PayPal käyttää epämääräistä osoitetta

PayPal käyttää itse sellaista osoitetta tiedotuksissaan, jota voisi epäillä verkkorikollisten rakennelmaksi. Linkissä, joita kirjeeessä on, lukee domannimen kohdalla "epl.paypal-communication.com". Linkin kautta saapuu ihan viralliseen "paypal.com" osoitteeseen. MIKSI PayPal ei sitten käytä suoraan virallista osoitettaan vaan käyttää merkillistä domannimeä joista se tietokalastelusta varoittavalla sivullaan nimenomaan varottaa?  Päyristyttävää logiikkaa.
Olen jo aikasemmin kiinnittänyt tähän omalaatuisuuteen huomiota ja ilmoittanut PayPalille mutta asia ei näytä korjaantuvan. https://vaarallinenweb.blogspot.com/2018/03/onko-paypalin-eplpaypal.html

-----------------------------------PayPalin varoitussivu-----------------------------------

Tietojen kalastelun tunnistaminen

Mitä on tietojen kalastelu?

Tietojen kalastelu (phishing) on yksi verkkohuijausten muoto, jolla henkilöllisyytesi yritetään varastaa yleensä taloudellista hyötyä varten.

Tietojen kalastelulla sinut yritetään petollisesti saada paljastamaan arkaluontoisia tietojasi, kuten luotto- ja pankkikorttien numeroita, salasanoja tai pankkitilien tietoja.

Eräs yleisimmistä tietojen kalastelutavoista on lähettää huijaussähköposti, joka näyttää tulevan luotettavalta yritykseltä tai tuotemerkiltä. Tämä sähköposti ohjaa sinut tunnetun verkkosivuston väärennettyyn versioon, joka tallentaa antamasi tiedot, esimerkiksi salasanan ja taloudelliset tiedot.

PayPal on sitoutunut auttamaan näiden sivustojen sulkemisessa ja varmistamaan, että havaitset tietojen kalastelun välittömästi. Meidän tehtävämme on suojata henkilöllisyytesi mahdollisimman hyvin verkossa.

Zekistä kirjoittelee Malissa toimiva kersantti?

En lähtisi mukaan keskusteluun tällaiseen kirjeeseen mistään hinnasta. Se saattaa tulla kalliiksi.

-------------------KIRJE------------------

Hello,I am Sgt. Anita Weber of the US Marines stationed in Northern 
Mali. I seek an urgent help which will be benefitial to you too,please 
contact me through ( anitaweber.marine@gmail.com ) so that i can open up 
to you. Thanks in advance.
Sgt. Anita Weber
------------------------------

Kirje on lähtenyt Zekistä:
From: "Sgt. Anita Weber" <info@optikkrouman.cz>
Ja vastata pitäisi ilmaisosoitteeseen:
Mail-Reply-To: anitaweber.marine@gmail.com

Koskaan ei ole terveellistä, että nämä osoitteet ovat erilaiset ja varsinkaan,
jos vastaanottajan osoite on ilmaisosoite (esim. gmail). Se tarkoittaa: "Rahat pois ja pakoon".
Naisten nimet ansaposteissa ovat suosittuja, koska miehillä helposti, ainakin järki seisoo, kun nainen ottaa yhteyttä. Sotilasarvokaan ei haittaa. Kessu tosin ei ole paljon mikään.


DOMANNIMIKYSELY KERTOO AIVAN MUUTA KUIN LÄHETTÄJÄ
Lähettäjäosoite saattaa olla varastettu? Vain tosipöljä konna lähettelee anspostia omasta osoitteestaan.

domain: optikkrouman.cz

contact: SB:KROUMAN-CZ
name: Petr Krouman
address: Merhautova 77
address: Brno
address: 61300
address: CZ
registrar: REG-IGNUM
created: 27.05.2004 16:15:00
changed: 15.05.2018 21:32:00

contact: CEKIT-CZ-MARECEK
name: Martin Mareček
address: Královopolská 3052/139
address: Brno
address: 61200
address: CZ
registrar: REG-IGNUM
created: 02.01.2006 16:45:00
changed: 15.05.2018 21:32:00

nsset: NSS:CEKIT-CZ:1
nserver: ns2.cekit.net
nserver: ns.cekit.cz (83.167.234.126)
tech-c: SB:CEKIT-CZ
tech-c: CEKIT-CZ-MARECEK
registrar: REG-IGNUM
created: 01.10.2007 02:00:00
changed: 10.10.2009 18:05:34

contact: SB:CEKIT-CZ
org: čekit s.r.o.
name: čekit s.r.o.
address: Královopolská 3052/139
address: Brno
address: 61200
address: CZ
registrar: REG-IGNUM
created: 10.08.2001 22:13:00
changed: 15.05.2018 21:32:00

ANSALINKKI Google haussa

Google ei pysty takaamaan hakujen turvallisuutta. Se kerää haittasivuista ilmoituksia mutta niitähän tulee aina uusia kuin sieniä sateella.
Törmäsin juuri yhteen, hakutulosten joukkoon päätyneeseen haittasivuun joka ilmoitti palkinnosta ja pyysi osallistumaan - ikäänkuin - "FireFox käyttäjäkyselyyn". ÄLÄ osallistu. Siinä kerätään henkilötietoja. Kyselijä EI ole FireFox vaan hakkeri joka kerää henkilötietoja rikokselliseen toimintaan - ikäänkuin - palkinnon toimittamista varten. ÄLÄ anna tietojasi. Toisaalta mistä tahansa verkon linkistä saattaa putkahtaa koneellesi haittaohjelma. Jos tällaisen, epämääräisen sivuvierailun jälkeen, koneellesi ilmaantuu ikkuna, jossa pyydetään lupaa asentaa jokin apuohjelma joka on aivan välttämätön, tai -ikäänkuin- päivitys johonkin sinulla jo olevaan ohjelmaan. ÄLÄ hyväksy asennusta. Jos epäilet, että jokin ohjelmasi tarvitsee päivittämistä, mene asianomaisen ohjelmistotoimittajan omalle sivulle ja lataa ohjelma sieltä.


Palvelin, jolle linkki johti, on kyselyn mukaan erittäin "hämäräperäinen" omistukseltaan ja domainnimi sijaitsee tunnetulla, spämmereiden suosimalla ilmaissivustolla "cloudflare.com":

Domain name: junekesq.gq
Status: registered

Domain nameservers:
jocelyn.ns.cloudflare.com
seth.ns.cloudflare.com

Tuolta palvelinsivulta ponnahti seuraava ikkuna, vielä hämnäräperäisempään osoitteeseen:
http://sweeps0074.fromfunny28.live/6447262640/?u=4xfkaeg&o=8mrpkza&t=slayer&f=1

Domannimikysely tuotti yhtä laihan tuloksen ja nimi osoitti jälleen spämmereiden hyödyntämälle ilmaispalvelimelle "cloudflare.com":

% The following information is based on the Domain Name System (DNS)

Domain name: fromfunny28.live
Status: registered

Domain nameservers:
hans.ns.cloudflare.com
molly.ns.cloudflare.com

Rehellinen huijarisuurlähettiläs Turkista saapuu kylään

Silkkaa potaskaa koko kirje, mutta kertoo rehellisesti huijjaavansa sinulta
340 dollaria heti ja kiertelemättä.


--------------------------------KIRJE--------------------------------

Yildiz kule, yukari dikmen mahallesi,
Turan g?nes bulvari, no:106, 06550,41.31
?ankaya, ankara/turkey

Good news,

I  shall be coming to your country for an official meeting on Friday and
I will be bringing your funds of 1.2 million dollars along with me but this
Time i will not go  through customs because as an ambassador to turkey,i
Am a us government agent and i have the veto power to go through customs.
As soon as i am through with the meeting i shall then proceed to your
Address. (send your cell phone number and the address where you want me to
Bring the package) .you have really paid so much in this delivery that
Makes me wonder. You are a very lucky person because i shall be bringin
It myself and there is nothing anyone can do about it.your package (1.2
Million dollars) must be registered as an ambassadorial package for me to
Defeat all odds and the cost of registering it is $340 dollars the fee must
Be  paid in the next 50 hours via western union, money gram or bitcoin as 
the case maybe so that all necessary 
Arrangement can be made before time will be against us.
Send the fee via money gram payment information stated below:

Receiver's name: Zehra Zehra
Address: turkey
Amount: $340 dollars

As  soon as you send the fee make sure you send me the payment
Information.my flight is Friday and i expect you to comply before then so
That the delivery can be completed.if you do not comply, then it will no
Be my fault if you do not receive your package.

AmbassadorJeffrey m. Hovenier

--------------------------------------------

Kirje on lähetetty osoitteesta:

 From: "AmbassadorJeffrey m. Hovenier" <info@vanguardfoundation.com> 

Ja vastata pitäisi osoitteeseen:

 Reply-To: gmccabeandrew@gmail.com

Joka on ilmaisosoite. Ei kuulosta suurlähetystön touhuilta, kuten toki ei muutkaan kirjeeseen liittyvät seikat.

Business-ehdotus Kiinasta

Epämääräinen business-ehdotus, heikolla suomenkielellä, jota ei ole syytä ottaa vakavasti. Kyseessä on huijjaus jossa tarkoitus on saada onneton ansaan mennyt lähettämään rahaa olemattomiin siirtomaksuihin olemattomasta tilisiirrosta. Yhteys- ja pankkitietojesi luovuttaminen olisi myös vaarallista. Virusta ei toki kirjeessä ole mukana, ansa onkin ihan toisen lainen.

-------------------------------------KIRJE-------------------------------------

Hyvä päivä,

   Minulla on keskinäinen liiketoiminta-ehdotus, jossa viitataan keskinäisen kumppanin siirtämiseen ulkomaiselle tilille. Kaikki tästä tapahtumasta on laillista ilman kotimaassani ja omassa taloudellisessa asemassamme. Jos olet kiinnostunut ja annan lisää tietoa hankkeesta, kun saan myönteisen vastauksen.

Ystävällisin terveisin,

Pääjohtaja.
 
ICBC. Kiina

---
Dit e-mailbericht is gecontroleerd op virussen met Avast antivirussoftware.
https://www.avast.com/antivirus

--------------------------------------------------------

Kirjeen headerista poimittuna ihmetystä herättää myös lähettäjän osoite ja reply-osoitteen erilaisuudet.
Jos henkilö olisi oikealla asialla, kaikki osoitteet olisivat samat, eikä ilmaisosoitetta paluupostiin olisi tarvittu. Nyt vaikuttaa siltä, että "asia.com" domainin osoite olisi kaapattu spämmikäyttöön ja tuo "gmail.com" veisi sitten huijjarin tilille.

Subject: Tervehdys.
From: cfengchao@asia.com
Date: Sun, 10 Feb 2019 09:13:53 +0100
Reply-To: director.cfengchao@gmail.com 

Ja jälleen Googlen "palkintoansa" nyt kuvana

En oikein jaksa käsittää miten tällaiset kirjeet voivat saaada ketään enää ansaan MUTTA joka tapuksessa varoitus on paikallaan. Kaikki eivät kenties ole vielä näitä saaneet.
Tämä vastaa 1:1 Microsoftin "nimellä" tullutta ansapostia, nyt lähettäjänä on ikäänkuin "Google".
Palkintoa on taas tulossa.
Tämän kirjeen asiasisältö on spämmisuodattimia välttääkseen, kirjoitettu GIF kuvana.

Kirje on tullut Koreasta (xxxxx@hanex.co.kr)  ja vastaus olisi menossa jälleen venäläiselle Yandex palvelimelle (xxxxxxxxx@yandex.com). Joka tarkoittaa, että tällä kirjeellä ei ole mitään tekemistä Googlen kanssa. Tällä kirjeellä kerätään jälleen henkilötietoja, eli on tyypillinen phishing ansa.

--------------------KIRJE-----------------------

Dear Email User,

 

You are one of the lucky winners of Google for a total sum on 950,000.00 GBP, view affixed for further details to claim.

 

Google Team
----------------------------------------------------

 Liitteenä on tämä varsinainen kirje kuvana:

Uusi tapa huijata sähköpostitilin "toimimattomuudella"

ÄLKÄÄ menkö lankaan. Ainuttakaan viestiänne ei ole ainakaan tämän e-mailin johdosta jäänyt tulematta. Poistin linkin vahinkojen välttämiseksi. Se EI olisi vienyt Elisalle lainkaan, vaan "forms.office.com" palvelimelle jossa olisi odottanut tietokkalastuslomake. Henkilötietoja kalastetaan jatkuvasti rikollisiin tarkoituklsiin, Mm. sähköpostitilien anastukseen ja käyttöön roskapostitukseen, kuten tämä kirje. ÄLÄ täytä ainuttakaan lomaketta, josssa on pienikin vaara olla väärennetty vastaanottaja. Vain todellisten verkko-osoitteiden kautta ja todellisten toimijoiden palvelimilla voit yleensä luottaa henkilötietojesi säilymisen oikeissa käsissä, turvassa ja tarkoituksessa.

--------------------------------------E-MAIL---------------------------------

Elisa Webmail

Hyvä asiakas,

Kaksi saapuvaa viestiäsi asetettiin odottamattomaan tilaan tietokannan viimeisimmän päivityksen vuoksi.

KLIKKAA TÄSTÄ

Pahoittelemme haittaa.
Kiitos

-----------------------------------------------------------------------------------

Analyysi kirjeen alkuperästä:

Kirjeen on lähettänyt ihan toinen taho kuin Elisa. Sana "Elisa" - ei tarkoita lähettäjää, vaan sen perässä oleva osoite on tässä tapauksessa todellisuutta. On myös tapauksia, että tuo lähettäjäosoitekin olisi voitu väärentää mutta sitä ei ole tapahtunut tässä tapauksessa:

From: "Elisa" <fheising@gmx.de>

Aihe oli: "Palvelun päivitys"

 Linkki olisi vienyt Officen tarjoamalle ilmaislomake palvelimelle jossa lomakkeilla voi kalastella henkilötietojasi kuka tahansa ilman valvontaa tai kiinnijäämistä. Tämä linkki on katkaistu.

https://forms.=
office.com/Pages/ResponsePage.aspx?id=3DXm...

Linkin osoitteen näkee kirjeen lähdekoodista tai viemällä kohdistimen linkin yläpuolelle (ei saa klikata).
Linkin osoite tulee esille sähköpostiselaimen alapalkkiin (yleensä). JOS olet vähääkään epävarma kirjeen alkuperästä tai tarkoituksesta ÄLÄ klikkaa yhteenkään linkkiin kirjeessä. EI myöskään niihin "linkkilistalta poisto" - linkkeihin. Jokaista linkkiä käytetään rikollisiin tarkoituksiin näissä haittaposteissa.