torstai 14. huhtikuuta 2022

BITCOIN HUIJAUS SYLTTYTEHTAALTA

Venäläisen Trollitehtaan ansakirjeiden ideat alkavat lopahtaa. Onko kyse taisteluväsymyksestä?
Toistoa on jatkuvasti eri otsakkeilla ja aiheilla.
Täsä sama kirje tuli myös osoitteesta "info@topstors(.)shop" alkuperämaa Venäjä.

Tämä kirje kuuluu Bitcoin kaatolaariin 1).

 Neljä ZeroFOXin määrittelemää Bitcoin-huijausluokkaa:

1)      Valelompakot (Bitcoin-lompakot), jotka piiloittavat alleen haittaohjelman latauksen koneellesi (tällainen lompakko saattaa vain viedä rahasi, mahdollisesti seuraavan pankkikirjautumisesi yhteydessä, tai jos lopakkoon jotain laitat tai se voi jopa kryptata koneesi tiedostot)
2)      Käyttäjien houkutteleminen napsauttamalla sosiaalisen median kautta lähetettyjä URL-osoitteita (verkko-osoitte-linkkejä). Tämä on tekniikka, jota ZeroFOX on havainnut erilaisissa hyökkäyksissä. Tämä käyttää Bitcoinin lupausta houkutelemaan käyttäjää seuraamaan URL-osoitetta, joka sittemmin yrittää ladata haittaohjelman.
3)       Olemme myös huomanneet, että väärennettyjä Bitcoin -tutkimuksia käytetään usein haittaohjelmien levittämiseen
4)      Varovaisuutta tarvitaan aina, kun kohtaat sosiaalisen median URL-osoitetta, joka on lyhennetty (bitly). (Myöskään HTTPS linkki ei suinkaan aina takaa luotettavuutta)
 
Sama kirje saapui samasta osoitteesta myös otsakkeella:

"Aika on juuri nyt!"

----------------------------------------KIRJE----------------------------------------

Nyt on sinun aikasi! Tartu tilaisuuteen ja hyppää kyytiin BitcoinEra:n kanssa.

From     BitcoinEra (saapuu venäjältä osoitteesta info@dealstorm(.)shop. Osoite on merkitty vaaralliseksi verkkoturva sivustolla)

To     hannu.kuukkanen@xxxxxxxxx.fi
Reply-To     reply_to@dealstorm(.)shop
Date     Today 02:11

[contactphoto]
 [1]

Peruuta tilaus tästä [2]
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi

600 kpl omaa osoitetta ....

hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi
hannu.kuukkanen@xxxxxx.fi

Links:
------
[1] http://dealstorm(.)shop/cUtza3pVV2xxxxxx--- (kaikki linkit vievät samalle koneelle ansaan)
[2] http://dealstorm(.)shopXNza3pVV2xxxxxxx--- (kaikki linkit vievätvie tietokantasivulle, joka voi sisältää aivan mitä tahansa. Myös viruksen. Tilauksen avulla uhrilta kerätään myös henkilötietoja, mahdollisesti myös pankkitietoja, joita käytetään verkkorikoksiin)

 -------------------------------------------------------------------------------

 LISÄÄ BITCOIN ANSOISTA KERTOVIA POSTAUKSIA TÄSSÄ BLOGISSA:

https://vaarallinenweb.blogspot.com/2021/01/bitinse-bitcoin-transaction-invitation.html

LISÄÄ SAMALLA KAAVALLA TEHTYJÄ TROLLITEHTAAN ANSOJA

https://vaarallinenweb.blogspot.com/2022/04/venalainen-trollitehdas-jatkaa-hbo.html

https://vaarallinenweb.blogspot.com/2022/04/offerstorm-venalainen-roskapostittaja.html


Lähettänyt klo Ei kommentteja:
Tunnisteet: , ,

keskiviikko 13. huhtikuuta 2022

Track & Trace lähetyspalveluhuijaus

Kirje saapuu Vietnamista (vant@ecomviet(.)vn). Lähettäjäkone on Vietnam E-commerce Development Centren omistuksessa. Se ei kuitenkaan takaa kirjeen turvallisuutta.
Kirje ei missään tapauksessa ole turvallinen. Verkkoturvapalvelut eivät löydä vaaran merkkejä mutta jo kirjeen täydellinen asiattomuus todistaa, että kyse on ansasta.
Linkki veisi osoitteeseen "smail.vietnamexport(.)com", jonka kanssa minulla myöskään ei ole ollut koskaan mitään tekemistä, enkä odota ainuttakaan pakettia yhtään mistään, saati sitten Vietnamista.
Huijaus noudattaa "lahettipalveluhuijausten" kaavaa. Näitä on saapunut vuosikausia. Iltasanomat varoittivat myös aiheesta jo vuonna 2019: https://www.is.fi/kotimaa/art-2000006349139.html

JOS odotat pakettia tai tuotelähetystä, TARKISTA, mistä saapumisilmoitus on todella peräisin. Soittamalla tai ottamalla suoraan yhteys (ei siis kirjeen linkkien kautta) kyseiseen lähettipalveluun.
Googlaa ainakin verkosta tietoa mahdollisista huijauksista, ennenkuin klikkailet kirjeen linkkejä.

Yksi lukuisista lähetyshuijauskirjeistä kirjoitetuista varoituksista tässäkin blogissa: https://vaarallinenweb.blogspot.com/2022/04/postnord-nimissa-huijataan-edelleen.html

---------------------------KIRJE--------------------------

Valitse toimitus ajankohta
From     Track & Trace
To     hannu.kuukkanen@xxxxxx.fi
Reply-To     vant@ecomviet.vn
Date     Today 06:24


Valitse toimitus ajankohta

HeI!

Pakettisi on matkalla

Ole hyvä ja valitse toimitusaika

Valitse tästä.

 ----------------------------------------------------

 

Lähettänyt klo Ei kommentteja:
Tunnisteet: , , ,

Postnord nimissä huijataan edelleen

Tämä huijausyritys saapuu jälleen ruotsinkielisenä versiona.
Kyseessä on jo pariinkin kertaan analysoitu huijausyritys. Mitään pakettia ei kenellekään ole tulossa, eikä tämä kirje tule Postnordista. Raha ja henkilötiedot osoitteineen haluttaisiin varastaa rikolliseen käyttöön jonka maksaja olet sinä onneton, joka vastaat tähän kirjeeseen. Verkkoturvasivustot eivät toistaiseksi näe sivun vaaraa, koska siitä ei ole riittävästi dataa tiedossa. Kun vastaan tulee tietojenkeräyslomake, sitä ei sellaisenaan pidetä vaarana ellei siitä olisi tullut ilmiantoja. Myös tulosivulla voi olla vaarallisia linkkejä tai ohjelmistolatauksia, joita ei verkkoturvatutkimuksissa välttämättä näy. Domainnimirekisteri ei sisällä minkäänlaista tietoa nimen omistajasta, joka on mahdollinen yksi syy pitää osoitetta epäluotettavana.
Tämän ansan alkuperämaa on Venäjä. Se käy ilmi aikaisemmista kirjeistä. Tästä kirjeversiosta alkuperä on paremmin piiloitettu.

https://vaarallinenweb.blogspot.com/2022/03/post-nord-paketti-lahetys-huijaus.html

Suomenkielellä saapui sama ansa otsakkeella:

Tärkeä :Pakettisi pidätetään varastoltamme !

Itseasiassa kirje sisältää kolmea eri kieltä ja linkit vievät myös vaaralliseen venäläisperäiseen osoitteeseen: https://app.airhme(.)com/link.php?M=2382212&N=96&L=39&F=H

------------------------KIRJE---------------------

FWD : Bekräfta din adress för din skickade beställning... !

From list@antoniopelayo(.)com
To hannu.kuukkanen@xxxxxxxx.fi
Reply-To list@antoniopelayo(.)com
Date Today 17:22
[contactphoto]Bästa kund,
Observera att ditt paket fortfarande är under behandling eftersom du inte har betalat tullavgifter.
Följ instruktionerna :
Köpmannens namn: Postnord
Leverans planerad till 2021-12-12
För ytterligare tjänster kan du hitta din leveransspårning genom att klicka här.
  Du har 8 dagar på dig från tillgänglighetsdatumet på dig att hämta ut paketet.
Vid återkallelsen kommer du att bli ombedd att visa upp en identitetshandling.
Med vänliga hälsningar,
Din Postnord Group kundtjänst

Bästa kund,

Observera att ditt paket fortfarande är under behandling eftersom du inte har betalat tullavgifter.
Följ instruktionerna :

Köpmannens namn: Postnord
Leverans planerad till 09-04-2022

För ytterligare tjänster kan du hitta din leveransspårning genom att klicka här.

  Du har 8 dagar på dig från tillgänglighetsdatumet på dig att hämta ut paketet.
Vid återkallelsen kommer du att bli ombedd att visa upp en identitetshandling.

Med vänliga hälsningar,

Din Postnord Group kundtjänst

----------------------------------------------------------------------------------

Lisää vaarallisia spämmejä samasta osoitteesta:
https://vaarallinenweb.blogspot.com/search?q=airhme%28.%29com
Aikaisempi "Postnord" ansa, joita on saapunut eri kielisinä ja eri osoitteista linkkeineen. Kaikki ovat vaarallisia.
https://vaarallinenweb.blogspot.com/2022/04/postnord-nimissa-huijataan-edelleen.html

Lähettänyt klo Ei kommentteja:
Tunnisteet: , , , , , ,

tiistai 12. huhtikuuta 2022

Jälleen seksipostia sylttytehtaalta

Olen jo kerran aikaisemmin varoittanut tästä samasta kirjeestä. Olemattoman lähettäjän "houkutuslinnun" peitenimi on Barbara Compton.

Osoitteella, joka väittää olevansa "Suomi24-kokousklubi" EI IOLE MITÄÄN TEKEMISTÄ Suomi24 - keskustelufoorumin kanssa. Linkki vie aivan muualle. Osoitetta ei verkkoreksterien mukaan, pitäisi olla edes olemassa.

Kirje saapui outlook.com ilmaisosoitteesta, jonka rekisteröinyttä henkilöllisyyttä on hankala selvittää.
 Virusvaroituksia Islantiin rekisteröidystä linkkiosoitteesta (finewbest(.)badme(.)best) on vasta luokissa "epäilyttävä" ja "spam" ja jotkin varoitussivut eivät ole vielä edes noteeranneet tätä domainosoitetta MUTTA se onkin aivan tuliterä (muutaman päivää vanha), joten ajan kanssa tilanne varmasti muuttuu.
Ei ole mitään syytä kokeilla riskillä. Viitatut videot lataavat koneellesi viruksen, joka ottaa koneen haltuun kyberhyökkäystä varten ja mahdollisesti kerää pankkitietosi.

Katso edellinen varoitus samasta aiheesta:
https://vaarallinenweb.blogspot.com/2022/04/sylttytehdas-lahettaa-seksipostia.html





 

 

 

Lähettänyt klo 3 kommenttia:
Tunnisteet: , , ,

Firma jolta ei löydy kotisivua, utelee yritystietoja

Ei ole mitään syytä ottaa yhteyttä yritykseen, jolta ei löydy kotisivua verkosta, vaikka se on domainnimensä kirjeessä ilmoittanut.
Domannimen tarkistus kertoo, että nimen takana on "arveluttava" toimija:
"Websites rated "Caution" may have a small number of threats and annoyances, but are not considered dangerous enough to warrant a red "Warning". Proceed with caution." Domainnimi on reksiteröity Intiaan 2021. Toinen domainnimien taustoja kaiveleva toimija kertoo, että nimi on rekisteröity Irlantiin ja palvelimen sisältöä olisi muokattu viimeksi vuonna 2016.
Domannimi on vaihtanut omistajaa vuonna 2021. 

Yritys kerää ilmeisesti tietoja firmastasi, joten se on jo sellaisenaan vaarallinen, kun tiedossa ei ole muuta, kuin että kirjeen lähettänyt firma on "epäluotettava" ja käyttää luvattomasti sähköpostiosoitettasi omaan markkinointiinsa. Se tulisi käyttämään luvattomasti osoitteita myös muissa kampanjaoissaan.
Myös yritysten tietoja voidaan käyttää verkko-ostoksiin tai palvelujen hankintaan. Tietoja ei ole koskaan syytä antaa epäluotettaville toimijoille.

Kaikki viittaa huijaukseen. En ostaisi edes käytettyä autoa Caitiyn Drakelta.





Lähettänyt klo Ei kommentteja:
Tunnisteet: , , , , , , ,

maanantai 11. huhtikuuta 2022

Venäläinen Trollitehdas jatkaa HBO huijausta

Otsikolla: "Hanki HBO Max 12 kuukaudeksi!!"

Domain "fastdubs(.)com" vie Venäjälle. Tässä virustorjuntasivun varoitus:

http://www.siteadvisor.com/sitereport.html?url=http://fastdubs.com

Kirje on erittäin pelkistetty HTML esitysmuodossa. Anoa linkki on "unsubscribe" joka vie venäläisen palvelimen tietokantaan. Kannasta voi koneellesi saapua pahimmassa tapauksessa virus. Lue McAfeen varoitus linkeistä.

Kirjeen TXT muodossa näkyy jälleen tutut yli 600 omaa e-mailosoitetta. Täyttä bulkkia.

--------------------LINKKIVAROITUS---------------------- 


---------------------------KIRJE TXT----------------------------


Hanki HBO Max 12 kuukaudeksi!!
From     Kotiteatteriaseman
To     hannu.kuukkanen@xxxxxxxxxx.fi
Reply-To     reply_to@fastdubs(.)com
Date     Sun 19:10

 [1] (jokainen hakasulkujen linkki vie samaan vaaralliseen osoitteeseen)

Peruuta tilaus tästä [2]

hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi

......
YLI 600 kpl osoitteita
......

hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
hannu.kuukkanen@xxxxxxxxxx.fi
 

Links:
------
[1] http://fastdubs(.)com/dEcxQ0RCZXE4eEFzckpVT2FzQW9EZ0o5ejRYTFdPNHV4VVJMcjZuVnUvck1WR2JSR2h1V3FMZkhFcVJXNmJNeHNVdWRjZDFvS3VlM0ovV3VlK0ZYNXc9PQ__
[2] http://fastdubs(.)com/bEpodDlkYWFrcmF2ZlpVY2JxRVF0azZHM2hSOXdxWU5mOWVmMExaYkN0bTBTN251MzIzZ1pNSTE2YVp1UUJHaGxkc0tVZ283dHVBY1c4d1FIVlZTUFE9PQ__

Lähettänyt klo Ei kommentteja:
Tunnisteet: , , , ,

VERKKOSIVUILLE SAAPUVA ROSKAPOSTI

Verkkoa kiertää robotteja, jotka täyttävät verkkosivujen lomakkeita omilla spämmeillään.

(verkkosivun nimi): Strike when the iron’s hot

Tarkistin tämän kirjeen linkissä olevan domaiinmen ja se oli luokiteltu VAARALLISEKSI.
Tämä alla oleva linkki on vaaraton, sillä se osoittaa verkkoturvallisuusraporttiin kyseisestä domainnimestä.

http://www.siteadvisor.com/sitereport.html?url=jumboleadmagnet.com

Lähettänyt klo 1 kommentti:
Tunnisteet:

lauantai 9. huhtikuuta 2022

Olivian omalaatuinen asia

 Olivian "joku kiireellinen" asia massaspämminä.
Ei kannata vastata "Olivialle". Tämäkin on ansa.

--------------------------KIRJE--------------------------



Lähettänyt klo 2 kommenttia:
Tunnisteet:

HUIJAUSKIRJEET JA PALVELUNESTOHYÖKKÄYS

 https://yle.fi/uutiset/3-12396843

8. huhtik. 2022
"Valtioneuvoston ja ministeriöiden verkkosivuihin kohdistunut palvelunestohyökkäys
Hyökkäyksen vuoksi ulkoministeriön ja puolustusministeriön sivut kaatuivat. Nordean verkkopankissa samaan aikaan ilmennyt häiriö ei liity hyökkäykseen."
 
Valtionhallintojen verkkosivustoihin on kohdistunut lähiaikoina runsaasti palvelunestohyökkäyksiä. Suomen tilannetta väitetään kuitenkin "normaaliksi".

Samaan aikaan Nordeassa ilmeni tekninen häiriö – "Kyseessä ei ole palvelunestohyökkäys"
Twitter @Nordea_Aspa
Kuitenkin vuoden sisällä Nordean nimellä on saapunut runsaasti haittapostia, joilla on ilmeisesti saatu haltuun Nordean asiakastunnuksia. Yhtä Nordea-ansaa kuvaileva artikkelini plokataan ulos kerran päivässä. Aihetta siihen ei ole muilla, kuin rikollisella itsellään. Artikkelia luetaan ahkerasti. Artrikkeli on kohdassa: https://vaarallinenweb.blogspot.com/2021/09/nordean-psd2-direktiivi-kirjeita-eri.html

Tilanteet olivat päällä Volodymyr Zelenskyin eduskunnalle pitämän puheen aikana, joten ei voi välttyä arvailemasta, miltä suunnalta hyökkäykset olivat peräisin.
Nämä hyökkäykset osoittavat, että niillä saadaan tärkeitä verkkopalveluita lamautettua, mikä taas ei enteile hyvää, jos Suomeen kohdistuisi samaan aikaan fyysinen uhka.

Olen koonnut ja analysoinnut, pitkällä aikavälillä (vuoden 2019 puolella alkanutta), Venäjältä saapuneutta roskapostien tulvaa ja sen luonteesta on voinut havaita, että se on tähdännyt mahdolliseen, suomalaisten kotikoneiden, haltuunottoon. Roskaposteissa on mm. turhalla datamassalla ja sotketuilla header-osuuksilla, saatu aikaan "raskaita" kirjeitä virustorjunnan tukahduttamiseksi. 

Kun sitten tarpeeksi suuri määrä haltuunotettuja koneita, saadaan haittaohjelmalla ajastettuna hyökkäämään samanaikaisesti (lähettämään roskapostia), kriittisiä palveluita vastaan, tulos on uutisten kuvailema.

Mielenkiintoista on kevään aikana myös ollut, että U.S.A:n suunnalta on luettu artikkeleitani poikkeksellisen usein. Useammin, kuin mistään muusta maasta, tai maanosasta.
Jos otetaan huomioon, mikä verkossa on mahdollista, saattaa lukijakin tietysti olla mistä päin maailmaa tahansa.

Kyberturvallisuuskeskus tiedottaa ja varoittaa myös verkon vaaroista. HUOMAA! (kyberturvallisuuskeskus.fi - EI SIIS "verkkoturvakeskus(.)fi", joka on yksityinen, huonomaineinen verkkotoimija). https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%2C%20helmikuu%202022.pdf

Tässä Blogissa olevia, muutamia varoituksia, venäläisistä roskaposteista:

https://vaarallinenweb.blogspot.com/2022/04/naita-kirjeita-alkaa-tulla-solkenaan.html

https://vaarallinenweb.blogspot.com/2022/04/sylttytehdas-lahettaa-seksipostia.html

https://vaarallinenweb.blogspot.com/2022/04/venalais-ukrainalainen-naiskauppa-jatkuu.html

https://vaarallinenweb.blogspot.com/2022/04/offerstorm-venalainen-roskapostittaja.html

https://vaarallinenweb.blogspot.com/2022/03/ukrainalaisten-naisten-kauppaamista.html

https://vaarallinenweb.blogspot.com/2022/03/ukrainan-sodan-hyvaksikayttajia.html

JOS TÄSTÄ BLOGISTA etsit vasemmalla yläkulmassaolevalla haulla .ru -tunnusta, tulee tulokseksi koko joukko muita venäläisiä haittapostikirjeitä lukuisin eri aihen ja ansalajein.




Lähettänyt klo Ei kommentteja:
Tunnisteet: , , , , , , , , ,

torstai 7. huhtikuuta 2022

NÄITÄ KIRJEITÄ ALKAA TULLA SOLKENAAN

Sosiaalisen median muotoon rakennettu "kaveripyyntö", joka on ansa.
Kenties Trollitehtaat ovat yhtä hädissään, kuin Venäjän armeija. Kaikki keinot näyttävät verkossakin olevan luvallisia. Jokainen kirjeen linkki vie Venäjälle, samaan piiloitettuun ansaosoitteeseen.
KEHOTAN VAROMAAN JOKAISTA SENSSIPALVELUIHIN VIITTAAVAA KIRJETTÄ. NYT JOKAINEN NIISTÄ ON SAAPUNUT VAARALLISILTA TAI VÄHINTÄÄNKIN EPÄILYTTÄVILTÄ TAHOILTA! Tämä ei ole mitään uutta mutta näyttää tahti kiihtyvän sodan edetessä. Spämmin paljastava seikka myös on, että tekaistun "Marja Lehtisen" kirje saapuu Megan Hemmingsin hotmail osoitteesta, Outlookin postipalvelimen kautta.

".ru" (venäjä) päätteinen linkki on pakattu (salattu) purettuna se osoittaa palvelimelle: fi(.)clubital54(.)xyz, josta verkkoturvallisuustahot ilmoittavat osoitteen olevan "epäilyttävä" (Forcepoint ThreatSeeker ja Norton luokittelee luokkaan: "Suspicious"). Osoitteesta ei löydy julkista kotisivua. Tämä tarkoittaa, että linkki vie tuntemattomaan.
Sanoisin suoraan, että osoite on vaarallinen. Niin puutteessa ei kukaan saa olla, että näihin lankeaa.



Lähettänyt klo Ei kommentteja:
Tunnisteet: , , , , , ,
Tilaa: Blogitekstit (Atom)