Tämä paketti olisi tulossa Thaimaasta, Bankokista. Kyseessä on ansa.
Kuvan alareunassa on (kohdistin osoitteen päällä) näkyvä linkkiosoite.
Kun domainnimen jälkeen on PHP päätteinen ohjelma, osoitteen lopullisesta kohteesta ei ole minkäänlaista tietoa, eikä taetta.
Usein PHP ohjelma on nimeltään "redir.php", "redirect.php" mutta ohjelman tarkoitus on aina sama. Kaikissa tapauksissa tällaiseen linkkiin ei kannata koskea.
---------------------------KIRJE----------------------------
Pakettiansa voi saapua minkä kuriirifirman nimissä tahansa. Usein viesti puetaan yrityksen visuaaliseen asuun varastetulla logolla ja yritysilmeellä. Tässä tapauksessa sitäkään vaivaa ei olla nähty.
Molemmat linkit ovat vaarallisia.
----------------------------KIRJE HTML muodossa-------------------------
Pakettisi ilmoitus
From Postnord
To hannu.kuukkanen@xxxxxxxxxx.fi
Reply-To info@desertprimeca(.)com
Date Fri 20:31
Hei,
Muistutamme, että olet saanut postilaskun ja että
sinun tulee vahvistaa toimituskulut (3,49) maksamalla verkossa.
Seurantanumerosi: FI-84LKI8965BHG
Seuraa
pakettiani
Kun lähetys saapuu
kotiosoitteeseesi, saat tekstiviestin tai
Vahvista maksu Smart Key -sovelluksessa ja napsauta
JATKA.
Vilpittömästi sinun,
Asiakaspalvelusi PostNord Group..
---------------------------KIRJE TXT muodossa----------------------------
Your email client cannot read this email.
To view it online, please go here:
http://app.desertprimeca(.)com/display.php?M=2051418&C=02a935e8b229032bfa0f5a5f6834a4ab&S=41&L=22&N=23
To stop receiving these
emails:http://app.desertprimeca(.)com/unsubscribe.php?M=2051418&C=02a935e8b229032bfa0f5a5f6834a4ab&L=22&N=41
Somessa ja sähköposteissa kiertää Tokmanni - huijaus.
Huijauksesta kertoo Iltalehti 10.8.2022.
"Tokmanni varoittaa sen nimissä toimivista Facebook-valetileistä sekä huijausviesteistä. "
https://www.iltalehti.fi/tietoturva/a/c05e801e-9a55-42eb-b92a-eeff065da0ec
Tässä blogissa on myös kuvailtu vastaavia huijauksia sähköpostiversiona. Yleisimpiä ovat nämä lahjakorttihuijaukset, joita on lähes kaikkien tuttujen yritysten nimissä.
Yleensä huijari pyrkii urkkimaan jonkin olemassaolevan yrityksen nimissä henkilötietosi, joiden avulla hän seuraavaksi tyhjentää pankkitilisi omilla ostoillaan ja verkkohankinnoillaan. Pahimmassa tapauksessa koneellesi ujutetaan valesivustolta virus jonkin kohdesivulla olevan linkin kautta.
https://vaarallinenweb.blogspot.com/2022/08/venajan-kyberhyokkaysten-valmistelua.html
https://vaarallinenweb.blogspot.com/2022/07/lahjakortti-jota-et-tule-saamaan-koskaan.html
Seuranhaku ja seksillä houkuttelu on yksi varmimmista ansatyypeistä.
Näitä on lukuisia erilaisia versioita ja useimmat näyttävät olevan venäjältä lähtöisin.
Tämänkin kirjeen valmistajataho/lähettäjä on hyvin piiloitettu.
Kirje on lähetetty ranskalaiselta domainilta mutta lähetyskone löytyykin Puolasta.
Linkit vievät islantilaiseen domainiin "tr(.)jetspeed.online".
Peittely viittaa tuttuun sylttytehtaaseen, eikä linkkeihin ole mitään syytä koskea.
Kuvilla halutaan houkutella klikkailemaan linkkejä jotka vievät kahteen eri tietokantaosoitteeseen, joiden tuomasta sisällöstä ei ole turvatakeita. JOS kirje saapuu venäjältä, koneesi on vaarassa. JOS kirje saapuu muualta, kyseessä on mitä ilmeisimmin henkilötietovarkausyritys. Kaikissa tapauksissa klikkailu tulee sinulle kalliiksi.
Hae turvallisempaa seuraa muualta.
TIETOA BLOGIN LUKIJOISTA - STATISTIIKKA
2013 - 2022 koko ajalta 199.000 lukijaamäärä vaihtelee päivittäin artikkelin mielenkiinnon mukaan
1.2.2017 ennätys 7.666 lukijaa päivässä
1.3.2022 vuoden paras 6.165 lukijaa päivässä
Lukijaprofiili on edelleen U.S.A. voittoinen (jaksaa yllättää aina vaan)
Yhdysvallat 75,3 t. kieliongelmista huolimatta. Seurataan ilmeisesti Venäjän trollauksia.
Suomi 37,6 t. TE, hyvät lukijat. Tämä luku saisi olla suurempi. Oman verkkoturvallisuutenne kannalta kannattaa katsoa, mitä uhkia verkossa väijyy yhä enmmässä määrin (tietoa on muillakin sivustoilla).
Italia 33 t. toisinaan Italia pomppaa esiin. Ehkä vanhat projektikumppanit?
Venäjä 14,4 t. seuraavat ilmeisesti mitä heidän trollauksistaan kerrotaan.
+ runsaasti muita maita
Windows 93,2 t. yleisin kotikone ja työ PC
Macintosh 49,6 t. seuraavaksi yleisin kotikone ja työ PC
Linux 32,5 t. yleinen oppilaitoksissa, viranomaiskäytössä... (mielenkiintoista)
Android 12,3 t. älypuhelimet
iPhone 5,65 t. älypuhelimet
Unix 2,98 t. oppilaitokset ja viranomaiset
+ muut laitteet
Tietoa verkkoturvauhkista ja niihin varautumisesta löytyy myös:
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kybersaa?toggle=Kybers%C3%A4%C3%A4tiedotteet%202022 (ajankohtaisia verkkouhkia)
https://www.facebook.com/verkonvaarat/ (älykännyköissä ja somessa muhivista vaaroista)
https://learning-corner.learning.europa.eu/learning-materials/digital-explorers-cartoon-series/staying-safe-online_fi (nuorisolle)
Et voi olla koskaan liian varovainen.
Venäjän palkkaamat Trollitehtaat ovat nyt erittäin aktiivisia.
Troillien virittelemiä ansoja löytyy kaikista sosiaalisen median välineistä, sekä e-mail-kirjeistä.
Venäjä tarvitsee yksityishenkilöiden koneita kyberhyökkäyksiään varten.
Mm. tänään on raportoitu useita palvelunestohyökkäyksiä suomalaisia tärkeitä verkkotoimijoita vastaan, mukaan lukien ministeriöiden verkkosivut, Wärtsilä, sekä Osuuspankki.
Mitä enemmän "orjakoneita" Trollit saavat haltuunsa huolimattomilta tietoteknisten laitteiden käyttäjiltä, sitä laajempia ja tehokkaampia palvelunestohyökkäykset ovat.
Suomen tietotoimiston tietomurto tehtiin tietojärjestelmään istutetun viruksen avulla.
Virus on saattanut saapua (esim. kirjeen liitteenä) jollekin käyttäjän työkoneelle tai kotikoneelle ja sittemmin kulkeutua työkoneelle aineiston mukana. https://www.iltalehti.fi/kotimaa/a/d3d0d7b2-6516-4059-84f2-72860c89469e
1000€:n lahjakortti Tokmanni!
Uteliaisiin, pikavoittoja etsiviin tähdätty ansa (erittäin vaaralliseksi todettu osoite)
Rekisteröidy tänään ja saat upean tervetuliaisbonuksen!
Peliriippuvaisiin tähdätty ansa (linkki uudelleen ohjattu vaaralliseksi luokitellulle koneelle)
Hei kulta, älä missaa tätä ja hyödynnä tilaisuutesi!
Irtosuhteita etsiviin tähdätty ansa (erittäin vaaralliseksi todettu linkki)
VOITA ITSELLESI 1000€:N LAHJAKORTTI K-MARKET!
Pelureihin vetoava ansa (erittäin vaaralliseksi todettu linkki)
Arvomme 1000€:N Prisman Lahjakortti!
Pelureihin vetoava ansa (erittäin vaaralliseksi todettu linkki)
Loma aktivoitu! Voita 500 € SAS-lahjakortti!
Pelureihin ja seikkailijoihin vetoaa tämäkin ansa. (Linkin domainnimi on poistettu verkosta - onneksi)
Varastollamme on (1) pakettia odottamassa kuljatusta sinulle.
Verkkokauppojen asiakkaisiin tähdätty ansa. Pakettiansoja on usean eri kuljetusfirman nimissä.
VAROITUS!!! Järjestelmä on havainnut (13) virusta tietokoneellasi....
Links: osoite kertoo, että "crazytulip.com | 521: Web server is down", joka taas on ilmeistä, koska verkkopalvelutarjoaja on havainnut rikollisen sivuston ja plokannut palvelimen ulos verkosta.
Tekaistuja VIRUSVAROITUKSIA saapuu usean virustorjuntaohjelman nimillä. Tämä saapui "Norton Allert" - nimellä ratsastaen. Virus olisi, tässä tapauksessa, vasta tulossa linkin kautta.
Kun hankit tai päivität virustorjuntaohjelman, tee se ohjelman virallisislta sivuilta tai, jos olet apävarma tietotekniikan käyttäjä, mieluiten oman palveluntarjoajasi kautta.
- Vegaaninen ja sokeriton painonhallinta? Kokeile Morya ilmaiseksi
Virustorjuntaohjelmistosivujen VAROITUS: "pishing, malicious" eli linkkiosoite on vaarallinen.
Omien yhteystietojen antaminen verkkorikolliselle tulee sinulle kalliiksi.
Kilpailuta lainasi nyt edullisemmalla korolla
http://www.laselection(.)net/redir.php3?cat=ach&url=0x334BBFE5/cl/16698_md/1/483/668/187/27036
Useat ansalinkit ohjaavat "redir.php3" (tai vastaavalla) ohjelmalla uteliaan uudelle sivulle. Linkkiosoite saadaan näyttämään puhtaalta, koska ensimmäinen linkki osoittaa laillisen toimijan domainiin. Et huomaa linkin muuttumista selaimessasi, ellet osaa olla tarpeeksi varovainen.
Mm. linkkejä on osoitettu usein sivulle info@nazar.fi/... josta ne ohjataan edelleen rikollisen palvelinosoitteeseen.
Aiheesta lisää tässä blogissa:
https://vaarallinenweb.blogspot.com/2022/08/vaarallisen-sylttytehtaan-tuotantoa.html
"Verkon vaarat” – sivulla muistutettiin liiteansoista, joten
otan myös tässä blogissa aiheen uudelleen esille.
Jokainen verkossa liikkuva liitetiedosto on potentiaalinen virus. On syytä suhtautua varauksella MYÖS liitetiedostoissa esiintyviin linkkeihin. Vaikka liite saapuisi kaverisi osoitteesta, liite voi olla vaarallinen, koska kaverisi osoite, tai verkkoprofiili, saattaa olla ”lainattu” = varastettu, rikolliseen käyttöön.
Viruksia (haittaohjelmia) saattaa olla kaikissa liitetiedostoissa,
jotka pystyvät pitämään sisällään toimivia tai aktivoitavissa olevia ohjelmia.
Sellaisia ovat mm.: PDF, WORD,EXCELL,ZIP, EXE (EXE on kaikista vaarallisin
liite, koska se on yhdellä klikkauksella aukeava ohjelma = ilmeinen virus).
Erilaisia tiedostonpakkausversioita ovat myös RAR-, 7z- ja CAB – tiedostonimipidenteillä
varustetut liitteet.
JOS haluat varmistaa, että et itse jaa viruksia liitetiedostoissasi, käytä esimerkiksi asiakirjoissa TXT tai RTF tekstimuotoja, jotka eivät sisällä ohjelmia. PDF tiedoston voi korvata JPG kuvatiedostolla, tai suojata PDF:n omilla suojaustavoilla (lue suojausohjeet Adoben sivulta https://helpx.adobe.com/fi/acrobat/using/choosing-security-method-pdfs.html). EXCELL taulukoita voit myös muuttaa kuviksi, jos niitä ei tarvitse käsitellä edelleen.
KAIKISSA TAPAUKSISSA on syytä skannata virustorjuntaohjelmalla jokainen koneellesi saapuva liitetiedosto (tulivatpa ne kavereiltasi tai eivät). Yleisimmillä virustorjuntaohjelmilla skannaus toimii osoittamalla kohdistimella liitetiedostokuvaketta, jolloin oikealla hiirinäppäimellä (PC) aukeaa valikko josta klikkaat ”tallenna kohde levylle”. Tallenna tiedosto kansioon, josta löydät sen ja kansiossa osoita liitekuvaketta kohdistimella, klikkaa oikeaa näppäintä (PC) ja valitse ilmestyvästä valikosta ”tarkista virusten varalta”. Virustorjuntaohjelmilla saattaa olla aukeavassa valikossa myös oma linkki virustarkastukseen. Mm. MalwareBytes ilmoittaa omalla nimellään virusskannauksen.
VAROITUS! Kannattaa myös päivittää kaikki ohjelmansa ja
laiteajurit VAIN luotettavista verkko-osoitteista.
Ponnahdusikkunoiden linkit voivat viedä hakkerin virusvarastolle.
Erilaisia ”ajureita” saatetaan vaatia asennettaviksi tai päivitettäviksi esim.
videotiedostojen ja kuvatiedostojen latauksen yhteydessä. Näitä kehotuksia ei
tule noudattaa. Kyseessä saattaa olla viruksella saastutettu ohjelma tai itse virus. Virus saatta olla nimetty "lähes" oikean ajurin nimellä.
Liiteansakuvaus:
https://vaarallinenweb.blogspot.com/2019/02/tassa-kirjeessa-on-liiteansa.html
Toinen vastaava:
https://vaarallinenweb.blogspot.com/2015/04/kaksi-uutta-doc-liitetiedostohyokkaysyr.html
Kolmas esimerkki:
https://vaarallinenweb.blogspot.com/2019/01/seuraava-pommikirje-tuli-heti-perassa.html
DHL pakettiansa liitteellä:
https://vaarallinenweb.blogspot.com/2018/03/dhl-spammeja-jallen-liikkeella.html
Toinen DHL:n nimissä saapunut ansa:
https://vaarallinenweb.blogspot.com/2019/08/dhln-nimissa-tullut-kavala-ansa.html
Ja pommi-Faxi liitteenä:
https://vaarallinenweb.blogspot.com/2015/03/tuntematon-e-fax-venajalta-ei-innosta.html
Mm. käytännön ohjeita miten tunnistaa kirjeen alkuperä helposti:
https://vaarallinenweb.blogspot.com/2016/08/dhl-liite-sisaltaa-viruksen.html
WORD liiteansa:
https://vaarallinenweb.blogspot.com/2015/07/word-liiteansa-tuotteesta-jota-ei-ole.html
Virustarkistusteksti kirjeessä on hämäystä:
https://vaarallinenweb.blogspot.com/2018/02/virustarkistettu-liite-joka-on-virus.html
ZIP liite-virus:
https://vaarallinenweb.blogspot.com/2015/12/frieda-forbes-courier-service-liite.html
PDF liite tiedonkeruuansa:
https://vaarallinenweb.blogspot.com/2018/09/epaluotettava-yritystietojen-keraaja.html
Maksuhuomautusliite joka on virus:
https://vaarallinenweb.blogspot.com/2021/08/maksuhuomautuksen-liitteessa-on-virus.html
HTML liite voi sisältää linkitettyjä tai automaattisia ohjelmakutsuja (myös viruksia):
https://vaarallinenweb.blogspot.com/2022/05/one-drive-liiteansa-joka-ei-ole-lasku.html
Kuvatiedosto ei normaalisti voi sisältää virusta mutta sekin olisi mahdollista.
Iltalehti kertoi vuonna 2016 sosiaalisen median ystävän nimellä saapuvasta viruksesta kuvatiedostossa: "Viesti sisältää svg-kuvatiedoston, mikä ei kuitenkaan ole ihan
perinteinen kuva. Svg-muoto nimittäin mahdollistaa koodinpätkän
lisäämisen kuvaan. Näin ollen kuvan avaaja ajaa samalla myös haitallisen
koodinpätkän."
https://www.iltalehti.fi/digi/a/201611212200030142
Samalta toimijalta saapuu nyt useita eri aiheisia kirjeitä. Kaikki linkit vievät Venäjälle ja kirjeiden tarkoitus tähtää ilmeiseen rikokseen (vähintäänkin henkilötietovarkaus, pahimmillaan koneen kaappaaminen kyberhyökkäystä varten).
Lähde on sama, kuin JYSKIN LAHJAKORTTI -kirje. Linkit heitetään automaattisesti "lailliselta" -palvelimelta rikollisen palvelimelle, joten domainkysely näyttää "puhtaalta".
(nämä osoitteet menevät heittolinkkinä (redirect) koneelle, jonka domainnimi on "larasoft.xyz", kone on merkitty verkkoturvayhtiön sivulla "epäilyttäväksi", tai "ei turvalliseksi", joka tarkoittaa, että sellaiselle sivulle EI itseään tule klikata.)
(advangelists(.)com on amerikkalainen markkinointialusta, jota voi käyttää kuka tahansa)
nazar.fi (lähetysosoite) on pakettimatkatoimittaja, eli heidän koneensa on ilmeisimmin hakkeroitu (tai osoite kaapattu spämmitarkoitukseen). Domainnimitiedustelu kertoo: "All Inclusive Nazarilla – Varaa aurinkolomasi Turkkiin ja Rodokselle - Nazarilla"
Tämän kirjeen tapauksesa tiivistyy sana "kallis ystävä", ystävä joka tulee sinulle kalliiksi todella taloudellisessa mielessä. Älä koske kirjeen linkkeihin, äläkä vastaa kirjeeseen. Kirje saapuu Arizonalaiselta koneelta, Tämän palveluntarjoajan postipalvelimia sijaitsee mm. Venäjällä. Domainin omistajatiedot on piilotettu.
Vastaavia spämmejä saapuu yhtä vaarallisilla linkeillä ja vaihtelevalla sisällöllä, esim. otsakkeella: "Haluatko Romantiikan Takaisin Elämääsi?". Siinä kirjeessä oleva linkki "NextLove.fi" vie vaaralliseksi luokiteltuun osoitteeseen. Samaan, kuin tässä kirjeessä.
Kirjeen linkeistä tekstissä olevat linkit vievät vaaralliseksi luokiteltuun osoitteeseen ja alinna olevat kaksi linkkiä (ne joista sinun pitäisi voida estää spämmi) vievät "spämmiksi" luokiteltuun osoitteeseen. Se saattaa tarkoittaa, että niihin klikkaamalla osoitteesi päätyy "varmistettujen" osoitteiden spämmilistoille, joita kaupataan verkossa, etkä suinkaan pääse eroon roskapostista, päin vastoin.
Tuossa osoitteessa on myös PHP -ohjelma, jonka toiminnasta ei ole tietoa. Se saattaa olla mitä tahansa, esimerkiksi henkilötiedon varastamiseen tarkoitettu tiedonkeruulomake.
Tämä kirje saapui jo huhtikuussa (lähetetty hämäykseksi Dublinista) mutta on hyvä esimerkki, miten helposti voi ansan tunnistaa.
1) suomalainen nainen ei kirjoita näin virheellistä suomea
2) jokainen kirjeen linkki vie samaan osoitteeseen venäläiselle palvelimella (maatunnus.ru)
Kolme verkon turvapalvelua on kertonut venäläisen osoitteen olevan vaarallinen.
HTTPS-tunnus linkin edessä EI TAKAA TURVALLISUUTTA mutta saattaa hämätä hyväuskoisia.
