perjantai 11. toukokuuta 2018

STM virus

Alla olevassa "hoono soomi" e-mailissa on verkko-osoite joka päättyy ".stm" tiedostotunnukseen. Tästä tiedototyypistä on verkossa varoituksia. Esimerkiksi sivulla:
https://www.file.net/process/stm.exe.html varoitetaan tiedoston vaarallisuusasteeksi 60% eli EI kannata mennä avaamaan tiedostoa, jollei se ole 100% varmasti luotettavalta taholta saapunut.

Tämä STM tiedosto näyttäisi sijaitsevan BBC:n palvelimella ja on ilmeisesti ihan OK ja on mukana vain hujjarin rekvisiittauutisena jostakin lentokoneonnettomuudesta. Tämä e-mail on kuitenkin "spämmiohjelmalla" lähetetty hyvin usealle vastaanottajalle, eikä sikälikään ole luottamuksesi arvoinen. Kyseessä on tässä tapauksessa ilmeisimmin ID varkaus (henkilötietovarkaus) yritys tai sitten sinulta yritetään saada rahaa tuon olemattoman "miljoonatilin" rahansiirtökuluihin.


.

tiistai 1. toukokuuta 2018

FaceBook Groupeista saapuvan TILAUS-ansan kuvaus

Kiinnostuneille tiedoksi. IS on kertonut artikkelissaan hyvin havainnollisesti mitä tapahtuu jos klikkaat PRISMA-ansan linkkiä. Näitä saapuu mm. jonkin liittymäsi FB-groupin nimissä.

https://www.is.fi/digitoday/art-2000005560765.html

Lopputuloksena on jatkuva maksullinen tilaus palveluun, jota ei ole ja et ole suinkaan ollut tilaamassa ja samalla kirjautumistietojasi saatetaan edelleen väärinkäyttää muissa verkkorikoksissa. Tulos on sama useassa muussakin "tilausansassa", eli ÄLÄ TILAA MITÄÄN sähköpostissa saapuneen mainoksen tuotetta. JOS haluat nimeomaan tuon tuotteen, kirjaudu asianomaisen tuotteen virallisille sivuille, virallisen verkko-osoitteen kautta ja tarkista sieltä oikeat tiedot ja linkit joista todellinen tuotetilaus voidaan sitten tehdä turvallisesti, asiaankuluvasti suojatun verkkokaupan kautta.

Tällaisia vaarallisia tilausansoja on tullut sähköpostissa runsaasti. Tässä blogissa on niitä muutamia esitelty ja lisää on tulossa, koska aina löytyy joku varomaton "höynäytettävä" ja rikos kannattaa.
Houkuttimena saattaa olla muukin kuin "tilaus".

- erilaisia lahjakortteja
- tuotetilauksia
- lehtitilauksia
- arpajaisvoittoja
- pelisivustojen palkintoja
- erilaisten tilien perustamispyyntöjä
- ym. ym.


keskiviikko 18. huhtikuuta 2018

Tyypillinen "LASKU"-huijjausyritys

Saapui mielenkiintoinen LASKU-huijjauskirje (itse lasku on poistettu). Mielenkiintoiseksi sen tekee, että huijjari on selvittänyt a) kuka on yhdistyksemme  puheenjohtaja ja b) kuka rahastonhoitaja? PRH:n kautta sen tietysti saa selville ja muualtakin verkosta jos on runsasta kiinnostusta. Tässä tapauksessa rahastonhoitaja ei maksa laskuja, ja ei olisi tätäkään laskua hyväksynyt ilman perusteellista selvitystä, jota oli tekemässä ja lasku pysähtyi siihen. Kiire on yksi indikaattori, toinen on epämääräisyys ja kolmas; kannattaa katsoa s-postiosoitteita tarkkaan. Mistä kirje oikeasti on kotoisin. Emailin lähdekoodissa näkyy todelliset osoitteet jos päälepäin kaikki näyttää liian oikealta.

MUTTA näitä on ollut kirjeposteissa ja nyt siis myös e-maileina. Tämä e-mail tuli rahastonhoitajalle puheenjohtajan nimellä Puolasta. Näkyy e-mail osoitteen päätteessä.



Ja lahjarahaa pukkaa jälleen Googlestakin

Etelä-Koreasta, ilmaisositteesta saapuu Googlen lahjaviesti ansaliitteineen. Reply olisi menissa "zoho.com" ilmaisositteeseen. Liitteenä on jpg-tiedosto. Jos kirje on mennyt roskaposteihin, sinne tämä kirje kuuluu:
----------------VIESTI---------------

In this month of APRIL, Google Foundation wishes to commend you for being selected as a 
major customer. For more information on how to obtain your grant, kindly view the attached 
file for more details.

NB: This email was sent from a notification email address from the sponsors of Google 
Foundation. If this Notification Email Letter hits your JUNK/SPAM folder, simply 
move the email from your SPAM/JUNK folder to your INBOX for BETTER VIEWING and 
EASY ACCESSIBILITY.

Sincerely,
Jacquelline Fuller
Director Google Foundation
Website: http://google.org
18-04-2018
Powered by Google
-------------------------------
 
ÄLKÄÄ MISSÄÄN TAPAUKSESSA KOSKEKO LIITTEESEEN. Se on ansa kaikissa tapauksissa, vaikka JPG tiedostomuodon ei ole todettu voivan kantaa virusta, se ei todista vielä mitään ja joka tapauksessa se sisältää viestin, joka johtaa edelleen ansaan. Kirjeessä kysellään henkilötietojasi, eli se on tyypillinen ID-kalastus eli henkilötietovarkaus yritys.

FBI paljastaa todellisen karvansa

Sain "muka-sähköpostia" FBI:iltä jossa luvataan jälleen isoja rahoja ($2,500,000.00 US Dollar). Ikäväkseni tuo s-posti saapui ihan muualta. osoitteesta joka kuuluu käännöksen mukaan: "SICREA Meksikolle joka on NISSAN-autojen rahoittaja USA: ssa asuville Meksikolaisille, jotka haluavat ostaa AUTOn perheelleen Meksikossa" ELI siis meksikolaiselle autokaupan rahoittajalle, jonka palvelin on ilmeisesti hakkeroiotu.
ATM kortia taas tarvittaisiin ja varsinkin sen tietoja joita EI MISSÄÄN TAPAUKSESSA tule tällaisen kirjeen perusteella toimittaa yhtään minnekään.

Palutepostikin pitäisi lähettää Yandex palvelun osoitteeseen jonka taustoista kertoo Wikipedia mm. "Yandex N.V. is a multinational corporation specializing in Internet-related services and products. Although most of its assets are in Russia, the company is incorporated in the Netherlands due to irregularities in Russian law. It is the largest technology company in Russia and the largest search engine on the Internet in ..." Venäläiset ja FBI ei kuulosta kovinkaan vakuuttavalta yhdistelmältä - vai mitä tuumaatte - ja luultavasti FBI:llä on varaa käyttää omaa sähköpostipalveluaan? Edellinen "FBI:n" saman lainen e-maili tuli G-mail-osoitteella, että heikoissa kantimissa sielläkin ollaan.

keskiviikko 11. huhtikuuta 2018

Gloria Honkongista? Tuskimpa saat koskaan lehteä

Jälleen lehtitilausansa. Kaksi palvelinta sijaitsee Panamassa ja yksi Honkongissa.
En todellakaan koskisi tällaiseen tarjoukseen. Tässä on kyse jälleen ID varkausyrityksestä tai lehtitilauksesta jonka maksat mutta et saa koskaan. Kuvan alla domannimielvityksiä.


Tuossa "Tilaa ja tutustu" -linkissä on Honkongiin vievä osoite. Lähettäjän domannimi löytyy Panamasta, kuten myös "reply" eli postin vastausosoite. Kaikkien domannimien omistajat on piiloitettu domainrekistereissä ja kaikki nimet ovat peräisin domain-"halpakaupasta".
Honkongilainen osoite on tällä hetkellä 3kk ikäinen, eli sitä ei ole ehditty ilmiantaa spämmirekistereihin tai blokata pois verkosta.

Domain Name: HLOSEND.COM  (Isäntäkone on Honkongissa - nimen omistajasta ei ole tietoa)
   Registry Domain ID: 2217603502_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.namecheap.com
   Registrar URL: http://www.namecheap.com
   Updated Date: 2018-01-23T23:23:20Z
   Creation Date: 2018-01-23T23:23:19Z
   Registry Expiry Date: 2019-01-23T23:23:19Z
   Registrar: NameCheap Inc.
   Registrar IANA ID: 1068
   Registrar Abuse Contact Email: abuse@namecheap.com
   Registrar Abuse Contact Phone: +1.6613102107
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: DNS1.REGISTRAR-SERVERS.COM
   Name Server: DNS2.REGISTRAR-SERVERS.COM
   DNSSEC: unsigned


Reply osoite: CUBSEND.INFO on rekisteröity myös halpiksesta (namecheap) omistajanimet piiloitettu. Hankittu syyskuussa 2017 yhdeksi vuodeksi.

Domain Name: CUBSEND.INFO
Registry Domain ID: D503300000045301887-LRMS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: www.namecheap.com
Updated Date: 2017-11-07T20:30:42Z
Creation Date: 2017-09-07T22:31:17Z
Registry Expiry Date: 2018-09-07T22:31:17Z
Registrar Registration Expiration Date:
Registrar: NameCheap, Inc
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107Registry Admin ID: C208683418-LRMS

Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: 586587f2c2a94645bf1590e72600cbcd.protect@whoisguard.com

Lähettäjän postiosoite ABROSEND.INFO on myös Panamasta ja omistaja tuntematon.
Hankittu samoin syyskuussa 2017 yhdeksi vuodeksi.

omain Name: ABROSEND.INFO
Registry Domain ID: D503300000045275893-LRMS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: www.namecheap.com
Updated Date: 2017-11-05T20:30:50Z
Creation Date: 2017-09-05T21:44:14Z
Registry Expiry Date: 2018-09-05T21:44:14Z
Registrar Registration Expiration Date:
Registrar: NameCheap, Inc
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107

Registry Admin ID: C208599737-LRMS
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: a2d4dfbb786a46b1939ba8c9abdb652c.protect@whoisguard.com
Registry Tech ID: C208599736-LRMS

maanantai 9. huhtikuuta 2018

JOS jonkun FaceBook tili on hakkeroitu, kannattaa käydä lukemassa ohje hakkerin ulosheittämiseksi sivulta: https://www.facebook.com/notes/verkonvaarat-sivuston-tukiryhm%C3%A4/prismaviestien-poisto-ohje/1269274153205088/

Tilin hakkerointi ilmenee spämmiposteina sinun nimissäsi (sinun profiilillasi) eri FaceBook palstoille. Yleensä FaceBook Groupit ovat olleet näiden spämminlevittäjien riesana ja viattomia profiilin omistajia on jouduttu erottamaan groupeista profiilin saastumisen vuoksi.
 

FaceBook Grouppien ylläpiäjien tulee olla tarkkoina uusien jäsenpyyntöjen suhteen. Kannattaa tehdä muutamia turvakysymyksiä, joilla paljastuu, onko kyseessä todellinen profiilin omistaja.

Myös FaceBook kaveriutta tyrkyttäviä "henkilöitä" kannattaa testailla kysymyksin, mikäli profiili näyttää yhtään epäilyttävältä. Paras turva on, että vältät hyväksymästä yhtään tuntematonta kaveria.

torstai 5. huhtikuuta 2018

Panamalaiset lehtitilausansat jatkuvat

Tämän e-mailin lähettäjä ei ole ET lehti eikä mikään suomalainen kustantaja. Tämä on ansa. Tarjous on kopioitu lehden mainonnasta ja jokainen linkki vie panamalaiselle palvelimelle. JOS ja KUN lehtitilauksesi ei ala kuulua, voit sanoa rahoillesi hyvästit ja yhteystietojasi tullaan luultavimmin käyttämään seuraavaan verkkorikokseen. ÄLÄ koske linkkeihin.
Tilaa lehtesi vain lehtitalojen omilta sivuilta, ei e-mail tarjouksien kautta. Nämä ovat ansoja.

Kuvan alla on tiedot tämän huijjarin käyttämästä domannimestä ja sen tiedot eivät ole imartelevia.




Ensinnäkin domannimi on reksiteröity halpiskaupassa (namecheap.com), sen käyttöä ei kontrolloida mitenkään. Sen sähköpostisoitteet on piiloitettu "WhoisGuard Protected" takoittaa todellisen nimen peittämistä. Sen omistajan nimi ja osoite on piiloitettu. Kotimaa on Panama ja ainoa osoite on Post BOX eli käytännöllisesti katsoen osoite on tuntematon. Puhelinnumerot osoittavat Panamaan ja Peruun. En kuitenkaan kehoita soittamaan niihin, enkä kehoita olemaan missään teemisissä tämän toimijan kanssa. Tuo domannimen omistajan peittäminen oli alunperin tarkoitettu spämmereitä varten MUTTA nyt sitä käyttävät nimenomaan spämmerit piiloittaakseen identitettinsä jotta eivät joudu rikoksistaan tilille.

Domain name: parkagency.net
Registry Domain ID: 2203943273_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com

Registrar Abuse Contact Email: removed email address
Registrar Abuse Contact Phone: removed phone number
Reseller: NAMECHEAP INC
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID:
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code:
Registrant Country: PA
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax: removed phone number
Registrant Fax Ext:
Registrant Email: removed email address
Registry Admin ID:
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: removed phone number
Admin Phone Ext:
Admin Fax: removed phone number
Admin Fax Ext:

keskiviikko 4. huhtikuuta 2018

Deittaus kirjeet ovat 99% ansoja

Olen näistä varoittanut useasti aiemminkin. Tämä oli vain uusi kuvio joka vaikutti mielenkiintoiselta sekavuudessaan.

Tyypillinen deittaus-ansa joka paljastuu jälleen linkkien peittely-yrityksenä.
Tutkin interwecs11.com domainin taustaa ja se oli rankattu verkossa viidelletoista eri mustalle listalle. Sinne linkki oikeasti sinut veisi.

Lähetysosoite "mailbomba.com" on domainsbyproxy.com:in taakse rekisteröity godaddy.com:issa reisteröity domannimi. Godaddy.com:ia on verkon halpisdomannimikauppias. mailbomba.com sivuille ei Google tai selain pääse. domainsbyproxy.com sivua käytetään domainnimien omistajien taustojen salaamiseen. Varsinainen scammeri-kopla.

https://datingscams.cc/search/celeste@interwebs11.com
The following e-mail celeste@interwebs11.com has been checked by our team . If you have become the victim of the scammers who used his e-mail address for contacting you and trying to get the finances from you, please, use the special facilities of our site in order to get ...

Vapaasti käännettynä Googlaustulos: seuraava e-mail  "celeste@interwebs11.com" on tiimimme tarkistama. Jos olet joutunut, tätä osoitetta käyttävän roskapostin uhriksi ja tämän s-postin käyttäjän kanssa johonkin liiketoiminnallisiin yrityksiin, käytä sivustomme erikoispalveluja...

(Mitä ne sitten lienevätkään, koska tälläkin sivustolla, selaimeni turvaluokitus, kielsi vierailemasta)
Godaady kertoo: Registrant Email: DATINGSCAMS.CC@domainsbyproxy.com eli omistaja ja omistajan sähköposti on salattu. Salaus yleensä viittaa hämärähommiin.Periaatteessa deittaus sähköposteihin ei kannata vastata, se on suosituin ansatyyppi.

perjantai 30. maaliskuuta 2018

BIT.LY linkit ovat yleensä vaarallisia

Älkää missään nimessä koskeko e-maileihin joissa linkki vie "bit.ly" osoitteeseen. Se tarkoittaa, että määränpää on tuntematon. Ketään ei sieltä vastuuseen saada ja linkin päästä voi koneellesi tulla aivan mitä tahansa. Yleensä virus tai muu haittaohjelma. Kukaan rehellinen toimija ei tarvitse linkin kohteen salausta. Lähetysosoite ja reply-osoite saattaa olla tekaistu tai varastettu, vaikka se "näyttäisi" luotettavalta.