Miksi info@vaiddzed.cc osoitetta ei saa plokattua verkosta?

Neljä verkon turvallisuuspalvelua ilmoittaa osoitteen vaaralliseksi ja yksi epäilyttäväksi.
Kuitenkin roskapostia saapuu Kookossaarten osoitteen nimissä jatkuvalla syötöllä.

Johtuneeko siitä, että se on "vain peiteosoite", joka ei ehkä olekaan se todellinen lähettäjä? Osoite "info@vaiddzed.cc" on luokiteltuvaaralliseksi, sen pitäisi riittää plokkaukseen.
Vapaan tekstin avulla on mahdollista suodattaa kirjeitä vaivatta. Jos ei halua plokata koko kookossaarelaista ulos, voi sanayhdistelmällä plokata vain nämä haittapopstit. Kirjeiden header sisältää paljon samaa materiaalia, vaikka huijarin "mainos"-sisällöt vaihtelevat.

Namesilo, joka on rekisteröinyt tuon domainnimen, ei ole kiinnostunut kontrolloismaan mihin osoitetta käytetään.

Osoitetta hostaa (ylläpitää) Xeon LLC, Venäjälle Moskovaan reksieröity palveluntarjoaja. Yritykselle ei löydy haulla verkkosivua. Xenon on prosessorimerkki. LLC (lyhenne sanoista Logical Link Control) tai (A limited liability company) eli osakeyhtiö eli nimi ei oikeasti kerro mitään.
Olen yrittänyt myös saada venäläisen palveluntarjoajan plokkaamaan heidän palvelussaan vaikuttavia domainnimiä mutta toistaiseksi tuloksetta.

Tuntuu siltä, että suodatusta postipalveluiden tasolla ei myöskään olla halukkaita tekemään.Laiskuudestako? Jos niin, niin se laiskuus saattaa tulla kansantaloudellisesti kalliiksi.Se osa kohderyhmästä, joka näihin ansoihin lankeaa, ei ymmärrä ostaa suodinpalveluita, eikä itse osaa niitä selaimiinsa laittaa.
On syytä tällä taustalla pohtia, esimekiksi, mihin virusasennuksilla haltuunotettuja koneita aijotaan käyttää. Tällainen maassapostitus tuskin osuu täysin tyhjään.

Viimeisinkin e-mail saapui edelleenkin venäläiseltä koneelta. IP osoitteen omistaja on Pietarin seudulta, kone on paikallistettu Moskovan seudulla.

X- alkuisia (vapaasisältöisiä otsakkeita) on mm. MailChimp ohjelmasta, sekä sen mahdollisesti käyttämästä Hartwallareenan-sähköpostilistasta.
"Custom X-Headers page to create the X-Header names for your emails. You may create up to four x-headers for your email."
Headerin mukann alkuperäisin postileima olisi:  for <Janne.XXXXXXXX@netti.fi>; Fri, 27 Aug 2021 10:09:30 +0000 (GMT).
Yksityishenkilönimiä on headerissa muitakin. Mielenkiintoista on jälleen tuo päivämäärä. Tämä X-headersisältö vaikuttaa kopioidun vakiohämäyksenä jokaiseen kirjeeseen.

Jokaisen kirjeen linkit vievät lyhennettyyn (yleensä bit.ly) -osoitteeseen joka on vaaralliseksi luokitellussa palvelimessa. Olen kirjoittanut itse kirjeistä enemmän artikkelissa: https://vaarallinenweb.blogspot.com/2022/01/roskaposti-ryoppy-venajalta-jatkuu.html

Tein kirjeen headerista kommentoidun selvitykset omana tulkintanani. Jos joku on eri mieltä, kertokaa ihmeessä.

----------------------------KOMMENTOITU-HEADER----------------------------

Received: via tmail-2007f.2015-sau for fp6592.200; Tue, 11 Jan 2022 05:11:41 +0200 (EET)

Received: from vs24.mail.saunalahti.fi (vs24.mail.saunalahti.fi [62.142.117.201])

                             by be400.mail.saunalahti.fi (Postfix) with ESMTP id A75916006B

                             for <fp6592@be400.mail.saunalahti.fi>; Tue, 11 Jan 2022 05:11:41 +0200 (EET)

Received: from vs24.mail.saunalahti.fi (localhost [127.0.0.1])

                             by vs24.mail.saunalahti.fi (Postfix) with ESMTP id BCE8520F88

                             for <fp6592@be400.mail.saunalahti.fi>; Tue, 11 Jan 2022 05:11:39 +0200 (EET)

Received: from fe27.mail.saunalahti.fi (fe27.mail.saunalahti.fi [62.142.117.205])

                             by vs24.mail.saunalahti.fi (Postfix) with ESMTP id AF06220F9C

                             for <fp6592@be400.vs.mail.saunalahti.fi>; Tue, 11 Jan 2022 05:11:39 +0200 (EET)

Received: by fe27.mail.saunalahti.fi (Postfix)

                             id A5B7790006; Tue, 11 Jan 2022 05:11:39 +0200 (EET)

Delivered-To: fp6592@fe27.mail.saunalahti.fi

X-Client-Addr: 78.140.242.72 (Lähettäjäkoneen IP osoitteen omistaja on Pietarin seudulta, kone on paikallistettu Moskovaan)

Received: from shrmhronline.xyz (unknown [78.140.242.72]) 72 (välittäjäkoneen IP osoitteen omistaja on Pietarin seudulta, kone on paikallistettu Moskovaan = sama kone)

                             by fe27.mail.saunalahti.fi (Postfix) with ESMTP id 9F3279000D

                             for <hannu.kuukkanen@xxxxxxxx.fi>; Tue, 11 Jan 2022 05:11:39 +0200 (EET)
(lopullinen vastaanottaja eli minä)

 

SITTEN ALKAA SILLISALAATTI

SAAPUNUT SAUNALAHTEEN 2021 joulukuussa?

Received: via tmail-2007f.2015-sau for ie75533.2200; Tue, 21 Dec 2021 05:16:23 +0200 (EET)

Received: from cf51.stp.mail.saunalahti.fi (cf51.stp.mail.saunalahti.fi )

                             by be407.mail.saunalahti.fi (Postfix) with ESMTP id 5AA9E6025B

                             for <ie75533@be407.mail.saunalahti.fi>; Tue, 21 Dec 2021 05:16:23 +0200 (EET)

 

X-Original-Sender:  TIETOA ei ole esitetty

X-Halon-SA: 0.7 Halon Security AB – SAUNALAHDEN koneelta

X-Halon-RPD: 50 Halon Security AB – SAUNALAHDEN koneelta

Received: from vs21.mail.saunalahti.fi (vs21.mail.saunalahti.fi )

                             by cf51.stp.mail.saunalahti.fi (Halon) with ESMTPS

                             id 5fb97aa9-620c-11ec-800a-005056bdd921;

                             Tue, 21 Dec 2021 05:16:22 +0200 (EET)

Received: from vs21.mail.saunalahti.fi (localhost )

                             by vs21.mail.saunalahti.fi (Postfix) with ESMTP id 94F3C20070

                             for <ie75533@be407.cf.mail.saunalahti.fi>; Tue, 21 Dec 2021 05:16:22 +0200 (EET)

 

Received: from fe25.mail.saunalahti.fi (fe25.mail.saunalahti.fi )

                             by vs21.mail.saunalahti.fi (Postfix) with ESMTP id 8A0742006B

                             for <ie75533@be407.vs.cf.mail.saunalahti.fi>; Tue, 21 Dec 2021 05:16:22 +0200 (EET)

(Tämä e-mail on seikkaillut 21 Joulukuuta 2021 Saunalahden koneilla mutta päästetty edelleen läpi myöhemmin? Spammisuotimet eivät ole toimineet)

X-Client-Addr: 185.255.132.197 (lähettäjäkone Venäjällä)

Received: from amazon.com (unknown )  (The 'Received from' would be the server that sent or relayed the email  ELI tämä on välittäjäkone, ELI posti on kierrätetty tämän koneen kautta joskus, tai Amazonin osoite on mukana hämäystarkoituksessa)

                             by fe25.mail.saunalahti.fi (Postfix) with ESMTP id 7FEE150002

                             for <timo.xxxxxxxxx@xxxxxxxx.fi>; Tue, 21 Dec 2021 05:16:22 +0200 (EET)

(Vieraan yksityishenkilön sähköpostiosoite)

Received: via tmail-2007f.2015-sau for qxsgaaaa.24; Thu, 11 Nov 2021 22:34:49 +0200 (EET)

Received: from fe28.mail.saunalahti.fi (fe28.mail.saunalahti.fi )

                             by be414.mail.saunalahti.fi (Postfix) with ESMTP id BD76260035

                             for <qxsgaaaa@be414.mail.saunalahti.fi>; Thu, 11 Nov 2021 22:34:49 +0200 (EET)

(Tämä e-mail on seikkaillut 11 Marraskuuta 2021 Saunalahden koneilla mutta päästetty edelleen läpi myöhemmin 21.12.21?)

 

X-Client-Addr: 37.230.141.72 (kone Alankomaissa mutta rekisteröity Venäjälle. Green Group LTD address: 124489, Russia, Moscow, Zelenograd,)

Received: from ojvv.thoughtful.digital (ojvv.thoughtful.digital ) (kone Alankomaissa mutta rekisteröity Venäjälle. Green Group LTD address: 124489, Russia, Moscow, Zelenograd,)

                             by fe28.mail.saunalahti.fi (Postfix) with ESMTP id B5305E0008

                             for <adamas@xxxxxxx.fi>; Thu, 11 Nov 2021 22:34:49 +0200 (EET)

(MailChimp väittää, että tämä kirje ei ole tullut heidän palvelustaan, vaikka siltä näyttää. Ikään kuin Hartwallareenan sähköpostilistalla? Sieltäkö on peräisin tuo vieras osoite "adamas"?)

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mailchimpapp.net;

                             s=k2; t=1630058970; i=info=3D   hartwallarena.fi@mailchimpapp.net;

                             bh=JAr3Jg088UC0Lbz6SP2bzv0hyRTzv+kpv09g0v7KOQk=;

                             h=Subject:From:Reply-To:To:Date:Message-ID:List-ID:List-Unsubscribe:

                              List-Unsubscribe-Post:Content-Type:MIME-Version;

                             b=Ce9guX/ZdzcLi0wGwj7EC3n1aJ4zsyPguFrxbtT6BFmLKTdQ9KLRxme1+O7CItFpE

                              /gEC4dka0GkUuHihaoCjvTDWxrHVj8tXQytuxB3lrq4mTiy8t6+cb+Y3yEz5pXMFWP

 wgyaMG3ojTZ+TjNvfTUhW15XdS9N9TNIIWrf7Q20iB6YKX28CZkRjAN9qzRvduri/2

 8kkBviCqerjjqLngE44qUGQlKtEfWABmKtx+nb3h2CrPPrr5all3tfzQUmlzXCm4nW

  +jBq/fV0R6YuBJ2CrCFowiVXL++LWo2ApqCvOszlkX7bEegsPmU3aoN8E33PP4O49o

  rHrxobhcxKi/Q==

Received: from localhost (localhost )

                             by mail114.atl301.rsgsv.net (Mailchimp) with ESMTP id 4GwwRt3f7lzNCdK8t

                             for <Janne.xxxxxxxxx@netti.fi>; Fri, 27 Aug 2021 10:09:30 +0000 (GMT)

(MailChimp väittää, että tämä kirje ei ole tullut heidän palvelustaan. Saattaa pitää paikkansa ja tämä olisi vain hämäykseksi mukaan kopioitua vanhaa roskaa, kuten päivämäärästä 27 Elokuuta 2021, saattaa lukea. En tunne edes ketään Jannea.)

TÄMÄ SEURAAVA OSUUS ON NÄKYVÄÄ TEKSTIÄ (koodattuna headerissa)

Subject: =?UTF-8?B?SGFua2kgcGFyZW1waSBNdWlzdGkgamEga2Vza2l0dHltaXNreWt5?=
(Aihe: ”Hanki parempi Muisti ja keskittymiskyky” avattuna)

From: =?UTF-8?B?QWl2b2plbiB0ZXJ2ZXlz?= info@vaiddzed.cc (Kookossaarilla oleva kone jota domannimeä on ilmeisimmin käytetty vain peitteenä)
(Lähettäjä: “Aivojen terveys” avattuna. Lähettäjänimeä ei ole)

To: hannu.kuukkanen@xxxxxxxx.fi

Date:  (aikaleima OLI TYHJÄ)

Message-ID: 4flKnmoPf2AZXjWBOFcvNoaXeq.9327808f57.20210827100925.5b35183e77.fde32546@mail114.atl301.rsgsv.net (liittyy MailChimp toimintaan)

X-Mailer: MailChimp Mailer - *CID5b35183e779327808f57*

X-Campaign: mailchimpe0423e98ba961f510cd0ff9b1.5b35183e77

X-campaignid: mailchimpe0423e98ba961f510cd0ff9b1.5b35183e77

X-Report-Abuse: Please report abuse for this campaign here: https://mailchimp.com/contact/abuse/?u=e0423e98ba961f510cd0ff9b1&id=5b35183e77&e=9327808f57

(MailChimp väittää, että tämä kirje ei ole tullut heidän palvelustaan. Saattaa pitää paikkansa ja tämä olisi vain hämäykseksi mukaan kopioitua vanhaa roskaa. Neljä vapaamuotoista X-headeria voidaan postiin lisätä)

X-MC-User: e0423e98ba961f510cd0ff9b1
(Making an inference from the rest of the headers, X-MC-User refers to the MailChimp user that sent you that email as part of a campaign. ELI tämä liittyy MailChimp postitukseen jota MailChimp kieltää palvelunsa kautta lähettäneensä. Käyttäjäkoodin avulla ilmeisesti selviäisi alkuperäinen lähettäjä mutta koodin tausta on vain MailChimpin tiedossa. Sitäpaitsi vieras lähetys on saatettu rosvota joltain vallatulta koneelta)

Feedback-ID: 25453903:25453903.4376537:us3:mc
"Feedback Loop - If you’re a large volume sender, you can use the FeedBack Loop (FBL) to identify campaigns in your traffic that are getting a high volume of complaints from Gmail users. The FBL is particularly useful to ESPs to detect abuse of their services.
Note: FBL data will only pertain to @gmail.com recipients." - FBL-tiedot koskevat vain @gmail.com-vastaanottajia.
"Senders will need to embed a new header called the Feedback-ID, consisting of parameters (called Identifiers) that uniquely identify their individual campaigns. Any Identifiers with an unusual spam rate and that might cause deliverability issues will be reported in the Postmaster Tools FBL dashboard." koskee vain @gmail.com-vastaanottajia

List-ID: e0423e98ba961f510cd0ff9b1mc list <e0423e98ba961f510cd0ff9b1.412253.list-id.mcsv.net>
"local addresses used for spam"  (verkkoyhteisö on äänestänyt tämän mcsv.net osoitteen haitalliseksi)

X-Accounttype: pd

List-Unsubscribe: <https://hartwallarena.us3.list-manage.com/unsubscribe?u=e0423e98ba961f510cd0ff9b1&id=f21abb2aa6&e=9327808f57&c=5b35183e77>, mailto:unsubscribe-mc.OMPdFW6cIaM1b38dV7ryKRoxmQmOss.md5BHih7IIrRW9H-RUmitkFWtz@mailin.mcsv.net?subject=unsubscribe
 (verkkoyhteisö on äänestänyt tämän .mcsv.net osoitteen haitalliseksi)

List-Unsubscribe-Post: List-Unsubscribe=One-Click
"In addition to the List-Unsubscribe header, another line - the “List-Unsubscribe-Post” – is added."
Eli tuo toinen tagi sisältää osoitteen ja toinen estää suoran osoitteen poiston ” prevent accidental unsubscribe by anti-spam software. Tarkoittaa, että roskapostittajaa suojellaan”. MUTTA koko tämän postikampanjan ulossuodattaminen olisi suomalaisille sp-palvelujen toimittajille mahdollista, jos tahtoa riittää. Tulisi riittää, koska kyseessä on kansallisen turvallisuuden uhka. Näitä ei saa palauttaa takaisin, vaan ne tulee ohjata roskikseen.

Content-Type: text/html;charset=UTF-8

MIME-Version: 1.0

 

 

 

Tirkistely - ansa

Uteliaisuus tulee 100% kalliiksi :(

Jos saat tällaisen sähköpostin (kuvat korvattu vaalenapunaisilla ja mustilla alueilla) niin älä koske linkkeihin kaikki linkit vievät yhteen ja samaan verkossa vaaralliseksi luokiteltuun osoitteeseen. Osoite on piilotettu linkinlyhennyspalvelun avulla.
Linkin päästä saattaa koneellesi tulla virus. Rikolliset tietävät kuinka seksi ja sen avulla aikaansaatu uteliaisuus saadaan tuottamaan. Kirje on lähtenyt Etelä-Koreasta.

Kaikki (LIKE, SHARE, KOMMENT ym.) tekstit ovat hämäystä. Tämä posti ei liity mihinkään sosiaalisen median appsiin.

Henkilötietojen ja pankkitietojen kalastelu

Tämä kuuluu edellisten, lahjoitusansojen sankkaan joukkoon.
Sinulle olisi tulossa korvausta roskapostiansojen aiheuttamista, taloudellisista menetyksistä.

Ei tällaisia korvauksia ole tulossa mistään, eikä koskaan. Jos olet nostanut oikeustapauksen jotakuta kiinnijäänyttä huijaria vastaan, sinun on syytä tarkistaa tuon huijarin tai hänen edustajansa yhteystiedot erittäin tarkkaan. Tämä kirje saapu joka tapauksessa huijarilta. Kirjeen tarkoitus on udelle henkilötietosi (alla lista huijarin haluamista tiedosita).

JOS erehdyt tällaiseen kirjeeseen vastaamaan ja henkilötietosi antamaan, sulje Visakorttisi ja pankkitilisi. Henkilötietojasi huijari tulee käyttämään omiin verkko-ostoksiinsa ja maksajana olet sinä. 

ÄLÄ KOSKAAN, ÄLÄKÄ MISSÄÄN TAPAUKSESSA skannaa ja lähetä mitään henkilötietopapereitasi näille sähköpostihuijareille.

Lähettäjä: lcardozo@lospradossa.com.ar (ei suinkaan "U.S.Bank" joka on näkyvillä).
Kirje saapuu Argentiinasta.

 --------------------------------KIRJE--------------------------

U.S. Bank Plc.
 324 Royal Palm Way, Palm Beach, FL 33480,
 SWIFT (US): USBKUS44XXX
 Founded: United States of America
 Hours: Open 24 Hours

 Urgent Response:

 Your detailed information has been confirmed upon the instructions and
approvals given by The International Monetary Fund; The Supreme Court; The
Federal Bureau of Investigation (F.B.I), Washington DC, and other relevant
agencies regarding the deposited funds from I.M.F and a full payment of
your inheritance fund.

 Due to the incessant scam activities going around the globe, The Chief
Justice of the United States-(John G. Roberts, Jr.), The Director of the
Federal Bureau of Investigation-(Christopher Asher Wray); The Secretary
General of Homeland Security - (Alejandro Mayorkas) and The Washington Army
National Guard State Area Commander- (Brigadier General Gordon D. Toney),
has instructed our Financial Institution (in a written “Memo”) to use
high Performance Banking System to set up Personal On-line Banking Account.


 The sum of $25,000,000:00 USD (Twenty-Five-Million-Dollars) has been
deposited in our bank and we have been instructed to pay you directly via
Personal On-line Bank System (Swift Transfer). The Management has resolved
to open a Personal On-line Banking Account for you with our bank and then
give you the on-line access which will enable you to check and make
Electronic Wire Transfer out to your personal Bank account in any part of
the world of your choice.

 This account will be processed in your name as soon as you reply to this
important e-mail and all necessary information will be made available for
you for record purposes. Your new Personal On-line Account will contain the
Initial deposit of $25,000,000:00 USD (Twenty-Five-Million-Dollars) which
has been credited to you; which also serves as your real account balance.

 We are giving you the benefit of doubt by opening a Personal On-line
Account on your behalf whereby you have the full online access for your
perusal.

 Kindly endeavor to convince us that you agree and understand the
importance of this matter before we proceed further. In all ramification,
we have proven overtime that we are professionals in handling international
matters like this.

 Kindly send the below required information for the complete processing of
your account:

 Full Name:……………………

 Contact Address:……………

 Direct Telephone Number/ Direct Mobile Cell Phone
Number:………………

 Your I.D CARD (or a scan copy of any form of
Identification):……………

 Date of Birth:…………………

 Please, reconfirm your direct cell phone number to enable voice
 Communication. We are looking forward to hearing from you.
 Thank you, as we make the U.S Bank an unbeatable choice for banking.

 Yours Faithfully,

 Mr. Tom Parker
 Executive Regional Manager
 U.S. Bank PLC.

2,5 miljoonaa tulossa? Vaiko menossa?

 ÄLÄ vastaa tällaiseen kirjeeseen.

Saapui tekaistusta ilmaisosoitteesta: "nfo0929@outlook.com". INFO osoitteita alkaa olla Oulookin osoitteissa jo vähintäänkin tuo 929 kappaletta. Kirje on lähetetty Brasilialaisesta koneesta. Se on kierrellyt San Marinossa ja Filippiineillä. Hämäyksen vuoksi.
Kirje on myös lähetetty postituslistalle, ei ole siis henkilökohtainen. Sitä tarkoittaa monikossa: teksti "Recipients" eli vastaanottajat.

Paluuosoite olisi myös tekaistu ilmaisosoite: "infocharlesdaryl@gmail.com" 

Kovasti piiloittelevaa toimintaa ollakseen rehellistä. Samoin näitä lahjoituksia saapuu vähintään kerran kuussa. Siitä kannattaa lähteä, että nämä tähtäävät sinun rahojesi viemiseen, et tule saamaan, kuin laskuja erilaisista toimenpiteistä. TAI menetät henkilötietosi tai vielä pahempaa, pankkitietosi rosvolle.

Avast antivirus tarkistus, joka näkyy kirjeen alalaidassa, ei merkitse yhtään mitään kirjeen vaarattomuudesta, koska ansa laukeaa vasta, kun otat yhteyden lähettäjään. En kehoita.

---------------------------KIRJE--------------------------

This message is sent to you as a notification that you have been chosen to benefit € 2,500,000.00 from our charity project after i won the Power-Ball lottery of $94.8 million and decided to donate part of my winnings to Charity, individuals and organization, at this period of COVID-19 Pandemic; aimed at touching lives and helping those that we can, across the world as God has blessed us. contact me for more information at infocharlesdaryl@gmail.com to recieve your benefit.

Virus-free. www.avast.com

Me odotamme vastaustasi sinun.nimesi

Saatte odottaa ihan suotta. En ole edes uutiskirjettä koskaan tilannut.
VAROKAA NÄITÄ MAINOKSIA!
Analysoin tarkemmin tätä viimeisintä ansakirjettä ihan uteliaisuuttani.

Tämä sähköpostiansa kuuluu Venäjältä saapuvaan roskapostimassaan ja massan ilmeinen tarkoitus olisi saada vastaanottaja hermostumaan ja klikkaamaan joko tuota ansalinkkiä tai sitten, samaan ansaan vievää, "peruuta sähköposti" - linkkiä. Peruutuslinkin "kuva" on varastettu Elisalta piiloitetun linkin kautta. Ei kannata hermostua, vaan heitä vaarallinen posti roskiin.

S-posti ikäänkuin saapuu roskaposteille tutusta Kookossaarten osoitteesta (info@vaiddzed.cc) MUTTA se on (headerin mukan) lähtenyt alunperin Eestiläiseltä koneelta joka on rekisteröity Venäläiselle ylläpitäjälle. Postitukseen on käytetty  MailChimpin postipalvelua (27.8.2021) ja kirje ollut varsinainen maailmamatkaaja, saapuen perille tänään (7.1.2022). Tosin headeriin ei ole aina uskominen. Analyysin mukaan (lista alla) se olisi viipynyt matkoillaan nelisen kuukautta. Miksi sähköposti on sahannut Saunalahden (ELISAN) palvelimien kautta edes takas (21.12.2021)? Ehkä sitä on yritetty Saunalahden palvelimilla suodattaa pois liikenteestä, siinä onnistumatta?

(11.11.2021) "thoughtfull.digital" kone on myös rekisteröity Venäjälle. Posti viipyi siellä 76 päivää.
Postiketjussa Venäjältä löytyy myös. "amazon.com" nimellä nimetty kone (tuskin on tekemistä amazon.comin kanssa, ellei konetta ole hakkeroitu) konetunnus kuuluu, joka tapauksessa rekisterin mukaan, venäläiselle "FirstByte" - nimiselle palveluntarjoajalle. Sillä koneella posti vietti aikaa 39 päivää.
Tuo viimeinen (tuntematon) postittaja (7.1.2022) oli koneella joka oli nimetty "linkedin.com" ja se löytyy Eestistä (Venäjälle rekisteröity kone sekin). Posti seisoi siellä 17 päivää. Kyseessä saattaa olla hakkeroitu Linkedinin käyttämä kone, jos uskomme postilokin todenperäisyyteen. Ei aina kannattaisi uskoa.

Kaikissa tapauksissa jäljet johtavat sylttytehtaalle.
VAROKAA EDELLEENKIN NÄITÄ MAINOKSIA! Mitä niissä lukee, ei pidä paikkaansa. Alla header-analyysi kirjeen poluista Internetin ihmeellisessä maailmassa.
(lähde: analysaattori Google hallintakonsolin työkalupakki)

#

Delay

From *

To *

Protocol

Time received

0

localhost

→

mail114.atl301.rsgsv.net

ESMTP

27.8.2021 klo 13.09.30 UTC+3

1

76 days

ojvv.thoughtful.digital

→

fe28.mail.saunalahti.fi

ESMTP

11.11.2021 klo 22.34.49 UTC+2

2

fe28.mail.saunalahti.fi

→

be414.mail.saunalahti.fi

ESMTP

11.11.2021 klo 22.34.49 UTC+2

3

39 days

amazon.com

→

fe25.mail.saunalahti.fi

ESMTP

21.12.2021 klo 5.16.22 UTC+2

4

fe25.mail.saunalahti.fi

→

vs21.mail.saunalahti.fi

ESMTP

21.12.2021 klo 5.16.22 UTC+2

5

vs21.mail.saunalahti.fi

→

vs21.mail.saunalahti.fi

ESMTP

21.12.2021 klo 5.16.22 UTC+2

6

vs21.mail.saunalahti.fi

→

cf51.stp.mail.saunalahti.fi

21.12.2021 klo 5.16.22 UTC+2

7

1 sec

cf51.stp.mail.saunalahti.fi

→

be407.mail.saunalahti.fi

ESMTP

21.12.2021 klo 5.16.23 UTC+2

8

17 days

unknown

→

fe26.mail.saunalahti.fi

ESMTP

7.1.2022 klo 4.09.43 UTC+2

9

fe26.mail.saunalahti.fi

→

vs20.mail.saunalahti.fi

ESMTP

7.1.2022 klo 4.09.43 UTC+2

10

4 sec

localhost

→

vs20.mail.saunalahti.fi

ESMTP

7.1.2022 klo 4.09.47 UTC+2

11

vs20.mail.saunalahti.fi

→

be400.mail.saunalahti.fi

ESMTP

7.1.2022 klo 4.09.47 UTC+2

Kirje on alla olevan kopion näköinen. Osoitteiden takaa paljastuu linkit verkossa vaarallisiksi luokitelluille palvelimille - (lyhennetty "bit.ly" ja "cutt.ly" -linkin piiloituspalveluissa) :

"Poista sähköpostiosoitteesi listalta" ponnahdusikkuna on kopioitu Elisalta mutta postilla ei siis ole mitään tekemistä Elisan kanssa. Linkki vie rikollisen palvelimelle.

Roskaposti - ryöppy Venäjältä jatkuu

Toistasataa roskapostia on saapunut Venäjältä Moskovan seudulta, marraskuun alusta 2021, ilmeisen varmasti samasta lähteestä tai saman roskapostittajaryhmän koneilta. Kirjeitä saapuu useita päivässä.
Kirjeissä olevat linkit vievät vaarallisisksi luokiteltuihin palveinosoitteisiin.

Lähettäjäosote vahtelee (nyt on menossa tuo Kookossaarten osoite info@vaiddzed.cc). Kun edellinen osote plokataan ulos verkosta, postittaja siirtyy seuraavaan. Tyyli on sama, jopa osia headereita ja tekstejä on kopioitu. Kun lähdekoodeja vertailee on helppo todeta kirjeiden sukulaisuus. Viimeisimmissä kirjeissä header- osuus alkaa olla jo melkoista mössöä, mutta smankaltaista, osittain tai täysin kopioitua mössöä. HTML sivunkuvaus on joissakin kirjeissä sekavaa ja sisältää tarpeetonta koodia.

Aiheita on kaikkea mahdollista taivaan ja maan väliltä. Yleensä erilaisia terveystuotteita (ilmaisia koe-eriä ja alennuksella - tarjoustuotteita) mutta joukossa on ollut myös polkupyörä, McAfee virustorjunta ja sähkösopimus. Kannattaa heittää kaikki vastaavat sähköpostimainokset roskiin. Näistä on ollut tässä blogissa useita kuvauksia. 

Jos erehdyt klikkaamaan linkkiä, se voi tuoda koneellesi viruksen. Toinen vaihtoehto on, että sinulta udellaan henkilötiedot ja mahdollisesti luottokorttisi numero ja tunnusluku. Jos nämä tiedot annat, sen jälkeen on odotettavissa tilisi tyhjennys.

Kirjeissä on linkki tai linkkejä jotka on lyhennetty piiloon, "bit.ly" tai "cut.ly" palvelujen avulla.
Domainnimien omistajatiedot on peitetty, vaarallisin linkki vie no-ip palvelun kautta joka putsaa konetunnuksen.

VAROITUKSIA NÄISTÄ SPÄMMEISTÄ ON TÄSSÄKIN BLOKISSA RUNSAASTI

LISTAA SPÄMMIEN OTSAKKEISTA. MUITAKIN VASTAAVIA ON LIIKKEELLÄ
https://vaarallinenweb.blogspot.com/2021/12/suuri-joukko-roskapostia-joiden-linkit.html

ESIMERKKIKIRJEITÄ
https://vaarallinenweb.blogspot.com/2022/01/sahkosopimus-spammia-saapuu-nyt-tiuhaan.html

https://vaarallinenweb.blogspot.com/2022/01/mcafee-virusvaroitus-suoraan-ansaan.html
https://vaarallinenweb.blogspot.com/2021/12/mcafee-vaarallista-virustorjuntaa.html

https://vaarallinenweb.blogspot.com/2021/12/epaterveellinen-terveysportaali.html

Viimeisin esimerkki vaarallisesta spämmistä 6.1.2022
Otsake: "Varjostavatko vararenkaat talvilomaasi?"
Tämäkin rasvanpoltto tulee kalliiksi. Kirje on lähtöisin Moskovasta.

Analysoin tämän kirjeen osoitteet. Lähettäjä oli sotkenut headeria olan takaa. Posti olisi sen mukaan lähetetty kolmelle henkilövastaanottajalle joiden sp-osoitteet ovat näkyvillä, kuten jokaisessa muussa aikaisemmassa postissa (kuitenkin tämä on mitä ilmeisimmin robottipostia, joka leviää laajalti kertalähetyksenä). Jokainen lähetys oli eri koneista Venäjältä.
Kirjeen linkit olisivat vieneet kahdelle eri koneelle joita molempien osoitteet oli luokiteltu vaarallisiksi.

Linkki1 vie Kanadaan (sharedtris.com joka on rekisteröity: Registrant State/Province: Charlestown Registrant Country: KN (kaikki muu tieto on peitetty) Kone on listattu vaaralliseksi)

Linkki2 (https:/)/aksacli.servehttpXXX.com Registrant Name: Dan Durrer, Organization: No-IP.com, City: Reno, State/Province: NV, Country: US, ("no-ip" putsaa konetunnuksen, eli konetta ei sen perusteella löydy verkosta. Nämä identiteettiturvaajat ovat verkkorikollisten sateenvarjo)

Sähkösopimus - spämmiä saapuu nyt tiuhaan, ELISA ei toimi

Huijauskirjeissä ratsastetaan Elisan rekisteröimällä "sahkosopimus.fi" - verkkotunnuksella ja tuotenimellä "Sähkösopimus.fi", joka ei edes ole tällä hetkellä käytössä. ELISA ei halua ottaa vakavasti kantaa verkko-osoitteensa väärinkäyttöön. Olen kirjoittanut sinne varoituksen tästä spämmityypistä mutta vastaus vaikuttaa lähinnä "copy - paste" vastaukselta. Vastaanottaja ei vaikuta mitenkään perehtyneen asiakkaille vaaralliseen ansaan.
ELISA voisi edes asentaa tuon "sahkosopimus.fi" osoitteensa index-sivulle varoituksen tuotenimen väärinkäytöstä. Joku saattaa ryhtyä etsimään verkosta tuota "100% suomalaista" toimijaa.

------------------------------ELISAN VASTAUS------------------------------

-- Elisa DNS Domain-admin --

 Hei,
 Saamassanne markkinointiviestissä on lähettäjänä info@vaiddzed.cc, [mailto:info@vaiddzed.cc,] jolla ei ole tekemistä Elisan kanssa.
 Viesti on ilmeisimmin lähetetty nimenomaisesti teille jonkin sivuston postituslistan perusteella, koska viestissä on myös linkki "_Peruuta uutiskirjeen tilaus_".
Voitte ko. linkistä peruuttaa tilauksen. (ÄLKÄÄ KLIKATKO TÄTÄ LINKKIÄ ROSKAPOSTISSA, SE VIE YLEENSÄ SAMAAN ANSAAN, KUIN MUUTKIN LINKIT*)

Ystävällisin terveisin,
Elisa DNS Domain-admin <domain-admin@elisa.fi>
 Lisätietoa henkilötietojen käsittelystä ja tietosuojasta Elisalla: https://elisa.fi/tietosuoja [https://elisa.fi/tietosuoja]

') BLOGIN PITÄJÄN VAROITUS

-------------TOINEN SÄHKÖPOSTINI +CC VIESTINTÄJOHTAJALLE-------------

VASTAUKSENNE (domain-admin@elisa.fi) EI OLLUT ASIALLINEN JA SITÄPAITSI SE OLI VAARALLINEN
Tässä olisi henkilöstökoulutuksen paikka.

Tiedän lähettäjän, joka on venäläinen roskapostittaja, jonka toimintaa olen seurannut pitkän aikaa ja saan sieltä päivittäin roskapostia.

ELISALLA Kirjeeseeni vastaaja ei tainnut vaivautua lukemaan analyysiä antamastani osoitteesta? Lähetysosoite vaihtelee mutta aina jäljet johtavat Venäjälle. Sikäli kirje on erittäin huolestuttava.

ÄLKÄÄ IHMEESSÄ kehoittako ketään klikkaamaan noita "peruuta tilaus" linkkejä. Roskapostissa ne vievät yleensä aina samaan ansaosoitteeseen, kuin kaikki muutkin kirjeen linkit.

Ainut neuvoni on, että lisäätte oman postipalvelimenne roskapostisuodattimeen tuon lähetysosoitteen.

En enää ihmettele, miksi suomalaiset menettävät miljoonia verkkorikollisille, jos suhtautuminen kaikkien palveluntarjoajien taholla sähköpostiansoihin on vastaavanlainen.

Hannu Kuukkanen
vanhempi erikoistutkija
VTT/Tietotekniikka/Media

(eläkkeellä mutta aktiivisesti verkossa toimiva)

--------------------------------------------------------------------------------------

ELISAN ASIALLISEMPI VASTAUS SEN JÄLKEEN, KUN LAITOIN CC:n VIESTINTÄJOHTAJALLE

-------------------------ELISAN UUSI VASTAUS----------------------------

- Elisa DNS Domain-admin --

Hei,

 

Kyseinen lähettäjäosoite on ilmoitettu Elisan sähköpostivälityspalvelimista vastaavalle taholle.

 

Valitettavasti roskapostittajat kehittävät aina uusia lähettäjäosoitteita joten kokonaan tällaista postia ei saa estettyä.

Ystävällisin terveisin,

Elisa DNS Domain-admin <domain-admin@elisa.fi>

Lisätietoa henkilötietojen käsittelystä ja tietosuojasta Elisalla: https://elisa.fi/tietosuoja

  --------------ALKUPERÄINEN VAROITUSKIRJEENI ------------------

  Mikäli tällä kirjeellä on mitään tekemistä Elisan (sähkösopimus.fi)
kanssa, lopettakaa välittömästi tämä kampanja. Taustalla toimii
hämäräbusiness.
JOS taas teillä ei ole kirjeen kanssa mitään tekemistä, varoittakaa
asiakkaitanne tästä kirjeestä välittömästi. Linkki vie vaarallisiksi
luokitelluihin palvelimiin ja kirjeet ovat lähtöisin Venäjälle
rekisteröidyistä osotteista.

Olen kommentoinut kirjeen osoitteessa:
https://vaarallinenweb.blogspot.com/2021/12/sahkosopimus-venajalta.html?fbclid=IwAR2aDw_aaRBGXRx-9Sr2E3W1rWp_szIZQR9R4LRbx5F0XvG6ZJz8YoU0oME

--------------------------KIRJE PÄÄTTYY---------------------------------------

Elisa itse on osasyyllinen sähköpostini joutumisesta rikollisten käsiin, koska heiltä varastettiin joukko osoitteita vuosia takaperin. Tein havainnon, kun sain avoimella postilistalla (järkyttävä määrä pelkkiä elisan osoitteita), erään roskapostin. Olen säilyttänyt saastuneen osoitteen, koska seuraan roskaposteja tässä blogissa ja saan yleensä kaikki liikkeelle lasketut roskapostiversiot melko varhaisessa vaiheessa.

McAfee Virusvaroitus vie suoraan ansaan

 Tämä on ansa. ÄLÄ KLIKKAA LINKKIÄ! Ilmainen kiokeilu tulee ilmeisen kalliiksi. Linkki on luokiteltu vaaralliseksi. Kirje on saapunut tutusta, rikollisia suosivasta Kookossaarten osoitteesta (info@vaiddzed.xxxcc) jonka jäljet johtavat Venäjälle.

--------------------------------KIRJE------------------------------------

Links:
------
[1] http://bitly.xxxws/ngui  (linkki vie BITLY lyhenteellä piiloitettuun verkko-osoitteeseen, joka verkossa on luokiteltu vaaralliseksi)

HTML kuvaus "vaiddzed.xxxcc" index sivulla näyttää vaarattomalta mutta se on ilmeistä hämäystä: "HTML Description Aria is a business focused HTML landing page template built with Bootstrap to help you create lead generation websites for companies and their services."

"LionHillaryPlus.com" - jolle palvelimelle piilolinkki vie, näyttää myös hyvin viattomalta ja itse domainnimi saa puhtaat paperit MUTTA ilmeistä on, että tälle palvelimelle on hakkeri tunkeutunut ja perustanut tuon ansasivustonsa. Nimenomaan tuo bitly - linkin piilo-osoite antaa verkkovaroituksen.
(PÄIVITYS: tucows ilmoitti, että sivu ei olisi enää verkossa. Linkin päässä on nyt toinen sivu "desklegger.com" joka on yhtä vaarallinen. VirusTotal kertoo, että molemmat sivut on luokiteltu vaaralliseksi kymmenen eri verkkoturvallisuusyrityksen toimesta. )

Valitukseni domainnimien ylläpitäjälle (namecheap ja tucows) ei ole tuottanut toistaiseksi tulosta domainnimien plokkaamiseksi ulos verkosta tai vaarallisen häkkäyksen purkamiseksi. Namecheap on yleensä poistanut rikolliseen toimintaan käytetyt domainit verkosta kohtuullisessa ajassa.
Onko Kookossaarille syntymässä uusi rosvoparatiisi?