Ai tiliä, vaikka kirje niin lopussa väittää.

Kun viimeinen käytöpäivä on merkitty historiaan (1,12,25), uhri saadaan hermostumaan.

Virustorjuntaskannaus kertoo lohduttavan uutisen. Tämä kirje on huijausyritys. LINKKI-soitteesta "mafo. it" Virustorjunta Vipre kertoo: URL Score Malicious (100%)
Falcon Sandbox virustorjunta: Malicious domain detected. Details: CONTACTED DOMAIN: "2fasecurityzone. com" has been identified as malicious 

MAFO on italialainen yritys: "Yritys valmistaa kotitalous- ja teollisuuspesuaineita. Irtotavarana myytäviä pesuaineita DETERSFUSO-franchising-ohjelman kautta." Ei ihan kuulosta Ai kauppiaalta. Oletettavasti firman kone on hakkeroitu ja palvelimelle on ladattu verkkorikollisen ansasofta.

----------------------------------KIRJE-----------------------------------

PAKETTIANSOJEN LIMBO

Enpä varmaan tämän typerämpää pakettiansaa ole nähnyt. Hyvä tietysti niin, jotta kaikilla on mahdollisuus vältää kirjeiden tuoma ansa.
Aktia pankista on leivottu lähettipalvelu. Lähetysosoitteeksi on keksitty, näin advettiajan kunniaksi, "adventraza. com" ja vastausosoitteena on  "esimerkki. com". 

Todellinen lähetyskone on vanhassa piilossa Googlen osoitteen takana: "Received: from mail-ot1-f69.google. com.

Kirjeen lähetyspäivä: "Date: Tue, 16 Dec 2025" kertoo kirjeen olevan pahasti myöhässä, kun toimitus oli jo 10.12.

Linkistä "Siirry kirjautumiseen" pääsisi trumppilaiseen "links.truthsocial. com/link/115729614872775282?mode=3DresetPassword&o...", jossa koodin mukaan siis pääsisi kirjautumaan - mutta minne?
Virustorjuntaskannaukset kertovat: "urlscan. io: Url Scan Analysis Malicious (100%)"
ScamAdviser. Domain Scam Score Malicious (100%). Linkki on todettu VAARALLISEKSI.
Truthsocial näyttäisi hyysäävän tätäkin huijaria palvelimellaan.

Allekirjoituksena on copyright: "© 2025 Your Company Ltd. Kaikki oikeudet pidätetään."
Toivottavasti myös huijari pidätetään. Olisihan tuolle yritykselle voitu keksiä viisaampikin nimi. 

-------------------------------KIRJE------------------------------

GOOGLE CLOUD HUIJAUS MENOSSA

Nämä kirjeet eri pilvipalveluiden sopimusten päättymisestä, tai "tarkistamisesta", tai muusta hömpästä, ovat kaikki huijauksia jos niitä ei ole lähettänyt Google.
Myös tuo "KIIRE" on hyvä tunnusmerkki huijauksesta.

Jos sinulla on epäilys, että asiassa voisi olla perää (ei tämän kirjeen vuoksi, vaan yleensä), ÄLÄ KLIKKAA tämän kirjeen linkkejä, vaan mene suoraan omalle GOOGLE CLOUD tilillesi.
Tämä verkkorikollinen kaappaa tilillekirjautumisesi ja henkilötietosi ja sen jälkeen olet lirissä.

Linkit alkavat piilotetulla IP osoitteella:"http://0x8d0bd23 c/...", "avattuna 141.11.210. 60". Tämä on ollut venäläisten koodaamissa ansalinkeissä nykyään tapana. IP paikallistuu Los Anglesiin. Konetunnus on mustalla listalla.

Lähetysosoitteesta  raportoi virustorjuntayritys Falcon Testbed: "proprimedeals.ddnsguru. com Malicious domain detected. Details:  SUBMITTED URL: "http://ultrasaleshub.ddnsguru. com/" contacted related malicious domain: "ddnsguru. com" CONTACTED DOMAIN: "classactdigital. net" has been identified as malicious "

-----------------------------------KIRJE-----------------------------------

ANSALINKKI ANALYSOITUNA GOOGLEN TEKOÄLYLLÄ:

"Annettu linkki ohjaa IP-osoitteeseen perustuvalle verkkosivustolle, joka ei tällä hetkellä lataudu tai ole julkisesti käytettävissä tavanomaisten turvallisuuskäytäntöjen mukaisesti [1]. Lisätietoja ei ole saatavilla tästä lähteestä."

Falcon Sandbox analyysi kertoo linkin osoitteesta:

"Detected suspicious HTML injection technique" 

Havaittiin epäilyttävä HTML-injektiotekniikka

"Adversaries may abuse various implementations of JavaScript for execution"

Vastustajat (huijarit) voivat väärinkäyttää JavaScriptin eri toteutuksia suorittamiseen

Seuraavan vastaavanlaisen kirjeen sisältö kokonaisuudessaan tässä alla:

---------------------------------------------------------------------------------------------

Maksutietojen päivitys (Googlen nimeä ei otsakkeessa ole)

Toimenpide vaaditaan tilisi turvaamiseksi

Hei hannu.kuukkanen,

Emme pystyneet vahvistamaan nykyistä maksutapaasi. Google Cloud -palvelusi ovat edelleen aktiivisia, mutta maksutietojen päivittäminen on välttämätöntä palvelukatkosten tai tietojen käytön estämisen välttämiseksi.

Laskutuksen yhteenveto

Viimeisin yritys : Thu, 18 Dec 2025 15:58:42 +0100 (en ole yrittänyt, tai käynnyt linkin osoitteessa, koska sen klikkaaminen ei ole turvallista)

Tila : Vahvistamaton

Maksutapa : Visa •••• 4927 (ei ole minun Visani päättyvä numero)

? Toimenpide vaaditaan viimeistään: Thu, 18 Dec 2025 15:58:42 +0100

Päivitä maksutietosi ennen määräaikaa, jotta palvelut pysyvät keskeytyksettä käytössä.
(höpö, höpö)

Aktiivisella laskutusprofiililla saat:

? Pääsyn Google Cloud Platformiin 

...

? Päivitä maksutapa http://defenceintelligente. camdvr. (tässä on kirjeen suurin vaara. Menetät tilisi kirjautumisen verkkorikolliselle) org/fwd/P2Q9MTUyODUmZWk9MTUyNDcwMDYzJmlmPTQzMDI4JmxpPTU4JnR5PTE

Tämän vaiheen suorittaminen varmistaa palvelujen jatkuvuuden ja tietojesi suojan.

Kysymyksiä? Vieraile osoitteessa cloud.google. com/support https://cloud.google. com/support

© 2025 Google LLC. (tämä osoite on oikea - hämäystarkoituksessa) Kaikki oikeudet pidätetään. (toivon mukaan myös tämä huijari pidätetään)

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Saat tämän viestin, koska olet rekisteröitynyt palveluumme tai tehnyt ostoksen.
(ei pidä paikkaansa)

Peruuta tilaus http://defenceintelligente. camdvr. org/unsub/P2Q9MTUyODUmZWk9MTUyNDcwMDYzJmlmPTQzMDI4JmxpPTU4JnR5PTE | Lähetä palautetta http://defenceintelligente. camdvr. org/sunsub/P2Q9MTUyODUmZWk9MTUyNDcwMDYzJmlmPTQzMDI4JmxpPTU4JnR5PTE

GmbH · 27 Old Gloucester Street · London, WC1N 3AX · United Kingdom

SÄÄSTÖPANKIN ASIAKKAISIIN KOHDISTUVA ANSA

Näitä vastaavia ansakirjeitä saapuu kaikkien pankkien nimissä.
Tärkeää on ihan ensiksi katsoa, mistä osoitteesta kirje on lähetetty.
Tämäkään ei tule Säästöpankista, eikä linkki vie Säästöpankkiin, vaan huijarin ansasivulle, joka muistuttaa Säästöpankin sivua.

Heti perään saapui Aktia-pankin nimissä sama ansa.

---------------------------------KIRJE-----------------------------------

SAMA HUIJAUSVIESTI SAAPUI MYÖS AKTIA-PANKIN NIMISSÄ

[4302402230] Pakollinen tietoturvapäivitys: Toimenpide vaaditaan 17. joulukuuta mennessä
Akti? Pankki Oyj (huomaa viimeinen kirjain piiloitettu virustorjunnan hämäämiseksi)
<tyy.nousvousenverronsunautre.com@tyy.nousvousenverronsunautre.com> (höpö, höpö osoitetta ei edes löydy verkosta)

Vastaanottaja  hannu.kuukkanen@xxxxxxxx

FALCON SANDBOX - VIRUSKANNAUS linkistä tuotti arvattavissaolevan tuloksen:
Malicious Indicators 2
1) Malicious domain detected. Details: CONTACTED DOMAIN: "btpndabonus. com" has been identified as malicious 

2) Recently registered domain detected. Details:  Recently Registered domain detected: "nousvousenverronsunautre. com" (0 days old). Commonly seen with phishing or other suspicious domains 

Näitä ansakirjeitä tehtaillaan nyt teollisessa mittakaavassa, joka viittaa järjestäytyneeseen toimintaan.
Kannattaa pitää mielessä, että elääme "kyber-sota-aikaa" ja varovaisuutta kaikessa raha- ja tietoliikenteessä tarvitaan jokaiselta kansalaiselta.

iCLOUD MAKSUONGELMA JOTA MINULLA EI OLE

Huijari lähettää ansan PC koneiden käyttäjille. Minulla ei nimittäin Applen koneita ole.
Kirje hämärtää tarkoituksella  toden ja valheen rajamaan, jotta uhri saataisiin uskomaan viestiin ja houkuteltua ansaan. Näin tapahtuu hyvin usein.

Tämän ansan juju on mitättömässä summassa, jonka jokainen innokas Apple tietokoneenkäyttäjä on valmis maksamaan heti pois MUTTA...
Kun maksat tuota pientä summaa, joudut käyttämään jotakin maksuliikennetiliäsi JOKA KAAPATAAN HENKILÖTIETOINEEN. 0,99€ muuttuukin sen jälkeen ihan eri maksuluokkaan.

DOMAIN on tarkistettu Falcon Sandbox virustorjuntapalvelussa: "Malicious domain detected. Details: SUBMITTED URL: "http://ultrasaleshub.ddnsguru. com/" contacted related malicious domain: "ddnsguru. com". CONTACTED DOMAIN: "classactdigital. net" has been identified as malicious"

Toistuva sama linkki näyttää olevan tuhottu jo sähköpostipalvelun virustorjunnassa. Hyvä niin.
href="http://??????????????? /fwd/P2Q9MTUxODImZWk9MTUyNDcwMDYzJmlmPTQyODQ0JmxpPTU4JnR5PTE"

---------------------------------KIRJE------------------------------

TÄMÄN VIESTIN JÄLKEEN SAAPUI SAMA ANSA PC KONEILLE

"Maksusi 0,99 € on keskeytynyt – toiminta vaaditaan"

Tallennustila

<malakyaakoubi14@outlook. com>

Vastaanottaja  hannu.kuukkanen@xxxxxxxxxxxxxx

Näitä ansakirjeitä tehtaillaan nyt teollisessa mittakaavassa, joka viittaa järjestäytyneeseen rikollisuuteen.
Kannattaa pitää mielessä, että elämme "kyber-sota-aikaa" ja varovaisuutta kaikessa raha- ja tietoliikenteessä tarvitaan jokaiselta kansalaiselta.

HUIJAUS VEROVIRASTON NIMISSÄ

 Jälleen kerran. Ensimmäiseksi, katsokaa, mistä kirje saapuu.

Veroviraston osoite on "vero. fi" EI "vero-kysely. fi".
Verkkorikollisille henkilötietosi ovat pankkitilisi arvoiset.

Linkki vie rikollisen sivustolle, joka on todettu viruskannauksessa VAARALLISEKSI..

Kuvan alapuolella virusskannauksen tulos eriteltynä.

-----------------------------------KIRJE----------------------------------------

KIRJEEN LÄHETTÄJÄ on kierrättänyt kirjeen "amazonin" palvelimen kautta huijareiden tavan mukaan. Näin saadaan todellinen lähettäjä piiloon.

X-Original-Sender: 010c019b1574fcf8-09f02646-b5a9-4138-a02c-936b662cb9b1-000000@ap-northeast-2.amazonses. com

Received: from c177-1.smtp-out.ap-northeast-2.amazonses. com (c177-1.smtp-out.ap-northeast-2.amazonses. com [76.223.177. 1]) 

IP OSOITE ON MUSTALLA LISTALLA: On DNS Blacklist Checked 21 DNSBL listings Yes

VerohaIIinto <no-reply@vero-kysely. fi> tällaista osoitetta ei verkosta löydy

https://uutiskirje.vero. fi/a/s/213162239-054a14924eb903462a7175429c5e6ef4/6215580
Tämä linkki vie veroviraston palvelimelle, mutta osoitettua sivua ei sieltä löydy.

Tässä huijauskirjessä on kuvalinkkejä mm. Lähitapiolan sivulle (kuvat varastettu).

https://res.info.lahitapiola. fi/res/lahitap_mid_prod1/spacer.gif  ("spacer" viitannee tyhjään GIF kuvaan, jota on käytetty kirjeessä erottimena, tai laskurina. Kuvaa ei tosin löydy osoitteesta. Luultavasti kuvavarkaus on havaittu ja kuvalinkki on poistettu käytöstä)

https://vero.fi/static/img/logos/logo-vero-v2023. svg (on veroviraston sivulta varastettu logo. Linkki toimii)

https://europortparts. com on se varsinainen ansalinkki, joka on virusskannauksessa todettu VAARALLISEKSI.

URLSCAN.IO kertoo osoitteesta:

vero-fi.info-m. info

66.29.148. 134  Malicious Activity!

Submitted URL: https://europortparts. com/

Effective URL: https://vero-fi.info-m. info/update. php 

PHP pääte viittaa palvelin puolen ohjelmaan, joka saattaa tehdä mitä tahansa. Tässä tapauksessa kerää ansaan mennen henkilön henkilötiedot. Se on lähes yhtä vaarallista, kuin pankkikirjautumisen kaappaus. Nyt menetät rosvolle pankkitilitietosi ainakin.

Tämän blogin kaikki linkit on tehty vaarattomiksi, lisäämällä tyhjät välit lopputunnisteisiin.

KUVAKAAPPAUS LINKIN PÄÄSSÄ OLEVASTA PHISHING - LOMAKKEESTA
Lomake kerää myös pankkitilitietosi joten tämä on erittäin vaarallinen linkki.

Vastaavia kirjeitä saapuu myös pankkien ja eri maksuvälineiden nimissä!

VEROVIRASTO TIEDOTTAA NÄISTÄ ANSOISTA:
"Verohallinto ei koskaan pyydä henkilökohtaisia tietojasi viestillä. Jos saat tällaisen viestin, älä klikkaa linkkejä tai avaa liitteitä.

Kun hoidat veroasioitasi, muista nämä:

Tarkista veroasiasi aina OmaVerosta.Kirjaudu OmaVeroon vero. fi:n kautta.

Älä käytä hakukoneiden linkkejä, vaan kirjoita itse selaimen osoitekenttään "www.vero. fi". Tarkista, että olet kirjoittanut osoitteen oikein. Vero. fi:stä pääset turvallisesti myös OmaVeroon." Poista tyhjä väli pisteen jälkeen.

TOINEN SAMANLAINEN KIRJE SAAPUI ERI OSOITTEESTA

"VerohaIIinto" (huomaa spammisuotimien harhautus kahdella isolla II kirjaimella)

 <no-reply@vero-avustus. fi> (vero-avustus. fi ei ole veroviraston osoite)

 14.12.2025 20.50

 Tärkeä ilmoitus verohallinnolta

 Vastaanottaja  hannu.kuukkanen

(huomaa piste - nimi on poimittu sähköpostiosoitteesta, ei Verohallinon tietokannasta)