maanantai 19. maaliskuuta 2018
Venäläistä FaceBook rulettia
Sain tällaisen sähköpostin jo aikaa sitten mutta hyvänä esimerkkinä, yhdestä huijjausmuodosta FaceBookissa, tämä käy. En ole koskaan ollut missään tekemisissä tämän "profiilin" sivun tai sen omistajan kanssa ja JOS profiili olisi ollut "suomalainen henkilö" (ikäänkuin) olisi ansa saattanut olla toimivampikin. Spämmeri ei siis ollut kovinkaan nokkela tässä tapauksessa. JA missään tapauksessa ei yhteenkään linkkiin tule koskea. Ei edes noihin tykkäys yms. buttoneihin.
torstai 15. maaliskuuta 2018
DHL spämmejä jällen liikkeellä
Jos saat DHL:n tai minkä tahansa postipalvelun e-mailin jossa on liite, tarkista miten se on lähetetty.
Tässä tapauksessa, tämä kirje on spämmi ja liite on luultavimmin virus tai muu haittaohjelma. ZIP tiedosto voi sisältää mitä tahansa, myös ohjelman.
Kirje paljastuu spämmiksi tuosta useammalle vastaanottajalle menneestä lähetyksestä "undisclosed recipients", eli siis spämmi. Lähetys näyttää olevan lähetetty DHL:n palvelimelta mutta tuo lähetysosoite ei takaa mitään.
Aikaisempi 10.8.2016 saapunut DHL ansa oli tähän verrattuna kömpelö ja paljastui heti lähettäjän g-mail osoitteesta. http://vaarallinenweb.blogspot.fi/2016/08/dhl-liite-sisaltaa-viruksen.html?view=sidebar
Tässä tapauksessa, tämä kirje on spämmi ja liite on luultavimmin virus tai muu haittaohjelma. ZIP tiedosto voi sisältää mitä tahansa, myös ohjelman.
Aikaisempi 10.8.2016 saapunut DHL ansa oli tähän verrattuna kömpelö ja paljastui heti lähettäjän g-mail osoitteesta. http://vaarallinenweb.blogspot.fi/2016/08/dhl-liite-sisaltaa-viruksen.html?view=sidebar
lauantai 3. maaliskuuta 2018
Miten estän roskapostin pysyvästä osoitteesta
Kaikki onmicrosoft.com lähettämät sähköpostit joissa on pysyvä osoitteen muu osa, on helppo suodatta pois sähköpostiohjelmassa.
Tämä coudfront.net:n spämmäyskampanja on vertaansa vailla laajuudessaan. Aihe vaihtelee mutta sylttytehdas on aina sama ja vastaanottajalle mahdollisesti tuotetut vahingot myös.
Koska lähettäjän osoite säilyy samana, roskaposti on helppo ohjata roskikseen (tai deletoida) sähköpostiselaimessa.
Esimerkiksi ThunderBird selaimessa (kaikissa selaimissa on vastaavat asetukset - suomennetut tekstit saattavat olla erilaiset mutta merkitys säilyy):
1) Valitse valikosta "Tools" (työkalut) seuraava kohta
2) "Message Filters" (Sähköpostisuotimet)
3) Nimeä suodatin vaikkapa "CloudFront"
4) valitse painike "Match all of the following" (kohdistuu kaikkeen seuraavaan)
5) valitse "Getting New Mail" (saapuva sähköposti)
6) valitse "From"
7) valitse "Is" (on)
8) kopioi kenttään tuo haitallinen lähettäjän sähköpostiosoite. Tässä tapauksessa:
quiz@specialsurveys.onmicrosoft.com
9) Valitse "Move Message to" (siirrä viesti)
10) "Junk" (roskakori) tai edellisestä kohdasta "Delete" (poista)
Voit testata heti suodattimesi toiminnan. SUlje viimeisin ikkuna ja klikkaa "Message Filters" (Viestisuotimet) ikkunassa "Run" (Aja tai käynnistä).
Tämä kirje tulee spämmirobotilta ja sen linkkeihin EI SAA KOSKEA.
Tämä coudfront.net:n spämmäyskampanja on vertaansa vailla laajuudessaan. Aihe vaihtelee mutta sylttytehdas on aina sama ja vastaanottajalle mahdollisesti tuotetut vahingot myös.
Koska lähettäjän osoite säilyy samana, roskaposti on helppo ohjata roskikseen (tai deletoida) sähköpostiselaimessa.
Esimerkiksi ThunderBird selaimessa (kaikissa selaimissa on vastaavat asetukset - suomennetut tekstit saattavat olla erilaiset mutta merkitys säilyy):
1) Valitse valikosta "Tools" (työkalut) seuraava kohta
2) "Message Filters" (Sähköpostisuotimet)
3) Nimeä suodatin vaikkapa "CloudFront"
4) valitse painike "Match all of the following" (kohdistuu kaikkeen seuraavaan)
5) valitse "Getting New Mail" (saapuva sähköposti)
6) valitse "From"
7) valitse "Is" (on)
8) kopioi kenttään tuo haitallinen lähettäjän sähköpostiosoite. Tässä tapauksessa:
quiz@specialsurveys.onmicrosoft.com
9) Valitse "Move Message to" (siirrä viesti)
10) "Junk" (roskakori) tai edellisestä kohdasta "Delete" (poista)
Voit testata heti suodattimesi toiminnan. SUlje viimeisin ikkuna ja klikkaa "Message Filters" (Viestisuotimet) ikkunassa "Run" (Aja tai käynnistä).
Tämä kirje tulee spämmirobotilta ja sen linkkeihin EI SAA KOSKEA.
keskiviikko 28. helmikuuta 2018
Cloudfront.net palvelimesta lisätietoa
cloudfront.net palvelimelle viittaavista linkeistä olen varoittanut useammankin kerran.
Amazon on sulkenut palvelimen mutta näitä roskaposteja he eivät voi lopettaa joten ne on vain heitettävä roskikseen, tai pyrittävä suodattamaan roskaposteiksi. Spämmeri vaihtaa varmasti jossain vaiheessa linkkipalvelinta ja SIKSI muistakaa, että tämän tyyppisen mainonnan kanssa ei koskaa ole liian varovainen. "onmicrosoft.com" lähettäjäosoite on aina kyseenalainen.
Peliriippuvaiset ovat yksi erittäin suosittu kohde tällaisille hyökkäyksille. Karamba.com on verkkokasino MUTTA jos tuo "cloudfront.net" olisi ollut tominnassa, "Karamba.com" linkki ei suinkaan olisi vienyt sinua Karambaan, vaan ihan muualle kynittäväksi.
Tämän kirjeen lähettänyt robotti ei ole onnistunut asettamaan nimeäni kohtaan "[FirstName]" kuten sen olisi ilmeisimmin pitänyt. Eli huonosti menee hakkerillakin. Virukset eivät ole tästä maailmasta, eli totta puhuu tämä spämmi-anonssi.
Amazon on sulkenut palvelimen mutta näitä roskaposteja he eivät voi lopettaa joten ne on vain heitettävä roskikseen, tai pyrittävä suodattamaan roskaposteiksi. Spämmeri vaihtaa varmasti jossain vaiheessa linkkipalvelinta ja SIKSI muistakaa, että tämän tyyppisen mainonnan kanssa ei koskaa ole liian varovainen. "onmicrosoft.com" lähettäjäosoite on aina kyseenalainen.
Peliriippuvaiset ovat yksi erittäin suosittu kohde tällaisille hyökkäyksille. Karamba.com on verkkokasino MUTTA jos tuo "cloudfront.net" olisi ollut tominnassa, "Karamba.com" linkki ei suinkaan olisi vienyt sinua Karambaan, vaan ihan muualle kynittäväksi.
Tämän kirjeen lähettänyt robotti ei ole onnistunut asettamaan nimeäni kohtaan "[FirstName]" kuten sen olisi ilmeisimmin pitänyt. Eli huonosti menee hakkerillakin. Virukset eivät ole tästä maailmasta, eli totta puhuu tämä spämmi-anonssi.
Käyttääkö FBI G-mailia?
Tämä on jälleen puhdas ID-varkausyritys.
Varastetun lähettäjän domainnimen omistaa: Maxrotec is the only supplier of wireless gantry robot in Korea. MAXROTEC. Company Name : Maxrotec Co., Ltd.
Sivusto on myös luokiteltu verkossa vaaralliseksi. Luultavasti juuri siksi, että se on hakkeroitu.
Jos postin aihe on "Re", sen olisi pitänyt lähteä ensin sinulta ja asiallinen toimija kirjoittaa myös todellisen aiheen kirjeeseensä, eikä jätä kenttää tyhjäksi.
maanantai 26. helmikuuta 2018
Voiko PNG tiedosto sisältää viruksen?
Onko PNG-virus mahdollinen? Sitä on pohdittu eri verkkosivuilla ja ainakin yhdessä tapauksessa sen on todettu voivan sisältää viruksen. Lue koko sivu loppuun ajatuksella.
Sain tänään tyhjän sähköpostin jonka liitteenä oli PNG - tiedosto. PNG on kuvatiedosto jonka ei pitäisi olla vaarallinen. Kuva oli kilotavuiltaan pieni, eli ei pitäisi voida sisältää koodia. MUTTA.
ÄLÄ sinäkään missään tapauksessa luota onneesi virusten kanssa, vaan heitä tällaiset epämääräiset kirjeet roskiin ja tyhjennä roskis.
Minun kirjeeni saapui venäjältä ja se pyydettiin kierrättäämään epämääräiseen g-mail osoitteeseen. En tietenkään tehnyt niin.
"Brasilialaisen" PNG-viruksen toimintatavasta kertoo venäläinen verkkosivu: https://securelist.com/png-embedded-malicious-payload-hidden-in-a-png-file/74297/
Vapaa käännös SecureListin (Kaspersky Lab) tekstistä joka on sinänsä täyttä asiaa:
Brasilian virushyökkäykset kehittyvät päivittäin, yhä monimutkaisemmiksi ja tehokkaammiksi. On syytä olla varovainen tuntemattomista lähteistä peräisin olevien sähköpostien suhteen, erityisesti on varottava niiden linkkejä ja liitteitä sisältäviä tiedostoja.
Koska PNG-tiedostoon upotettuja haittaohjelmia ei voida suorittaa ilman sitä suorittavaa ohjelmaa, sitä ei voida käyttää tärkeänä saastuttajakomponenttina joka toimitetaan postilaatikkoosi, joten viruksen toimeenpaneva ohjelma on asennettava erikseen (siitä syystä kenties tuo kiertokirje jonka paluupostissa saattaisi saapua tuo toinen viruskomponentti, tai sitten ihan muuta kautta).
Tämä tekniikka mahdollistaa rikollisten piilottaman binaarikoodin tiedoston sisälle, joka näyttää olevan PNG-kuva. Se myös tekee virusanalyysimenetelmistä vaikeampia ja ohittaa automaattisen prosessin, haittaohjelmien havaitsemiseksi isäntäpalvelimilla.
-----------------loppusanat--------------------
Mielenkiintoista tässä myös on, että tämä Kaspersky Labin sivu tulee Googlauksessa ensimmäisenä ja Kaspersky Lab toimittaa virustorjuntaohjelmia jotka kuulemma estävät tämän PNG hyökkäyksen.
En uskaltaisi ladata tuota Kasperskyn ohjelmaa koneelleni ihan vaan syvistä ennakkoluulosyistä. Sehän saattaa olla juuri SE viruksen laukaiseva ohjelmakomponentti?
Verkossa kaikki on mahdollista :)
Verkkolehti WIRED kertoo tarinaa Kasperskysta. Näissä asioissa kannattaa luottaa omaan terveeseen järkeen, ei propagandaan: https://www.wired.com/story/kaspersky-russia-antivirus/
Sain tänään tyhjän sähköpostin jonka liitteenä oli PNG - tiedosto. PNG on kuvatiedosto jonka ei pitäisi olla vaarallinen. Kuva oli kilotavuiltaan pieni, eli ei pitäisi voida sisältää koodia. MUTTA.
ÄLÄ sinäkään missään tapauksessa luota onneesi virusten kanssa, vaan heitä tällaiset epämääräiset kirjeet roskiin ja tyhjennä roskis.
Minun kirjeeni saapui venäjältä ja se pyydettiin kierrättäämään epämääräiseen g-mail osoitteeseen. En tietenkään tehnyt niin.
"Brasilialaisen" PNG-viruksen toimintatavasta kertoo venäläinen verkkosivu: https://securelist.com/png-embedded-malicious-payload-hidden-in-a-png-file/74297/
Vapaa käännös SecureListin (Kaspersky Lab) tekstistä joka on sinänsä täyttä asiaa:
Brasilian virushyökkäykset kehittyvät päivittäin, yhä monimutkaisemmiksi ja tehokkaammiksi. On syytä olla varovainen tuntemattomista lähteistä peräisin olevien sähköpostien suhteen, erityisesti on varottava niiden linkkejä ja liitteitä sisältäviä tiedostoja.
Koska PNG-tiedostoon upotettuja haittaohjelmia ei voida suorittaa ilman sitä suorittavaa ohjelmaa, sitä ei voida käyttää tärkeänä saastuttajakomponenttina joka toimitetaan postilaatikkoosi, joten viruksen toimeenpaneva ohjelma on asennettava erikseen (siitä syystä kenties tuo kiertokirje jonka paluupostissa saattaisi saapua tuo toinen viruskomponentti, tai sitten ihan muuta kautta).
Tämä tekniikka mahdollistaa rikollisten piilottaman binaarikoodin tiedoston sisälle, joka näyttää olevan PNG-kuva. Se myös tekee virusanalyysimenetelmistä vaikeampia ja ohittaa automaattisen prosessin, haittaohjelmien havaitsemiseksi isäntäpalvelimilla.
-----------------loppusanat--------------------
Mielenkiintoista tässä myös on, että tämä Kaspersky Labin sivu tulee Googlauksessa ensimmäisenä ja Kaspersky Lab toimittaa virustorjuntaohjelmia jotka kuulemma estävät tämän PNG hyökkäyksen.
En uskaltaisi ladata tuota Kasperskyn ohjelmaa koneelleni ihan vaan syvistä ennakkoluulosyistä. Sehän saattaa olla juuri SE viruksen laukaiseva ohjelmakomponentti?
Verkossa kaikki on mahdollista :)
Verkkolehti WIRED kertoo tarinaa Kasperskysta. Näissä asioissa kannattaa luottaa omaan terveeseen järkeen, ei propagandaan: https://www.wired.com/story/kaspersky-russia-antivirus/
lauantai 24. helmikuuta 2018
Finnairin lahjakortti on henkilötietokalastus
Tämä on vanhan spämmerilähteen tuottama ID kalastusansa. Henkilötietosi urkitaan ja käytetään rikolliseen toimintaan. Lähettäjänä on jälleen "onmicrosoft.com" domain josta on verkkosivuilla varoituksia. "specialsurveys" on hämäystarkoituksissa luotu alidomain ja linkit vievät vanhalle tutulle huijaaripalvelimelle "cloudfront.net". Tällainen e-mail on syytä siirtää tai jättää roskikseen siihen koskematta. EI edes tuota postituskieltolinkkiä tule koskea. Se on se vihoviimeisin ansa näissä roskaposteissa.
Tilaa:
Blogitekstit (Atom)