McAfee - vaarallista virustorjuntaa

 Seuraava saman konnan (samojen konnien) yritys on uusi spämmiviesti McAfee päivityksestä - virustorjunnassani jota minulla ei siis ole.

"Tietokoneesi saattaa olla vaarassa ☠️ |❌ Uudista McAfee Antivirus"

"McAfee Alert" Posti näyttää edelleen saapuvan Kookossarten osoitteesta "info@vaiddzed.XXXcc" - mistä se siis ei oikeasti saavu mutta sen avulla voi viestit suodattaa roskakoriin. (poista nuo XXX-merkit osoitteesta)

Kirjeessä oleva linkki vie bitly-lyhennetyllä osoitteella rikollisen palvelimelle, joka on verkossa merkitty vaaralliseksi.  "lavetzr.serveblog.XXXnet" on toinen tämän verkkorosvon palvelimista.
Toinen, saman roskapostikampanjan vaaralliseksi luokiteltu palvelin on nimeltään "domains@no-ip.XXXcom".
Olen ilmoittanut osaltani molemmat palvelimet plokattavaksi, koska ne ovat haitallisessa toiminnassa (tosin se ei takaa, että osoitteet poistuisi verkosta kovinkaan pian ja uusia palvelimia taatusti perustetaan näillä hinnoilla ja näillä verkkorikollisten rahoituksilla). Lähtöosoite viittaa jälleen Venäjälle. Posti on kulkenut headerin mukaan Oregon Health & Science University:n koneen kautta. Tämä on mahdollista muttamallakin tavalla ja on tarkoituksellista jälkien peittelyä. On erittäin alatyylistä ratsastaa oppilaitoksen ja vielä terveydenhoitoalan oppilaitoksen siivellä mutta mihinkäpä eivät nuo moraalittomat verkkokonnat pystyisi.

Roskapostin headerissa seikkailee edelleen erään tuntematoman henkilön sähköpostiosoite ja tämä spämmikampanja näyttäisi olevan lähetetty Mailchip postituspalvelusta (MailChimp vakuuttaa, että kirje ei ole postitettu heiltä) Hartwalareenan listalla. Itse en tietääksei ole koiskaan tuolla listalla ollut mutta oma osoitteeni on varastettu aikapäiviä sitten Elisan listoilta, jonka listan mukanaoloa tukee myös tuo minulle tuntematon toinen elisanet osoite.

Näillä osoitelistoilla tämä on erittäin vakavan laajuinen kampanja.

Edellinen postaukseni McAfee-ansasta:

https://vaarallinenweb.blogspot.com/2021/12/olematon-mc-afee-paattyy.html

Vanhempi postaus "virustorjuntapäivitys-ansasta":
https://vaarallinenweb.blogspot.com/2021/01/virustorjuntapaivitys-saattaa-asentaa.html

Olematon McAfee päättyy

"Subject: VAROITUS hannu.kuukkanen Suojasi on päättynyt TÄNÄÄN...Tietokoneesi on vaarassa.
From: McAfee 2022 hälytys"

Sama huijari jatkaa tuota massaspämmäystä uudella yrityksellä.
Ensinnäkään minulla ei ole McAfee virustorjuntaa ja silloinkin kun oli, siitä oli erittäin hankala päästä eroon (tai siis katkaista laskutus, koska McAfee uusi sopimuksen automaattiisesti ja laskutti Visallani).

Kirje näyttää olevan lähtöisin osoitteesta: "info@vaiddzed.cc" kookossaarten maatunnuksella. Kirje on kuitenkin  todellisuudessa lähtenyt Moskovasta Venäjältä.

Konnien tapaan linkki on peitetty lyhennepalvelun avulla  (http:/)/bitly.ws/XXXkze...
Tämä purettu osoite osoittautui vaaralliseksi luokitelluksi (sulut ja XXX katkaisee linkin).

Tämä huijari tai huijariryhmä on erittäin tuottelias. Spämmikirjeitä erilaisin tarjoustekstein, on saapunut kymmenitäin. Olen kertonut hänen/heidän tuotoksistaan usemmassakin eri artikkelissa:
https://vaarallinenweb.blogspot.com/2021/12/sahkosopimus-venajalta.html
Tästä kirjerypäästä varoittavaa asiaa, on luettavissa myös postauksessani:
https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html

Miksi ja kuka plokkaa jatkuvasti kahta artikkeliani?

Olen seurannut analyticsistä noiden kahden artikkelin plokkauksen aikaisia verkkovierailuja. Plokkausten ajankohdasta ja käyntien ajankohtia vertaamalla, olen löytänyt ainakin yhden erittäin epäilyttävän tulo-osoitteen. Tulo-osoitteista näyttää jäävän käteen ainoastaan "rikollisten jäljet peittävä" hakupalvelu, nimeltään: "startpageXXX.com". Osoitteesta löytyy tietoa:

HTML Title Startpage - Private Search Engine. No Tracking. No Search History.
HTML Description Search and browse the internet without being tracked or targeted. Startpage is the world's most private search engine. Use Startpage to protect your personal data.

Eli tämä on täydellinen hakubotti verkkorikollisille, jotka eivät halua jättää jälkiä verkkoon tekemisistään.  

Yksi ihmeellisnen suunta on myös "google.com.hk" eli kiinalaisittain rajoitetun liikenteen "Honkongin Google", josta ulospääsyn pystyy taitava henkilö murtamaan.

Yksi epäilyttävä suunta on ollut koko ajan itse Twitter, tai Google mutta siinä ei olisi minkäänlaista järkeä, koska he tekisivät tällaisella toiminnalla hallaa ainoastaan itselleen.

Alkaa hiljakseen tulla käsitys, että netti on räätälöitymässä ennenkaikkea rikollisten huijausalustaksi. Huijattujen miljoonien määrät ovat netissä hunajatolppa, josta jokainen löysämoraalinen verkkotoimija haluaa käydä nuoleskelemassa osuutensa.
Koska mahtaisi syntyä tuolle touhulle verkon kattava vastarintaliike. Eihän kaikki verkko-osaajat voi olla konnia. Kunniallisia "hakkereita" on ollut, kuulemani mukaan mukana myös Vastaamon tietovuototutkinnassa mutta laajemmallekin toiminnalle olisi runsaasti ja jatkuvaa tilausta. 

Jatkuvasti plokatut artikkelini kertovat purkamattomissa olevista  (PÄIVITYS: tänä päivänä löytyy jo palvelu, joka osaa linkin purkaa - onneksi) "t.co" lyhenteillä suojatuista rikollisten verkkolinkeistä.
https://vaarallinenweb.blogspot.com/2021/09/twitterin-mustalista.html
Sekä samasta aiheesta artikkeli:
https://vaarallinenweb.blogspot.com/2021/09/nordean-psd2-direktiivi-kirjeita-eri.html
Kilpajuoksu konnan kanssa jatkuu ainakin toistaiseksi.

Rikollisen verkkosormenjälkiä voidaan seurata usealla eri tavalla. Palvelinten lokitiedot ovat erinomainen tiedonlähde, vaikka konna käyttäsi anonyymiä TOR-verkkoa. Sähköposteissa "header-osuudet" antavat myös tietoa, vaikka niillä pyritään hämäämään tutkijoita kaikin mahdollisin tavoin.
Kuitenkin, esimerkiksi, jos Venäjältä saapuu samana päiviänä tukku spämmipostia ja nuo artikkelini plokataan ja Venäjältä löytyy yksi käynti lokista, ei voi välttyä vetämästä johtopäätöksiä, etteikö joku "valvoisi etujaan".
(Twitter lyhenteet näyttävät ehtyvän, eli Twitter on menettänyt rosvojen supersuosion, koska se on nykyään samalla tavoin avattavissa, kuin muutkin lyhenteet. Nyt konnat pakenevat piiloon "No-Id" palvelujen taakse)

Blogiartikkelini kertoo headerien vertailun tuloksena havaitusta huijauskirjeryppäästä (toistasataa rikollista S-Postia n. 5kk:n aikana) joka on selkeästi lähtöisin samasta lähteestä.
https://vaarallinenweb.blogspot.com/2021/12/sahkosopimus-venajalta.html
Tästä kirjerypäästä varoittavaa asiaa, on luettavissa myös postauksessani:
https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html
Huijarit kopioivat toisiltaan surutta ansatekstejä ja tyyppejä mutta kopioissakin on aina persoonallisia jälkiä. Headerpolut näyttävät säilyvän aikalailla samoina tai saman kaltaisina.

Kannattaa varoa jokaista sähköpostimainosta. Ainakin niitä, joissa on piiloon lyhennetty linkki.
Tärkein osa linkistä on se joka päättyy maatunnukseen tai vastaavaan "luokkatunnisteeseen", kuten com, net, org, jne. Sitä edeltävä pisteellä erotettu osa kertoo varsinaisen domainnimen.

Hämääviä osoitteita rakennetaan esim. alidomaineiksi kuten "google.jokuosoite.com", jossa "google" ei ole googlen kanssa missään tekemisisssä, vaan linkki vie tuonne "jokuosoite.com" palvelimelle.

(PÄIVITYS: tämä artikkelini plokkailu on loppunut. Joko konna väsyi plokkailuunsa, tai sitten Blogger-tiimi keksi, miten laittomat plokkaukset estetään. Ainakin tässä tapauksessa häirintä on loppunut)

 

Venäläinen Google lähestyy sinua

Omalaatuinen "osoitteen tarkistusansa" saapui Googlen nimissä. Ei suinkaan Googlelta, vaikka kaikki merkit siihen viittaavat. Kun headeria tarkastelee, sieltä löytyy lähettäneen koneen tunnus joka osoittaa Venäjälle. Olisiko "venäläiset trollit" laitettu nyt joukkovoimalla asialle verkkoon?
Kirje on lähetetty suurelle joukolle, eli kyseessä on laaja kampanja. Kun testasin tuota annettua e-mailosoitetta Googlen kautta, ponnahti esiin varoitus (kirjeen alapuolella).

Tämä teksti viittaa siihen, että olisin ollut kirjautumassa "automaattisesti" rikollisen rakentamalle ansasivulle tuon sähköpostiosoitteen kautta. Mielenkiintoista mutta ei suositeltavaa. Mitä tuolta verkkosivulta sitten saapuisikaan, ei maksa vaivaa kokeilla. Epäterveellistä materiaalia kaikissa tapauksissa. Vastauksieni oli siis EI.

 

Sähkösopimus Venäjältä?

Tämä kirje kuuluu siihen valtavaan spämmisarjaan, josta olen varoittanut jo aikaisemmin. Kirjeissä tarjotaan kaikkea mahdollista maan ja taivaan väliltä, lääkkeistä - sähkösopimuksiin.

Kaikissa kirjeissä tunnusomaista on, että kirjeessä on linkki tai useita linkkejä joiden osoitteet on piiloitettu linkinlyhennyspalvelun taakse. Olen testannut kirjeen linkin ja se vei vaaralliseksi luokitellulle sivulle. Kirjeissä näkyy usein (kuten tässä) myös jonkun vieraan henkilön osoite vastaanottajana. Kirjeet saapuvat eri osoitteista mutta lähes kaikille osoitteelle on ominaista sen "outous" suhteessa kaupiteltuun tuotteeseen. Tämäkään kirje ei saavu Sähkömittari.fi osoitteesta, kuten tekstissä osoite mainitaan.

Kaikkien näiden kirjeiden tarkoitus on kerätä ihmisten osoite ja henkilötietoja verkkorikosta varten. Yleensä tiedoilla ostellaan verkko-ostoksia tai tilataan verkkopalveluja. Myös saatat saada laskun olemattomasta sähköntoimituksesta, virallisen laskun lisäksi. Kaikikissa tapauksissa tietojen antaminen tulee uhrille kalliiksi.

"sähkösopimus" tekstin alta paljastuu tuo Venäjälle (kookossaarten maatunnuksella) vievä sähköpostiosoite ja linkki on "bitly.ws" lyhennyksen taakse piiloitettu.

Vaaleanpunaisen suorakaiten sisällä on kuva, jonka selaimessa esitän saapumasta koneelleni. Suosittelen tapaa muillekin. Kuvan voi erikseen sallia, jos katsoo, että viesti on turvallinen.

Tästä roskapostikampanjasta olen varoittanut aikaisemmin postauksessani:
https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html

Säästöpankkiryhmän linkit vievät Venäjälle

 Pankkiasioissa kannattaa aina olla erittäin varovainen ja mennä asioimaan oman pankin kanssa VAIN oman pankin virakkisen verkko-osoitteen kautta. Pankin osoitetta ei saa myöskään "Googlata", koska tuloksissa saattaa olla linkki rikollisen kasaamalle pankin näköissivulle.

Tämä rikollinen paljastui helposti, koska "Säästöpankkiryhmä©" s-postiosoitteen takaa löytyi alankomaihin vievä yksityinen osoite ja linkistä (vaikka muulta näytti), paljastui venäläinen palvelinosoite. Osoite näkyy, kun vien linkin yläpuolelle kohdistimen (ÄLÄ KLIKKAA) . Todellinen osoite ilmestyy selaimen vasempaan alanurkkaan.

 

Netin lainatarjoukset ovat 99% ansoja

Älkää ihmeessä sortuko tällaisiin sähköpostitse saapuviin lainatarjouksiin. Niin epätoivoinen ei kannata olla. Näissä yleensä menettää rahaa runsaasti mutta saamapuolelle jää vain mielipaha.
Epäilyttävää on ennenkaikkea ilmaissähköpostiosoitteet, joita on tässä kirjeessä kaksi erilaista. Lähettäjä ja tuo lopussa oleva linkkiosoite.
Varoissaan oleva firma ei tarvitse ilmaisosoitteita. Varteenotettava yritys myös käyttää osaavia kielenkääntäjiä apunaan.

-----------------------KIRJE------------------------

Lähettäjä: Leon Smith leonsmithloanfirmXXX@gmail.com
(todellinen lähetysosoite on: itamajacobXXX@gmail.com- tämäkin osoite on tekaistu)

Hei rouva... sir
Tarjoan 1 000 - 300 000 € lainaa kaikille, jotka voivat maksaa sen
takaisin 2 % korolla, riippumatta haluamastasi summasta. Teen sen
tästä syystä
Taloudellinen luotto
- Kiinnitys
Sijoituslainat
- autolainat
velkojen yhdistäminen
- Joululaina
Jos tarvitset todella lainaa, ota minuun yhteyttä sähköpostitse:
debrauwwestloanfirmXXX@gmail.com

------------------------------------------------------

Kalliiksi tuleva elokuvalahjakortti

Otsakkeella: "€35 Elokuvat Lahjakortti nyt vain €2.00!"
Tämä spämmi kuuluu yhtenä uutena tulokkaana tuohon aiemmin listaamaani roskapostiryppääseen. Lähetysosoite on eri mutta headerista löytyy nuo vakio luvattomasti käytetyt yksityishenkilöosoitteet ja sivulta piiloon lyhennetyt linkit verkkorikollisen palvelimelle, josta on varoituksia verkossa.

Saman sylttytehtaan ansakirjeotsakkeita löytyy lisää täältä. Kaikissa on yhteistä header osasta löytyvät kaksi luvattomasti käytettyä henkilöosoitetta. Voivat olla jopa kaapattuja tilejä, joiden kautta roskaposti kiertää.:

https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html

Epäterveellinen terveysportaali

Roskapostin lyhenteen taakse piiloitetusta linkistä aukeaa "Suomalainen Terveysportaali", jonka palvelintunnuksen omistaa panamalainen toimija. Panama on kautta Internet-aikojen ollut verkkorikollisten luvattu maa, eikä tule äkkiä mieleen, miksi siellä julkaistaisiin suomalaista terveyssivustoa muuten, kuin huijaustarkoituksessa.

Kun vierailee sivulla, eteen kimpoaa ikkuna joka pyytää lupaa "johonkin". Pahimmassa tapauksessa VIRUKSEN asentamiseen koneellesi.

Valesivustoja tehteillaan nykyään solkenaan. Sisältö kopioidaan verkosta. Toiminnallisuus jää yleensä erittäin ohueksi ja tähtää yleensä johonkin verkkorikokseen. Useimmiten henkilötietojen kalasteluun. Henkilötiedoilla tehdään sitten seuraava verkkorikos jossa sinä olet maksaja. 

Itse roskaposti oli tämän näköinen. Vaaleanpunaisten suorakaiteiden kohdilla on verkosta kopioituja kuvia. Logoja ja kuvia saa helposti ruutukaappauksin tai lataamalla tai linkittämällä ne suoraan palvelimilta, kun tuotemerkin alkuperäinen sivusto sellaisen mahdollistaa.

Kirjeessä olevat nyyhkytarinat kuuluvat huijauksen luonteeseen, eivätkä ole todellisia.

:---------------------KIRJE---------------------

KUINKA PÄÄSTÄ EROON VERENKIERTOON LIITTYVISTÄ ONGELMISTA? SE ON
HELPPOA!

 PARANNA VERISUONTEN JA VALTIMOIDEN VERENKIERTOA 28 PÄIVÄSSÄ! SE ON
HELPPOA!

 Kuinka päästä eroon verenkiertoelimistön ongelmista?

 LUE HELSINKILÄISEN ROUVA EMILIAN TARINA, YHDEN YLI 37000 HENKILÖSTÄ,
JOKA AVASI VALTIMONSA JA PALAUTTI OIKEANLAISEN VERENKIERRON
VALLANKUMOUKSELLISEN MENETELMÄN AVULLA.

_ "Verenkiertoon liittyvät ongelmani alkoivat melko viattomasti. Pohkeeni
olivat välillä vähän tunnottomia, joskus tuli myös suonenvetoja.
Käteni ja jalkani olivat jääkylmiä - mutta mitä minä välittäisin
turhista? Mutta muutaman vuoden kuluttua alkoivat vakavammat ongelmat.
Hengästyin hyvin nopeasti. Alkuun, vain kiivetessäni portaita (asun 3.
kerroksessa), ja ajattelin, että näin on kaikilla minun ikäisilläni.
Mutta myöhemmin, jo muutaman askeleen jälkeen, minun oli pysähdyttävä
ja hengitettävä syvään. TUNSIN OLEVANI RAIHNAINEN MUMMO! Ja sitten
tyttäreni synnytti lapsenlapseni ja minun oli välillä valvottava jopa
yönkin yli. _

_ Kun monien kuukausien odotuksen jälkeen onnistuin vihdoin tapaamaan
lääkärin, hänellä ei ollut armoa minulle. Paitsi, että hän moitti
minua, että aloin toimia niin myöhään, hän myös riisti minulta turhat
toiveet - vain leikkaus auttaa. Siihen menisi puoli vuotta jonossa. VOI,
MITEN MINÄ PELKÄSIN! Luulin, että en selviäisi tästä. Onneksi sain
kuulla tästä uudesta menetelmästä ajoissa. Nyt tiedän, että JOS EN
OLISI KÄYTTÄNYT SITÄ, OLISIN TEHNYT ELÄMÄNI VIRHEEN. _

_ Ennen en voinut ottaa kuin muutaman askeleen ilman hengenahdistusta,
mutta nyt teen tyttärentyttäreni kanssa pitkiä kävelyretkiä,kiipeän
portaita ylös kuin nuori tyttö. Pursuan energiaa! Kun sama lääkäri
näki koetulokseni, hän tarttui päähänsä! Olisitpa nähnyt hänen
ilmeensä! Hyvä Rouva, hän sanoi, en tiedä miten olette tehnyt tämän,
mutta TE OLETTE TÄYSIN TERVE! Peruutamme leikkauksen. Itkin ilosta. Olen
niin kiitollinen, tuhannet kiitokset! " _         

 Hyödynnä luonnollista menetelmää, jonka ansiosta jo yli 37 000 MIESTÄ
JA NAISTA on päässyt eroon verenkiertoelimistön ongelmista.

 ? Tulos jo 1 kuukauden jälkeen

 ? Verisuonten ja valtimoiden avaaminen

 ? Oikenlainen kolesteroli ja verenpaine

 ? Suojaus ateroskleroosilta ja sydänkohtauksilta

 ? Suonikohjujen ja pohkeiden kramppien loppuminen

 ? Kylmien jalkojen ja käsien loppu

 ? Luonnollinen hoito

 ? Helppokäyttöinen

 Ei ole väliä kuinka vanha olet tai kuinka kauan olet jo kamppaillut
sydän- ja verisuoniongelmien kanssa!

 Napsauta nyt ja VASTAANOTA ERIKOISTARJOUS LISÄRAHOITUKSELLA henkilöille
25. IKÄVUODEN JÄLKEEN. Napsauta ja lue lisää >> [1]

 

Jokainen linkki vie tähän piiloitettuun osoitteeseen joka puolestaan vie vaaralliseksi luokiteltuun sivustoon:
------
[1] http://bitlyXXX.ws/jXqt#nfpoy_BX/12/CT/dLPU/dqK/nfpoy

Danske Bankin nimellä saapuu jälleen ansakirjeitä

Tämän näköinen kirje ei saavu DanskeBankista, vaan huijarilta.
Tuo linkki rakentuu alidomainnimestä joissa osana on danskebank.fi.
Tuo hämää tarkkaavaisemmankin linkkien tutkijan. Linkki päättyy index -sivuun joka voi sisältää vaikkapa uudelleenohjauksen virukseen. Kuvan alla esiteltynä koko linkkiketju (jos siis linkkiä lähtee analysoimaan).

------------------------KIRJE---------------------------

   

Danske Bankin asiakkaita kuljetettaisiin linkiketjun kautta usean eri alidomainnimen alla olevalle palvelimelle (linkit on kirjoitettu hämäävään nmuotoon jossa osana alidomannimeä on danskebank.fi). Huijari on tarkoittanut, että linkit näyttäisivät kulkevan DB:n palvelimen kautta "bokanarilikoaldjXX.com" palvelimelle. (linkkiketju päättyy "index" -ansasivuun XX-rikkoo linkin)

Tämä domainnimi on uudelleenohjattu osoitteeseen:
Redirect URL    https://www.danskebank.fi.pehofoundationXX.org/user/danskebank/  (linkki päättyy "index" -ansasivuun)

"pehofoundationXX.org" päätyy jälleen uudelle, bokanarilikoaldjXX.com domainnimen alla olevalle palvelimelle.
https://www.danskebank.fi.pehofoundationXX.org/user/danskebank/pinikilaiijsdXX.com . Tämä linkki ohjautuu edelleen...

Seuraava Redirect linkki vie myös vastaavan alidomainosoitekokoelman kautta domainiin: "pinikilaiijsdXX.com" jossa pyöritys päättyy https://www.danskebank.fi.pehofoundationXX.org/user/danskebank/  - ketju päättyy "index" -ansasivuun.

Kaikki nämä domainnimet tulisi plokata ulos verkosta, tai vähintäänkin antaa varoitus rikollisen tarkoituksen mahdollistamisesta.
Jokainen domainnimi on mahdollistanut palvelimella rikollisen toiminnan, joko huolimattomuuttaan tai tarkoituksellisesti. Domainnimien rekisteröinti on lähes ilmaista, samoin palvelintila.

Huijauspostia saapuu jatkuvasti.
Tämän huijausviestin linkit vievät uudelleenohjattuna eri toimijoille "ikäänkuin" Danske Bankin verkkodomainin kautta.