WhatsApp ansa yrittää edelleen

Sain ikäänkuin WhatsApp viestimuistutuksen. Tutkin viestin linkkitiedot ja viitattujen domainien rekisteritiedot. Domain (hztaoxian.com) jonne linkki vie (ei siis suinkaan vie whatsapp.com:iin), on alunperin lakkautettu ja otettu uudelleen käyttöön vuoden 2017 alusta. Olin juuri ollut yhteydessä pitkään ulkomailla olevaan kaveriin ja oletin, että hän saattaisi lähettää äänitervehdyksen (tosin pituus ei ollut ihan relevantti, 05 sec joka sinänsä sai jo epäilemään asiaa). Tutkin domannimen taustoja ja missään domain rekisteritiedossa tai spämmi palstoilla ei ollut varoituksia tuon domannimen takana olevasta sisällöstä joten uskaltauduin katsomaan mitä siellä mahdollisesti olisi. JA OLIHAN SIELLÄ!

Jos sinulle saapuu tällainen viesti WhatsApp:n nimissä, älä koske linkkeihin.
Tämän e-mailin linkit vievät Honkongilaiselle palvelimelle jolla vaikuttaisi olevan aikuisviihdettä (ei siis WhatsApp viestiä) JA jokainen klikkaus sivulla saattaa tuoda koneellesi haittaohjelman. Sivu pyytää mm. sinua kuittaamaan sivulta poistumisen - ÄLÄ kuitenkaan tee sitä, vaan sammuta vaikka selain ennemmin.  Sama pätee muihinkin vastaaviin spämmiposteista linkattuihin sivuihin, kuten olen jo aiemmin usein varoittanut. Linkitetyllä sisällöllä ohitetaan virussuodattimet ja ansa on viritetty.

Varoitin WhatsApp viesteistä aiemmin vuonna 2016: http://vaarallinenweb.blogspot.fi/2016/01/whatsapp-virus-liikkui-sahkoposteissa.html
Sekä vuonna 2014: http://vaarallinenweb.blogspot.fi/2014/03/videoansa.html

Onko Mickrosoft sulkenut G-mail tilisi?

Tässä e-mailissa on jo lähtökohtaisesti ristiriitaista tietoa ollakseen rehellisellä asialla. Puhutaan Microsoft tilin suojauksesta, annetaan osoite Outlook tilin suuntaan ja kerrotaan, että gmail tili on suljettu. Eihän siinä ole päätä eikä häntää. G-mail on Googlen tili. Sitäpaitsi, viesti on tullut sille "suljetulle" gmail tilille joten se EI voi olla suljettu.

Googlen neuvontapalsta varoittaa vastaavista ID varkausyrityksistä. ELI älä anna mitään tilitietojasi tai salasanaasi ja äläkä missään tapauksessa "uusi" tiliäsi tällaisen e-mailin linkkien kautta, tai vastaa tällaisen sähköpostin replynä tai klikkaa siihen linkattuun sivuun tai anna henkilötietojasi vastaavien e-mailissa olevien linkkien kautta. JOS tilisi ei todellakaan toimi, mene Mickrosoftin tai Googlen tai minkä muun palveluntarjoajan tahansa, omille virallisisille sivuille virallisen osoitteen kautta. Näiden rosvo-e-mailien linkit saattavat viedä minne tahansa hakkeroiduille palvelimille, vastoin e-mailiin näkyviin kirjoitettua linkkiosoitetta. Näkemäsi osoite ei siis välttämättä pidä paikkaansa.

Googlen varoituskeskustelu tästä aiheesta löytyy osoitteesta:
https://productforums.google.com/forum/#!topic/gmail/lozUytY2U30

 

(Kiitos Heidille näistä kuvista)

Puolastako saapuisi minulle YK:n palkkio?

Tämä e-mail spämmi on monin tavoin epäilyttävä. Ensinnäkään en ole missään tekemisissä YK:n kanssa, saati että olisin saamassa heiltä mitään. Kirje on lähetetty ilmeisen varastetulla osoitteella ...@fajarplastic.com (miksi YK lähettäisi mitään sellaisesta osoitteesta?). Vastaus pitäisi lähettää epämääräiseen ilmaispostiosoitteeseen Puolaan. Postiohjelmakin pitää viestiä spammina.

Tähän ansaan saattaisi langeta henkilö jolla todella on jotain tekemistä YK:n kanssa.
 Joka tapauksessa näitä henkilökohtaisia tietoja ei tule antaa tämän kirjeen lähettäjälle, koska tämä on törkeä ID varkaus- eli henkilötietovarkausyritys (phishing) eikä vastaanottaja ole missään tapauksessa YK.

WannaCry vielä kerran

Olen tällä palstalla varoittanut lukuisat kerrat avaamasta epäilyttäviä liitetiedostoja tai klikkaamasta linkkiä epämääräisessä sähköpostissa. Uskon vakituisten lukijoiden ymmärtäneen verkkorikollisuuden uhkan todellisuuden.
Olen myös varoittanut "virallisen tuntuisista" sähköpostiviesteistä (myös esimerkein) jotka näyttävät jonkun; poliisin, pankin, vakuutuslaitoksen, verottajan, postin, pikakuljetusfiman tai jopa oman palveluntarjoajan lähettämiltä. Asiasisältö usein kavaltaa rikollisen mutta missään tapauksessa kirjeeseen ei tule vastata "reply" (vastaa) tyyppisesti. JOS asia vaikuttaa oikealta, on syytä mennä asianomaisen toimijan omille verkkosivuille heidän oman virallisen verkko-osoitteensa kautta ja tarkistaa asian aitous tai jättää sinne tieto yhtyedenotosta ja yhteydenotossa vaadittu selvitys tai soittaa toimijan aitoon puhelinnumeroon (ei sähköpostissa oleviin numeroihin).

MISSÄÄN TAPAUKSESSA ei saa antaan verkon yli linkitettyyn henkilötietokyselyyn mitään merkittävää tietoa, kuten: osoite, henkilötunnus, tilinumero, pankkikorttitunnus, luottokorttinumeroa tai tunnuksia tai muutakaan tarkempaa henkilötietoa, koska niitä voidaan käyttää verkkorikollisuuteen mm. ostamalla tunnuksillasi verkko-ostoksia palveluista jotka eivät, läheskään aina, ole aivan ajantasalla verkkotutvallisuuden suhteen.

TÄRKEÄT TIEDOSTONNE on pidettävä aina varmennettuina. Joka tarkoittaa varmuuskopioita jotka eivät ole jatkuvassa yhteydessä tietokoneeseenne. 

TUNNUSTIETOJA (kirjautumistiedot eri palveluihin) ei kannata säilyttää myöskään tietokoneella tai matkapuhelimessakaan ilman kryptausta (salaus). Jos haluaa edelleen tehostaa tietoturvaa, tunnusparit on myös syytä varastoida eri paikoissa. Nykyään kirjautumistunnus on usein asetettu jo valmiiksi sähköpostiosoitteeksi joten yksi tietoturvan lisäämiseksi tarkoitettu vaihe on jo siten ohitettu. Tunnuksiin on syytä käyttää pitkiä salasanoja, numeroita ja kirjaimia yhdistelemällä ja jos erikoismerkit ovat mahdollisia, myös niitä hyödyntäen.

Onneen ei kannata myöskään luottaa verkkosurffailussa. Hankkikaa myös sellainen virustorjunta jonka saa asennetua vartioimaan  verkkokäyttäytymistänne eli se varottaa vaarallisiksi luokitelluista sivuita.

MUISTAKAA, että älypuhelin on aivan yhtä haavoittuvainen kuin tietokoneenne. Uuden sukupolven hakkerit keskittyvät nimenomaan niihin.

JOS et usko, että sähköposteissasi saattaa olla rikolliseen hyötyyn tähtääviä posteja, lue tämän palstan lukuisat esimerkkipostit. Osa on kaivettu virustorjunnan hylkääminä roskiksesta mutta osa on tullut perille myös normaaliin postilaatikkoon. Syy, että saan näitä runsaasti, johtuu sähköpostiosoitteitteni  leviämisen määrästä verkossa. Alunperin vuodesta 1995 alkaen, jolloin nykyisen kaltaista verkkorikolisuutta ei vielä oikeasti ollut olemassakaan.

Harakirikirje Honkongista

Tällaisen e-mailin perusteella ei businekseen ole mitään syytä ryhtyä tai lähettää edes paluupostiviestiä lähettäjälle.
Firman e-mailosoite osoittaa sen olevan Honkongista (huomaa ...yahoo.com.hk" jossa hk on maatunnus).

Domannimitiedustelu kertoo, että "com.hk" nimen omistajasta ei ole tietoja saatavissa ja domannimi on korkean riskin maasta ja varoitetaan myös domannimen omistajanimien peittelystä. Myös firma joka käyttäisi Yahoon ilmaista e-mailosoittetta ei voisi olla vakavasti otettava business partneri, sekään missään tapauksessa. Samoin e-mailin alkuosan numerokirjainyhdistelmä viittaa robottipostitukseen.
En myöskään soittaisi tai lähettäisi faxia osoitteessa oleviin numeroihin. Yksi tapa tahkota hyväuskoisilta rahaa on laskuttava automaattinen puhelinvastaaja tai puhelinpalvelu.

Ray-Ban ansa-spämmi

Jatkoa isojen brändinimien hyödyntämisessä ansapostituksessa.
Suhtautukaa aina epäilevästi vastaaviin tarjouksiin. Kun alennusprosentit huippubrändeissä ovat 70% - 90% sellainen ei voi olla totta, tuskimpa edes piraattituotteina. JA vaikka olisikin, lue kuvan alapuolelta edelleen e-mailin taustaa.

Tämän e-mailin linkit vievät domanosoitteeseen joka on rekisteröity venäläisellä sähköpostiosoitteella. Rekisteröinnyt firma olisi tietojen mukaan CN eli Kiinassa.
Google haku ei löydä domannimeä lainkaan ja suoralla linkillä en lähde tätä ansaa kokeilemaan. Suosittelen linkkien koskematta jättämistä myös muille uteliaille. Ray Banit voivat tulla kerrottua huomattavasti kalliimmiksi. Kaikki viittaa siihen, että sama huijjari olisi liikkeellä usealla hieman erilaisella brändituoteansalla.

---------domannimikyseyn tulos-------------------

Registry Registrant ID: Not Available From Registry
Registrant Name: Pengcheng Lee
Registrant Organization:
Registrant Street: Haitian Road 681
Registrant City: Zhoushan
Registrant State/Province: Zhejiang
Registrant Postal Code: 316021
Registrant Country: CN
Registrant Phone: +86.13235806539
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext: 
Tech Email:

3% LAINA phishing

Tällaiseen ansaan tuskin kukaan lankeaa mutta ihan mielenkiinnon vuoksi hieman analyysiä tästäkin.

Aiheena on:  "3% korko lainan"
E-mailin sisältö oli lyhyt, huonoa suomea ja ideana on saada mahdollinen asiakas ottamaan yhteyttä.

"Tarvitsetko lainaa? jos kyllä ota yhteyttä lisätietoj"



Lähettäjänä on "MR JOHANN ROGERS" ja ihan Firmakin olisi,  ikäänkuin "Timo Ström" (tulkitsen osoitetta) wmu.edu eli Western Michigan Universityn postiosoitteella. Merkillinen lainakonttori kerrassaan, tai edes sen markkinoija.
Reply menisi ilmaisosoitteeseen:   johannrogercoo@gmail.com
Eli ei siis todellinen firma vaan mahdollisesti rahan tai henkilötietojen kalastaja.

Subject: 3% korko lainan
To: ME <timostrom@wmu.edu>
From: "MR JOHANN ROGERS FIRM"<timostrom@wmu.edu>
Date: Thu, 13 Apr 2017 17:34:52 +0530
Reply-To: johannrogercoo@gmail.com

Western Michigan University kertoo varoituksia vastaavan laisista roskaposteista joita on tehty WMU:n nimissä ja sen henkilökunnan nimissä.
https://wmich.edu/phishing

Louis Vutton ansa

Isojen muoti-brändien nimillä jatketaan spämmäystä ja varomattomien rahastusta.
Nyt on tarjolla Louis Vuttonia 70-90% alennuksella. Hah, hah.

Näihinkään linkkeihin ei ole syytä koskea. EI myöskään kannata lähettää "reply" eli palautus sähköpostia. Kaikissa tapauksissa asetat koneesi ja taloutesi vaaraan.
Tämä on varmasti edellisen spämmääjän toinen yritys saada merkkituotteista kiinnostuneita naisihmisiä lankaan. Tällaiset toistuvasti samantyyppiset sähköpostit paljastavat myös epärehellisellä asialla olevan spämmerin.

Epämääräisellä sähköpostiosoitteella ei kukaan rehellinen toimija liiku.

Lääkkeitä kiristysohjelmia vastaan

Jos olet saanut viruksena koneellesi "kiristysohjelman" (SO ohjelman joka "kryptaa" kaikki tiedostosi siten, että et saa niitä enää itse auki), on mahdollista, että selviät tietojen kadottamisen uhkasta muullakin kuin maksamalla kiristäjälle. Verkkosivustolta "No More Ransom" löytyy ohjeita ja ohjelmia, sekä avainkoodeja kryptattujen tiedostojen palauttamiseksi.

Sivu löytyy osoitteesta:
https://www.nomoreransom.org/

Michael Kors - ansa

Isoilla Brändeillä kalastellan hyväuskoisia.
Tämän myyntifirman taustat on piiloitettu Bit.ly linkkienlyhennyspalvelun taakse, joka on sinänsä jo varoitusmerkki. Kuka rehellinen yrittäjä haluaa peittää osoitteensa joka sinänsä on osa yritysbrändiä verkossa? No onhan niitäkin ymmärtämättömiä mutta... Bit.ly osoitteista on varoituksia verkossa.
Toinen varoitusmerkki on 70% alennus Kors brändin tuotteista. Tuskin olisivat ainakaan aitoja ja todennäköisesti et tule tavaraa sieltä saamaan. Rahasi heille kelpaavat kyllä.
En missään tapauksessa asioisi tällaisen firman kanssa. Suurin pelko on tuon salatun linkkiosoitteen takana olevat mahdolliset haittaohjelmatiedostot. Mitään takeita ei ole, mitä linkeistä koneellesi tulee ja ketään et saa vastuuseen seuraamuksista. E-mail näyttää luultavasti erilaiselta sinun selaimessasi, mutta sisältö on sama. Jokainen linkki piilottaa itse firman. Lähetysosoitekaan ei kerro yhtään mitään lähettäjästä, aihekenttäkin on jätetty tyhjäksi. Kaikki nämä ovat vaaran merkkejä.
Lisää vaaraalisen postin merkkejä saapui tänään (10.4.17), Eli saman sisältöinen e-mail eri osoitteesta jonka linkkien domannimen on rekisteröinnyt kiinalainen henkilö venäläisellä sähköpostiosoitteella. Ei herätä suunnatonta luottamusta tämäkään posti.