sunnuntai 2. maaliskuuta 2025

ENERGY. CA TUNNUKSELLA TOIMIVA ELISA - HUIJARI

ELISA - nimissä yritetään kalastella henkilötietojasi. Linkki on kanadalaisen domainin nimissä "evenergy. ca" - palvelin on ilmeisesti hakkeroitu huijarin käyttöön. 
Koneesta varoitetaan virustorjunta-alan palveluissa mutta ei varsinaisesti luokitella vaaralliseksi. Kaikki omistajatiedot on domainrekisterissä piilotettu. Kirje on lähetetty amazonses. com postipalvelimelta, ei ELISAlta.
Kirjeellä ei ole mitään tekemistä ELISAn kanssa.

ÄLÄ KLIKKAA LINKKEIHIN

---------------------------------------------KIRJE-----------------------------------------




lauantai 1. maaliskuuta 2025

LINKKI SUORAAN VENÄLÄISEEN KONEOSOITTEESEEN

Harvinaista mutta totta. Tämän e-mailin linkki vie tiettyyn koneosoitteeseen. Osoitteen nimeyksestä voi päätellä, että tuo kone ei ole linkin lopullinen päämäärä. "FWD" osoitepolussa tarkoittaa "eteenpäin", eli todellinen kohdeosoite siirtyy useamman virustorjunnan ulottumattomiin.

ÄLÄ HAE LAINAA TÄÄLTÄ. Kone on Venäjällä, joten mitään hyvää ei linkistä kannata odottaa.
"etsilaina. fi" on tässä vain hämäyksenä. Kyseessä on venäläinen huijari, joka varastaa henkilö- ja pankkitietosi. 
Olen analysoinut virustarkistajalla vastaavia, uudempia kirjeitä. Linkit kuvan alapuolella.

---------------------------------------------KIRJE---------------------------------------------




perjantai 28. helmikuuta 2025

Rahasi lähtee alle 24 tunnissa SINGAPOREEN

Norton Safe Web on analysoinut sivuston (linkin)  softnotebooks. com turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.  Kirjeen kuva (jota ei kuvakaappauksessa näy) on jälleen kerran varastettu Amazon.comista. Älä koske LIITTEESEENKÄÄN. Lähettänyt kone sijaitsee Singaporessa.

------------------------------------------------------KIRJE--------------------------------------------

Kirjeen avaamisen ilmiantava yhden pixelin kokoinen seurantakuva (tästä syystä en anna selaimen näyttää kuvia), olisi saapunut koneelleni tällä koodilla: "img src=3D"https://api.milfarea. com/tracking/getMailImage/image.gif?trk==3Dvovxuaj" width=3D"1" height=3D"1" alt=3D".

Tuo seurantakuva kertoo huijarille, että e-mailosoitteesi toimii ja että osoitteeseen kannattaa lähettää lisää roskapostia.


keskiviikko 26. helmikuuta 2025

EN OLE REKISTERÖITYNYT VAIKKA NIIN VÄITTÄÄ

Tämänkaltaisiakin ansoja saapuu. Väitetään, että olen (olet)  rekisteröitynyt johonkin palveluun, vaikka näin ei ole asianlaita.
Tällaisen kirjeen linkkeihin ei kannata koskea. Tarkoituksena on klikkauksen kautta udella sinun henkilötietosi (nythän heillä ei ole kuin varastettu e-mailosoite) ja muun henkilötiedon avulla, sähköpostiosoite voidaan muuttaa RAHAKSI. Joka penni lähtee sinun tililtäsi.
F-Securen Selausturvan takaa kävin vilkaisemassa, miten ansa jatkuu ja aivan oikein. Eteen ponnahtaa ikkuna, jossa sinua kehoitetaan avaamaan "ilmainen" tili (vaikka siis olit jo kirjeen mukaan jäsen). Tällä kohtaa henkilötietosi varastetaan.

Osoitetta virustorjunnalla skannattaessa, ei tuota vaaraa löydy, koska se vaatii SINUN AKTIIVISUUTESI. Ole aktiivinen ja heitä tällaiset kirjeet roskiin niihin koskematta.

Näissä robottivirityksissä syntyy toisinaan hauskoja nimiä tuohon "asiakkaan" kohdalle. Esimerkiksi " Hello "toimistokennelliitto!".  Kirjeen linkki vie osoitteeseen: "marriedwomenaffairs. com", jonka voit lisätä spämmisuotimeesi. Poista tyhjä väli pisteen jälkeen.

-------------------------------------------------KIRJE-----------------------------------------


SEURAAVA SAMAN SYLTTYTEHTAAN ANSA
En todellakaan ole jäsen, eikä olematon profiilini voi saada "hittejä". Ansan juoni on, että: Tuo pieni maksu edellyttäisi sinulta kirjautumisen johonkin maksupalveluun tai tilille, joka kirjautuminen kaapataan ja tilisi tyhjennetään.


ALAPUOLELLA KUVAKAAPPAUS SIVUSTA, jonne linkki veisi. Tämä on otettu turvallisesti ANY.RUN ohjelman kautta. Ei edes uteliaisuudesta kannata seurata tällaisten kirjeitten linkkejä muulla tavoin. Huomaa kehoitus maksuun pankki ja luottokorttien kautta "PAY BY CARD". Kirjautuminen tilillesi kaapataan maksun yhteydessä.








MAKSU PALVELUSTA, JOTA MINULLA EI OLE

Näitä "MAKSUHUIJAUKSIA" tulee postissa silloin tällöin. Tarkoitus on 48 tunnin varotusajalla hermostuttaa uhri tekemään virheellisen verkkomaksun jonka toimenpiteen aikana pankkitunnukset kaapataan ja tili tyhjennetään. Tämä saapui eilen (25.2.) ja silloin tili olisi ollut jo suljettu. Ei hätää, koska tällaista tiliä minulla ei ole koskaan ollutkaan. Tuskimpa sinullakaan. 

Viesti saapui Turkista, turkkilaiselta koneelta, jonka konetunnus on mustalla listalla.

JOS lasku vaikuttaisi tulevan palvelusta joka sinulla todella on, ÄLÄ SILTI MENE MAKSAMAAN MITÄÄN tällaisen kirjeen linkin kautta. Et pysty takaamaan, ettei kyseessä olisi sittenkin huijaus.
Mene ainoastaan tämän palvelun virallisten sivujen kautta tarkistamaan tilisi saldo ja maksa ainoastaan oman pankkisi virallisten sivujen kautta kirjoittamalla pankkisi verkkotunnus (vaikkapa osuuspankki.fi) selaimen osoitekenttään.

-------------------------------------------------KIRJE-----------------------------------------


"any.run" virustarkistus kaivoi linkin kautta esille mielenkiintoisen, mutta VAARALLISEN sivun.
Peliriippuvaisille on rakennettu verkkoon suuri määrä erilaisia ansoja ja tämä vaikuttaa olevan yksi niistä. Alla on kuvakaappaus varsinaisesta ansasivusta. "any.run" kertoo, että kyseessä olisi "mahdollinen yrityksen yksityisyyden loukkaus", normaalikielellä todennäköisimmin "phishing" eli henkilötietovarkaus. Erittäin todennäköisesti kyseessä on pankkikirjautumisen kaappaaminen tuota olematonta maksua maksaessasi.


tiistai 25. helmikuuta 2025

GOOGLE / BLOGGER ansoille tunnusomaista

 Näille GOOGLE / BLOGGER linkeillä varustetuille massa-ansoille on tunnuksenomaista:

1) ne tulevat ilmaisosoitteista (gmail, hotmail, jne) 

2) erittäin usein niissä on koko sivun kattava kuva joka vie yhteen ainoaan, samaan GOOGLE / BLOGGER linkkiosoitteeseen. Sivun esityskuvassa on useita buttoneita tai linkeiksi esittäytyviä tekstejä mutta ne siis vievät kaikki samaan osoitteeseen. Joskus löytyy toinenkin osoite mutta se ei ole kuvan yhteydessä, vaan ehkä alimmaisena kirjessä.

3) linkkiosoitteen alku vakiomuodossaan näyttää tältä: "https://maps.google. co.id/url?" (Googlen domainmuoto vaihtelee hieman mutta aina sana GOOGLE - on mukana linkin alussa). 

Koko linkkiosoite näyttää tältä: "https://maps.google. co.id/url?  q=https%3A%2F%2F%76%69%6E%63%65%6E%74%32%30%30%33%70%6F%73%74%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D&sa=D&sntz=1&usg=AOvVaw2B_e8Pi9pVkFuQOlFv1cbC#aHR0cHM6Ly8xLmFkLnRyY2tsay5jb20vNjc3YTlkOTNmMjRmZGUwNjZiZjBmZTk3P3JlZl9pZD0xJnN1YjI9QTNVYTVjUWYyZ2F0WmQ1NnF5eTdqayZlbWFpbD1oYW5udS5rdXVra2FuZW5AZWxpc2FuZXQuZmk=
GOOGLEN JÄLKEEN ALKAVA  https osoite on ASCII koodattu ja näyttää avattuna tältä: "kelly1997diary.blogspot. com". Se vie tyhjälle sivulle - jolta selain ohjautuu automaattisesti varsinaiseen ansaan.

4) kirje on yleensä "seurusteluun houkutteleva" toisinaan hyvin törkeää tekstiä, kuten tässä. Seurustelupalstat ovat muualla, ei näiden kirjeiden takana. Hae seuraa tunnetuilta palstoilta, ei e-maileista!

------------------------------------------KIRJE----------------------------------



maanantai 24. helmikuuta 2025

GOOGLE / BLOGGER ON ERITTÄIN VAARALLINEN LINKKI

On järkyttävää huomata, kuinka paljon näitä "seurusteluansoja" kiertää sähköposteissa.
Ja kun ottaa huomioon, että jokainen niistä on jonkun tason ansa. Rahaa lähtee onnettomalta klikkailijalta tavalla tai toisella, eikä aina edes vähän. Koko pankkitili saatetaan tyhjentää, kun huonosti sattuu.

Tämä ansa kuuluu siihen valtavaan massaan, jossa linkki alkaa sanalla "GOOGLE". 

Tutkin tämän linkin huolella, koska tämä edusta erittäin VAARALLISTA massapostitusta.
ÄLÄ KLIKKAA! Tarkempi tulos kuvan alapuolella.

----------------------------------KIRJE--------------------------------


app.any.run analyysoi linkin osoitteesta seuraavaa:

Ansaa kutsutaan nimellä "Spearphishing Link". Englanninkielisen tekstin alapuolella on vapaa, suomenkielinen  käännös analyysistä.

Adversaries may send spearphishing emails with a malicious link in an attempt to gain access to victim systems. Spearphishing with a link is a specific variant of spearphishing. It is different from other forms of spearphishing in that it employs the use of links to download malware contained in email, instead of attaching malicious files to the email 

Vastustajat (rikolliset) voivat lähettää huijausviestejä, joissa on haitallinen linkki yrittääkseen päästä uhrijärjestelmiin. Tietojenkalastelu linkin kautta, on spearphishingin erityinen muunnelma. Se eroaa muista verkkourkinnan muodoista siinä, että se käyttää linkkejä sähköpostien sisältämien haittaohjelmien lataamiseen sen sijaan, että sähköpostiin liitettäisiin haitallisia tiedostoja.

Tämä on todella katala viritelmä, koska virustorjunnalla on vaikeuksia selvitä linkeistä, joissa surffailija itse ampuu itseään otsaan. Tämä tapahtuu klikkailemalla vaarallisiin, syvälle, henkilötietovarkautta varten rakennettuihin ja niiden lomakkeisiin, piiloitettuihin linkkeihin.

Tunnuksenomaista näille kirjeille on, että ne saapuvat ilmaisosoitteista (gmail), ja jos kuljetat kohdistinta yli buttonien (tai koko kuva-alan) näkyy tilannerivillä vain yksi ja sama linkkiosoite.
 
GOOGLE kirjoittaa tuon Bloggersivun lähdekoodissa:
"'Tällä sivustolla käytetään Googlen evästeitä palveluiden toimittamiseen ja liikenteen analysoimiseen. IP-osoitteesi ja käyttäjäagenttisi jaetaan Googlelle. Google saa myös suorituskyky ja suojaustiedot, joiden avulla voidaan varmistaa laadukkaat palvelut, luoda käyttäjätilastoja, havaita väärinkäyttöä sekä reagoida siihen." Miten tämä teksti sitten toteutuukaan, se ei näytä vaikuttavan ainakaan tämäntapaiseen väärinkäyttöön.





perjantai 21. helmikuuta 2025

GOOGLE / BLOGGER LINKITETYT ANSAT JATKUVAT

 Tämä GOOGLE / BLOGGER linkitettyjen osoitteiden massa on sikäli ikävä ilmiö, että se peittää lopullisen ansasivun useimmilta virustorjuntaohjelmilta. Skannaus lopahtaa GOOGLEn palvelimelle ja huraa - ei löydy virusta. Kuitenkin parhaat skannerit ja virustorjuntaohjelmat löytävät POMMIN.

Näitä GOOGLE / BLOGGER osoitteita käytetään massoittain VAARALLISISSA roskaposteissa. 
Jos osaat ja sähköpostiohjelmasi sen mahdollistaa, olisi syytä suodattaa spammisuodattimissa roskikseen roskapostit kirjeen sisällössä ilmenevien seuraavien roskapostitunnusten  mukaan:
"images.google.com/url?q=https", "google.com/url?q=https", "maps.google.com/url?q=https", "images.google.es/url?q=https",  "google.lks/url?q=https", "google.at/url?q=https", "google.ca/url?q=https", "google.es/url?q=https",  "google.ie/url?q=https", "google.jo/url?q=https", "google.nl/url?q=https".   

Jos sääntöön lisätään myös tuo Bloggerin tunnus kaavalla:
+.blogspot.com", alkaa suodatin olla jo vahvempi.

Nuo poistavat tosin kaikki vastaavilla google-osoitteilla varustetut kirjeet, luvallisetkin, mutta ainakin osa rosvopostista katoaa postilaatikosta. Harvemmin googlaus-osoitteita kirjeisiin laitetaan. En ainakaan suosittele.

Myös vahvan selaussuojan osaava virustorjuntaohjelma kannattaa hankkia.

F-Secure toi, viimeksi testaamastani linkistä seuraavan tuloksen:

---------------------------------KUVAKAAPPAUS------------------------------------

KIRJEESSÄ OLI TÄMÄ OSOITE (rikottu toimimattomaksi) osoitteet ovat kaikki vastaavaa mössöä.
Alku on aina tunnusomainen. Joko pelkkä google.com tai lisänä jokin googlen alidomain, kuten tässä "images".  Katso lisää viheitä, toinen kappale tätä postausta.

https://images.google. com/url?q=https%2F%2F%6D%61%72%76%69%6E%31%39%39%34%70%61%67%65%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D&sa=D&sntz=1&usg=AOvVaw3XjdEfhcP5Oe0XAoWXf8_1#aHR0cHM6Ly8xLmFkLnRyY2tsay5jb20vNjc3YTlkOTNmMjRmZGUwNjZiZjBmZTk3P3JlZl9pZD0xJnN1YjI9SkdpTWN6Tkp2Tldlek1qV3lEN3BoYSZlbWFpbD1oYW5udS5rdXVra2FuZW5AZWxpc2FuZXQuZmk=

"marvin1994page.blogspot.com"  - osoite löytyy tuosta datamassasta mutta se ei toimi sellaisenaan.

Se tekee hyvin mielenkiintoiseksi tämän ansan, koska Bloggerisivu on tyhjä, eikä pelkkää osoitetta löydy ilman tuota datalitaniaa.
Kirjeitä saapuu hyvin erilaisia. Pääosin näitä seurustelutyrkkyjä mutta on muitakin. Ainoastaan linkin päälle kohdistimen viemällä (ÄLÄ KLIKKAA) näet, miltä linkin osoite näyttää. Jos osoite alkaa sanalla "google" tai jollakin sen alidomainin nimellä (katso noita suodattimeen tarkoitettuja google-versioita, esim. images.google.com) - HEITÄ KIRJE ROSKIIN!

-----------------------------------------ANSAKIRJEMALLI-----------------------------------

 

EDELLISIÄ GOOGLE / BLOGGER ANSOJA



ITÄISTÄ SEURAA TARJOLLA

Tämä ansa kuuluu vähintäänkin joukkoon "phishing", eli henkilötietovarkausansat.

Tämänkaltaisten kirjeiden kinkkeihin ei ole syytä koskea. Osoite analysoituna scam-detector comissa antaa erittäin epäluotettavan kuvan sivustosta: "is. gd on ongelmallinen verkkosivusto, kun otetaan huomioon kaikki tässä perusteellisessa katsauksessa analysoidut riskitekijät ja tietomäärät".
Kirje ei edes ole saapunut minun osoitteellani (tuskimpa sinunkaan).

Selkeämmin sanottuna ÄLÄ KOSKE LINKKEIHIN!

----------------------------------------KIRJE-------------------------------------



torstai 20. helmikuuta 2025

PALVELUNTARJOAJIEN NIMISSÄ - ANSA

 Näitä saapuu eri palveluntarjoajien nimissä. Tässä tapauksessa kyseessä on ELISAn nimissä ratsastaminen. Tämäkin viritys paljatui välittömästi, koska sitä ei ole lähetetty ELISAsta.
Samoin vastaanottaja on kovasti merkillinen.

JOS olisin klikannut linkkiin (joka on kuvan alareunan ulkopuolella, sinisessä buttonissa ) olisin saapunut PANKKIKIRJAUTUMISEN näköiselle sivulle, josta pankkikirjautumiseni olisi kaapattu ja pankkitilini tyhjennetty. Siitä syystä tein virustarkistuksen ulkopuolisella ohjelmalla, ilman vaaraan antautumista. Norton Safe Web on analysoinut sivuston kaneolptrielikare. co... turvallisuus- ja tietoturvaongelmien osalta VAARALLISEKSI.

Sivu olisi voinut näyttää vaikkapa oman palveluntarjoajan kirjautumissivulta mutta konna uskoi olevansa ovela, koska voi nyt lähettää näitä ansojaan eri palveluntarjoajien nimissä, eikä tarvitse rakennella noita erinäköisiä ansasivuja suotta. 

Kuva tilanteesta on tämän kirjekuvan alapuolella.

--------------------------------------KIRJE--------------------------------------


TÄMÄ KUVA ALAPUOLELLA ON HUIJARIN VALMISTAMASTA ANSASIVUSTA