VAARALLINEN kirje, joka mainostaa kuntosalia vuoden viiveellä ja esiintyy turvallisuusfirmana.
Kirjeen höpöhöpö -tekstin lisäksi siitä löytyy kaksi, virustorjunnan VAARALLISEKSI ilmoittamaa linkkiosoitetta: "sg-mktg. com/" ja "hostedemail.vercel. app". Tuota "aplico. com" osoitetta ei verkosta löydy ainakaan tällä hetkellä. Tämä kirje ei suojaa konettasi, vaan vaarantaa sen.
------------------------------------------KIRJE-------------------------------------
Kirje ei saavu verovirastosta. Katso aina ensin lähettäjän osoite.
Tämän kirjeen lähettäjäosoite on "yousif5013179@islamic-ec.edu. jo>". Tätä osoitetta ei edes löydy verkosta. ".jo" maatunnus kuuluu Joulusaarille.
Linkki veisi sivulle: "veroportaali. sbs", joka ei ole myöskään veroviraston osoite.
FalconSandbox VIRUSTARKISTUS kertoo, että linkistä löytynyt osoite on VAARALLINEN.
"Havaittu verkkoliikennettä yleisesti väärinkäytetylle verkkotunnukselle. Tiedot: Verkkotunnus: "veroportaali. sbs" mahdollisesti korkean riskin ilmaisin. Verkkotunnus käyttää ylätason verkkotunnusta (.sbs), jota yleisesti väärinkäytetään haitallisiin tarkoituksiin".
SBS on alunperin käytetty hyvää tarkoittavien kumppanitoimintojen tunnuksena (side by side) mutta sen ovat ahneet domainnimikauppiaat ja verkkorikolliset saastuttaneet käytössään.
--------------------------------------KIRJE TXT muodossa-------------------------------------
--------------------------------------KIRJE HTML muodossa-------------------------------------
Tämä huijari lähettelee erilaisten tuotteitten nimissä näitä kirjeitään. Kirjeen avaaminen tai kirjeeseen vastaaminen on VAARALLISTA.
Huijauksen tunnistaa oudosta osoitteesta, jonne linkki sinut veisi.
Nämä TXT muotoisessa kirjekopiossa näkyvät osoitteet eivät onneksi vie minnekään, koska linkit on rikottu erikoismerkillä (vinoneliö kysymysmerkillä). HTML näkymässä tilanne muuttuu vaaralliseksi.
Linkin scannaus kolmella eri virustorjuntaohjelmalla antaa tuloksen:
VIRUSSCANNAUKSEN TULOS LINKISTÄ
ScamAdviser. Domain Scam Score: Malicious (100%)
CleanDNS. Alleged Domain Abuse Reports: Suspicious (7 Reports)
Falcon Sandbox. Malicious domain detected. Details: CONTACTED DOMAIN: "seekangels. com" has been identified as malicious
Koko kirjeen loppuosa on potaskaa, joka ei edes liity kirjeeseen asialliosesti mitenkään.
Kirjeessä on HTML muodossa useita kuvia. Varoitan seuraavassa postauksessani kuvatiedostojen kantamista viruksista. Jo se, että avaat kuvan tai videon, saattaa ladata koneellesi viruksen.
Kehoitan kieltämään kuvat emailohjelmissa. Myös TXT muotoisen sähköpostin katsominen on turvallista, kuten tämäkin esimerkki osoittaa.
-----------------------------------------KIRJE--------------------------------------
ÄLKÄÄ KOSKEKO TÄMÄN, TAI VASTAAVAN KIRJEEN LINKKEIHIN!
Tämä' on tyypillinen "tilisi on suljettu" - huijaus. Sen tarkoituksena on varastaa henkilötietosi, mahdollisesti myös pankkitietosi ja pahimmassa tapauksessa saat vielä koneellesi VIRUKSEN.
Kirjeessä luetellut uhat muuttuvat todeksi, jos klikkaat linkkiä. Muussa tapauksessa sinulla ei ole mitään hätää pelkästään tämän kirjeen vuoksi.
Vipre virustorjunta kertoo linkistä: "Malicious (100%)". (100% VAARALLINEN)
Falcon Sandbox virustorjunta kertoo myös samaa. Linkin päästä löytynyt osoite on vaarallinen: "Malicious domain detected: CONTACTED DOMAIN: "dosscess. com" has been identified as malicious".
-------------------------------------------KIRJE---------------------------------------
Verkkoon on levinnyt verkkorikollisten käyttöön VPNG - päätteinen, mahdollisesti virusta kantava kuvatiedostomuoto.
Google AI kertoo vaarasta:
"APNG (Animated Portable Network Graphics) itsessään ei ole virus, vaan kuvatiedostomuoto animaatioille (kuten GIF), mutta apng-tiedosto voi sisältää haittaohjelmia; tietoturva-asiantuntijat varoittavat, että huijarit naamioivat viruksia tai haittaohjelmia uskottavina kuvina, kuten APNG-animoiduina ikoneina, joita lataat epäilyttäviltä sivustoilta tai saat sähköpostitse, ja kun yrität avata tai käyttää niitä, haittaohjelma aktivoituu laitteellasi. "
Tämä tarkoittaa, että sähköpostiselaimessasi kannattaa estää kuvat.
Samoin on syytä suhtautua kriittisesti verkkosivuilla esiintyviin liikkuviin kuviin.
Tästäkin syystä on hyvä pitää virustorjunta koneellasi ajantasalla. ÄLÄ KUITENKAAN lataa virustorjuntaohjelmaa, tai sen päivitystä tuntemattomalta verkkosivulta tai googlauksen perusteella.
Vain luotettavan ohjelmistotoimittajan osoite itse selaimen osoitekenttään kirjoitettuna, on turvallisinen ratkaisu.
Toinen äärimmäisen varoittava esimerkki "seurusteluansoista".
Kuvakaappauksen alapuolella on kirjeen linkkien VIRUSTORJUNTARAPORTIT
Jos kirjeessä mainitaan "seksimahdollisuudesta" tai "pornosta", voit olla aivan varma, että kyseessä on ANSA. ÄLÄ MYÖSKÄÄN klikkaile videolinkkeihin, videon mukana saatetaan ehdottaa välttämätöntä esitys - appia, CHAT-appia, tai videosesitysohjelmasi päivitystä.
-------------------------------------KIRJE-------------------------------------
Erilaisten seurusteluansojen tulva jatkuu katkeamattomana virtana.
Tänään saapui viritys, jossa tunnustetaan heti otsakkeessa, että kyseessä on "entisen huijarin" uusi huijausyritys. Kuvat on generoinut AI tai 3D ohjelma ja keskusteluosapuolena on robotti. Jos tämän lisäksi vielä klikkailun tuloksena saat koneellesi viruksen, niin otan osaa.
Näiden "tyrkky" -kirjeiden linkit ovat erittäin vaarallisia, koska usein linkistä saattaa saapua koneellesi suoraan VIRUS, jonka väitetään olevan "appi", joka tarvitaan esim. chattiin, tai videoiden esittämiseen.
En ole koskaan ilmoittautunut minkään Chatin tai seurustelupalstan "jäseneksi", kuten tässä väitetään viittaamalla jäsennumeroon "user518431".
---------------------------------------KIRJE-----------------------------------
GOOGLEUSERCONTENT - lähetysosoiteaihetta olen käsitellyt aiemmin useassa artikkelissani mutta kertaus on opintojen äiti.
Tämän asian tiedostaminen on nyt erittäin tärkeää, koska venäläiset trollit ovat ottaneet tämän lähetysosoitemuodon käyttöönsä ja pyrkivät kaappaamaan koneita hallintaansa onnettomilta sähköpostilinkkien klikkailijoilta.
GOOGLEN NEUVONTAPALSTALTA TIETOA:
"Tässä on yleistä tietoa: älä koskaan anna salasanaasi sähköpostitse lähetettyihin pyyntöihin. Kaikkien Googlelta tulevien sähköpostien on **päätyttävä** google. com-sivustoon (eli esimerkiksi tämä voi olla myös oikea scoutcamp.bounces.google. com ja tämäkin gaia.bounces.google. com). Mutta vaikka päättäisikin, napsauta näytä tiedot -nuolta ja varmista, että "lähettäjä"- tai "allekirjoittanut"-rivien vieressä näkyvä verkkotunnus vastaa lähettäjän sähköpostiosoitetta. Jos näet viestejä, jotka väittävät olevansa google.com-sivustolta, mutta joita ei ole oikein todennettu google.com-sivustolta tuleviksi, ne ovat tietojenkalasteluviestejä. Google ei koskaan kysy salasanaasi (muuten kuin tavallisissa kirjautumisnäytöissään jne.). Jos saat joskus sähköpostin, jossa kysytään salasanaasi, voit olla varma, että se ei ole Googlelta."
MUISTA TARKISTAA, ETTÄ OLET GOOGLEN KIRJAUTUESSASI GOOGLEN SIVULLA (selaimen osoitekentässä osoitteessa on oltava viimeisenä = google. com)
Tässä muutama artikkeli, jossa olen kertonut samasta aiheesta erilaisten ansapostien yhteydessä.
https://vaarallinenweb.blogspot.com/2025/10/mouseplanet-huijaus-jatkuu.html
TÄSSÄ ON TYYPILLINEN LÄHETYSOSOITE KIRJEEN HEADEROSUUDESTA KOPIOTUNA "X-Original-Sender: info@mouseplanet. com
Received: from mouseplanet. com (173.16.93. 34.bc.googleusercontent. com [34.93.16. 173])
Palvelin IP 34.93.16. 173 osoittaa Mumbayhin Googlen palvelimelle. Mouseplanet. com kone IP 173.16.93. 34 osoittaa Jacksonville, Illinois, United States. Mediacom Communications Corp:n koneelle, jonka DNS (verkkotunnus) on mustalla listalla
https://vaarallinenweb.blogspot.com/2025/10/googleusercontent-com-koneita-huijarin.html
GOOGLAUKSEN AI VASTAUS
"bc.googleusercontent. com ei itsessään ole huijaus, mutta se on verkkotunnus, jota huijarit käyttävät usein tietojenkalasteluhyökkäyksiin, koska se on julkinen isäntänimi Google Cloud Platform (GCP) -virtuaalikoneille. Tämä tarkoittaa, että Googlen pilvipalveluiden lailliset käyttäjät voivat isännöidä sovelluksia tällä verkkotunnuksella, mutta haitalliset toimijat voivat myös käyttää samoja palveluita sähköpostien lähettämiseen tai verkkosivustojen kaapimiseen, joten se voi vaikuttaa lailliselta mutta vaaralliselta lähteeltä."
Kuinka tunnistaa, onko kyseessä huijaus?
Tarkista lähettäjän sähköpostiosoite: Tarkista aina koko lähettäjän sähköpostiosoite, äläkä vain nimeä, sillä hyökkääjät voivat helposti väärentää näyttönimen.
Vie hiiri (osoitin) linkkien päälle: Ennen kuin napsautat linkkejä, vie hiiri niiden päälle nähdäksesi todellisen URL-osoitteen, johon ne osoittavat." Näkyviin kirjoitettu "osoite" voi olla aivan mikä tahansa teksti.
Venäläisten huijauskirjeiden sarja (eri otsakkein ja kirjesisällöin) saapuu nyt osoitteesta: "X-Original-Sender: info@werkenpgb. nl Received: from werkenpgb. nl (79.165.196.35.bc.googleusercontent. com"
Tuo werkenpgb. nl osuus saattaa vaihdella, koska virussuodattimet pyrkivät poistamaan roskapostiksi havaitut kirjeet lähettäjänimien mukaan.
"X-Original-Sender:" löytyy kaikkien kirjeiden header-osuudesta, jos osaat ottaa kirjeen löhdekoodin esille.
Lähettäjän osoitteen seuraaminen on hyvä tietoturvatakuu.
HUOM. Kaikkiin esimerkkiosoitteisiin on lisätty tyhjä väli ennen maatunnusta, turvallisuussyistä. Näin linkki ei toimi, joten tyhjä väli on poistettava, jos käyttää osoitetta selaimen osoitekentässä.
MISTÄ ON SYYTÄ HUOLESTUA
1) Kun sisältö ei vastaa lähetysosoitetta.
Kaikki luotettavat toimijat lähettävät viestinsä omasta domainosoitteestaan (firman nimi). Esim: pankkien nimet kuten S-Pankki. fi, nordea. fi, danskebank. fi, op. fi tai osuuspankki. fi.
Samoin kaikki viranomaistahot kuten: suomi. fi, maisa. fi, poliisi. fi, vero. fi, omavero. fi jne.
Juuri äsken saapui kirje osoitteella "Suomi. fi <conterecte@ggrhcoex.popdocmp. com>", joka ei siis saavu suomi. fi palvelusta, vaan "ggrhcoex.popdocmp. com" osoitteesta rikolliselta. Oleellinen osoite on tuossa @ merkin jälkeen. Sekin voidaan kirjoittaa esim. huijausmuotoon "@suomifi.ggrhcoex.popdocmp. com", jolloin kirje saapuisi edelleenkin rikollisen osoitteesta.
JOS olet vähääkään epävarma kirjeen lähettäjän osoitteen oikeellisuudesta - ÄLÄ AVAA KIRJETTÄ, ÄLÄKÄ KLIKKAA MISSÄÄN TAPAUKSESSA LINKKEJÄ.
2) lähetysosoitteen "domain maatunnus- se viimeinen osa" (esim: domain."fi") ei täsmää firman kotimaahan, vaikka domainnimi olisi firman nimi.
Tai jos perässä on ilmaisosoitteen tunnus (esim: "gmail. com" tai outlook. com). Kaikki luotettavat toimijat käyttävät oman fimalle ostettua ja rekisteröityä osoitetta domainnimenään. Domainnimi on postiosoitteen jälkiosa vaikkapa esimerkiksi "viestinta@nordea. fi" EI "nordea.@gmail. com" eikä "nordea@ "nordea.jokunimi. com"
3) Kannattaa lähteä myös olettamuksesta, että JOS kirje on kiertänyt googleusercontent - osoitteen kautta, niin kyseessä on huijaus. Googleusercontent osoitteen kautta saattaa tulla myös laillisia kirjeitä MUTTA osoite on käytännössä saastutettu huijauskirjeillä, koska osoite mahdollistaa rikollisia hyödyntävän toiminnon, jos uhri erehtyy lähettämään paluupostia.
Nämä esimerkkikirjeet ovat kaikki saapuneen googleusercontent osoitteen kautta.
"X-Original-Sender: info@werkenpgb. nl Received: from werkenpgb. nl (79.165.196.35.bc.googleusercontent. com". Myös Amazonin "amazonses. com" osoitteen kautta kierrätetään huijauspostia, jotta huijausposti näyttäisi luotettavemmalta.
Nämä esimerkkikirjeet tunnistaa toistuvasta vieraasta domainnimestä ja siitä, että vastaanottajan osoite on sama, kuin lähettäjä. Tämä huijari on varastanut osoitteen, jota se käyttää, niin kauan, kunnes spämmissuotimet sen estävät.
Otsakkeet vaihtelevat mutta lähettäjä on sama.
LINKKI vie vietnamilaiselle koneelle jolla on osoitteena kryptattu IP tunnus (koodattu piiloon) ja kirjeiden taustatoimijoina ovat venäläiset trollit.
Näiden kirjeiden tarkoituksena on lähettä koneellesi VIRUS (päivityspyyntö), jolla koneen saan kaapattua Venäjän verkkohyökkäyksiä varten. Myös, todennäköistä on, että henkilötietosi urkitaan ja pankkitilisi tyhjennetään (Hyväksyntä: text/html,ohjelma/xhtml+xml) XHTML ja XML on kieli, jolla voidaan koodata ohjelma.
-----------------------------------------KIRJE 1----------------------------------------
-----------------------------------------KIRJE 2----------------------------------------
Näitä erimuotoisia eri "pankkien nimissä" saapuvia kirjeitä tulee jatkuvana virtana.
Jos hakkerille tulee osuma, eli saatkin vahingossa sinun nimissäsi, sinun oman pankkisi näköisen viestin ÄLÄ MISSÄÄN TAPAUKSESSA MENE KIRJEEN LINKIN KAUTTA tilillesi. Jos niin teet, tilisi tyhjennettän, koska kirjautuminen on tapahtunut huijarin koneelle, ei pankin sivuilla.
------------------------------------KIRJE------------------------------------
Tämä pankkikirjautumisten kaappausansojen massa jatkuu ja jatkuu. Ihan niin kauan, kun ihmiset eivät opi, että MINKÄÄN E-MAILIN LINKIN KAUTTA EI SAA KIRJAUTUA PANKKITILILLE!!!
Kirje ei tule S-Pankista, kuten punaisella alleviivattu osoite kertoo. "meiliboxi.fi" ei ole S-Pankki. S-Pankin osoite on "s-pankki.fi/". Käytä selaimen osoitekentässä vain itse kirjoittamaasi, todellista pankin osoitetta. Googlen hakutuloksesta ei myöskään saa kirjautua pankkiin.
