Symantec / Norton on päästänyt palvelimelleen hakkerin

Todella epäluotettavaa, että verkkoturvallisuusalan toimijan palvelimelle pesiytyy verkkorikollinen. Ilmeinen phishing sivun osoite kulkee Symantecin sivuston kautta (uudelleenohjaus). Näin linkki näyttää asiakkaan (klikkaajan ja virustorjunnan) suuntaan "luotettavalta" mutta viekin itseasiassa ansaan.

Olen kaksi kertaa huomauttanut Symantecia aiheesta. Ainut asia mitä siellä ilmeisesti on tehty, on, että tuo osoite on "lukittu". MUTTA kuinka nopeasti? Kuinka moni onneton on tuon linkin kautta joutunut verkkorikollisen uhriksi? Näitä Symantecin palvelimelle johtavia linkkejä on saapunut jo useita.

Linkki veisi sinut valeosoitteeseen:

https://clicktime(.)symantec.com/3AHVGgwCrpa5NGukgG5SXBa7Vc?u=51.0x4BBFE5/cl/25008_md/1/503/619/187/27036

Ensimmäinen kuva kertoo, että osoite on turvallinen. Huomioi, että Norton Safe Web on Symantecin oma tuote.

 Toinen virustorjuntaohjelma kertoo, että tämä SAMA OSOITE on vaarallinen!
F-Secure varoittaa linkistä ja kertoo loppuosoitteen, joka ei suinkaan sijaitse Symantecin palvelimella, vaan aivan muualla. Tuo Symantecin osoite vie tietokantaan, jossa lymyää tuo edelleen linkittävä ohjelman pätkä.

Tämä loppuosoite: goodwolder(.)com on julistettu useammallakin verkkoturvasivustolla vaaralliseksi osoitteeksi. Miten on selitettävissä, että Symantec ja sen omistama Norton virustorjunta ja sen omistama domain, päästää hakkerin palvelimelleen kylvämään näitä vaarallisia haittaosoitteita ja sen lisäksi kertoo osoitteen olevan TURVALLINEN? Kärsiikö firman uskottavuus? Ainakin minun silmissäni näin on nyt käynyt.

Edellinen postaukseni samasta aiheesta löytyy sivulta: https://vaarallinenweb.blogspot.com/2022/10/valtava-bonus-piilossa.html

 

S-Pankin bonustiedotteen osoite näyttää vaaralliselta

Älä missään tapauksessa koskaan klikkaa sähköpostin linkkejä pankkiin kirjautuaksesi.
Kirjaudu tilillesi VAIN pankin virallisen sivun kautta! Pankin osoitetta EI SAA MYÖSKÄÄN Googlata, vaan se tulee kirjoitta itse selaimen osoiteriville.

Goolehakujen tuloksena tulee erittäin usein vaarallisia linkkejä, jotka näyttävät esimerkiksi pankkien sivuilta MUTTA eivät ole.

"S-Pankin" kirje otsakkeella:

"Tiedätkö, kuinka paljon sinulle on kertynyt Bonusta?"

Bonustiedotteessa oleva S-Pankin osoitteelta näyttävä osoite (click.email.s-pankki(.)fi) vie alidomainiin, joka on Englannissa ja domaintiedustelu kertoo kone-IP:n takana sijaitsevan kolme spämmerikonetta. (Number of SPAM hosts on 161.71.0.0/17 = 3 pcs). Alla kopio nimitiedustelusta.
Näillä perusteilla, voisi päätellä, että linkit saattavat olla vaarallisia. Jokainen linkki vie samaan ali-domain-osoitteen tietokantaan. Ilmeisesti ainakin osoite on S-Pankin hallussa MUTTA...

S-Pankki varoittaa huijausviesteistä sivuillaan ja kieltää käyttämästä sähköposteissa olevia linkkejä.
JOS tämä posti on lähtöisin S-Pankista, se on vastoin pankin turvallisuusohjeita.

Kirjeestä löytyy teksti:" *Tietoturvasyista linkki vie osoitteeseen s-pankki.fi, josta paaset kirjautumaan verkkopankkiin." MIKSI IHMEESSÄ, kun pankkilinkit kirjeistä on tietoturvasyistä kokonaan kielletty. "click.email.s-pankki(.)fi" -linkki kiertää Englantilaisen koneen kautta:

https://www.s-pankki(.)fi/fi/arjen-raha-asiat/turvallinen-pankkiasiointi (linkki on rikottu tässä)

Kuvakaappaus Domainnimi-tiedustelusta:

Alla kuvakaappaus s-postin osasta, jossa tarjotaan linkkiä pankin sivuille. ÄLÄ KLIKKAA!

 

 

Teurastuksen vastainen huijausko?

Tämä kirje on osittain vaarallinen ja muistuttaa enemmän huijausta, kuin asiapostia.
Vakava epäily syntyy, että kyseessä on henkilötietokalastelu (phishing).

Kirjeessä vedotaan eläinaktivisteihin ja eläinrakkaisiin ihmisiin, pyytämällä osallistumaan teurastuksen vastaiseen kansalaisaloitteeseen (linkki ei vie aloitteeseen), joka tässä kirjeessä on luvattoman kehnosti esitelty.
Jokainen linkki vie yhteen ja samaan osoitteeseen joka luo vakavan vaikutelman phishing-ansasta.

Kaksi ylintä linkkiä antavat McAfeessa virusvaroituksen ELI niihin ei tule koskea!

Kuitenkin suurin osa linkeistä näyttäisi olevan turvallisia, vaikka linkkikysely antaa jokaisesta "SPAM" -leiman, eli "roskapostia".

Kirjeessä on väärennetty osoite kansalaishankkeen allekirjoittamiseksi!

VIRALLINEN OSOITE EU KANSALAISHANKKEELLE ON:
https://europa.eu/citizens-initiative/initiatives/details/2022/000003_en 

Olen eläinrakas ihminen itse MUTTA tälllä hetkellä on tärkeää muistaa Ukrainan sodan jalkoihin jääviä ihmisiä; naisia, lapsia, vanhuksia ja heidän epäinhimillisiä kärsimyksiään venäläisen teurastajan kynsissä.
Ja onhan siellä myös Putinin sodan jalkoihin jääneitä koiria, kissoja ja karjaa.

----------------------------------------KIRJE---------------------------------------------

Kirje saapuu Italiasta, koneelta, jonka omistaa: Ketchup Adv S.p.A.  Italialainen mainostoimisto, joka käyttää postitukseen: noreply@news.ilfenomenale.store osoitetta, joka domain antaa puhtaan turvakyselyn mutta ei anna takeita toimijan rehellisyydestä.
X-Original-Sender: mailer-daemon@news.ilfenomenale.store
Received: from bm169k.be-mail.it (bm169k.be-mail.it [185.153.111.169])
Postitussivuston omistaja Alexander ADV. Makedoniasta.

Kirje on kehno konekäännös. Jokainen linkkiosoite on turvatarkastelussa luokiteltu "SPAM" - roskaposti - nimikkeellä, yhdessä tai useammassakin verkkoturvayrityksessä.

Kirjeen lopussa oleva teksti on siansaksaa, ja pyrkii vakuuttamaan roskapostin oikeutusta.
En ole ollut koskaan missään tekemisissä tämän, tai tämän organisaation omistajan, tai omistajaorganisaation kanssa. Osoitteeni on varastettu ja sitä käytetään luvatta roskapostitukseen.

----------------------------------KIRJEEN LOPPUTEKSTI---------------------------------------------
Olet rekisteröitynyt osoitteeseen: hannu.kuukkanen@xxxxxxxx
Vastaanota tämä sähköposti, koska olet tilannut ylemmän tason, olet suostunut vastaanottamaan markkinointimateriaalia Italian säännösten mukaisesti asetuksen 196/2003 (tietosuojalaki) mukaisesti.
Voit tutustua tietosuojakäytäntöömme täällä: http://ilfenomenale(.)store/informativa-privacy (SPAM)
Vastuuelin on Alexander adv dooel Skopje, Filip Vtori Makedonski 19/2, 1000 Skopje, Vat 4082017520050, info @ilfenomenale(.)store
Jos et enää halua vastaanottaa markkinointiviestintäämme ja sinun olisi pitänyt peruuttaa tilauksen 24/48 tunnin kuluessa. 

Seuraavassa teurastuskirjeessä "vastuuelimen" makedonialainen osoite on muutettu: info @ilfenomenale(.)store.
Erittäin epämääräiseltä ja vaaralliselta vaikuttaa tämä toiminta.

 

Alice perintöjen ihmemaasta

Versio perintöansoista.
Tässäkin tapauksessa kerätään henkilötietosi ja pankkitietosi.
Seuraavaksi alkaa saldosi pyöriä miinukselle. Perinnöstä ei kuulu hiiskaustakaan, ellei sitten saavu merkillisiä "rahansiirtomaksuja" ja "asianajajalaskuja".

------------------------------------KIRJE---------------------------------

HYVÄÄ HUOMENTA,
From     Alice MartinAdd contact
Reply-To     alice.martin3344@gmail.comAdd contact
Date     Today 07:21

HYVÄÄ HUOMENTA,
Nimeni on Alice Martin.
Olen 22-vuotias tyttö orpo. Vanhempani ovat kuolleet, mutta minulla on
täällä pankissa noin (10 500 000,00 Yhdysvaltain dollaria) kymmenen
miljoonaa viisisataatuhatta Yhdysvaltain dollaria, jotka olen perinyt
edesmenneeltä rakkaalta isältäni Joseph Martinilta.

Haluan sijoittaa rahaston maahanne suostumuksellasi, yhteistyölläsi,
avullasi, neuvollasi ja avullasi.
Toiseksi, jos olet täysin suostunut työskentelemään kanssani tässä
tarkoituksessa, osoita ystävällisesti kiinnostuksesi vastaamalla minulle,
jotta toimitan sinulle tarvittavat tiedot ja yksityiskohtaiset tiedot
siitä, miten voit jatkaa. Olen valmis tarjoamaan sinulle 20 %
kokonaissummasta, kun rahat siirretään lopullisesti pankkitilillesi.
Odotetaan kiireellistä vastaustasi.

Ystävällisin terveisin sinulle ja koko perheellesi.
Tarvitsen opastustasi.
Kiitos,
Alice Martin.

----------------------------------------------------------------------------------

Valtava bonus piilossa

Symantecin palvelin vahtii sisältöjään. Tämän "Valtavan bonuksen" linkki olisi viennyt phishing sivulle, eli henkilötietovarkausyritykseen. Näitä on saapunut muutamia. Ihmettelenkin, miksi Symantec ei putsaa palvelintaan, vaikka on tietoturva-alan yritys? Tästä johtuu mieleen, että kyseessä on Symantecin oma, kyseenalainen "mainos".
Kirje ei saavu kuitenkaan suoraan Symantecilta vaan postiosoitteesta "news(@)playcoinmaster.com" McAfee kertoo sivustosta: "Nämä sivustot tarjoavat henkilö- tai ryhmäkohtaisia profiileja ja antavat jäsenilleen mahdollisuuden vuorovaikutukseen reaaliaikaisen viestinnän, viestien lähettämisen, julkisten tiedotteiden ja median jakamisen kautta. Tämän luokan sivustot saattavat myös mahdollistaa epätoivottujen tahojen yhteydenotot ja epämiellyttävää tietoa sisältäville jäsenprofiileille altistumisen." 

Tosin postin voi myös lähettää muualta ja väärentää lähetysosoite. Tällaisen osoitteen kautta siihen ei olisi, ymmärtääkseni, mitään syytä.

Sähköpostilistalta poistamislinkki ei vie minnekkään: "500 : No link found !". Ehkä palvelin on putsattu sittenkin? Tämä linkki on spämmeissä normaalisti varma ansa.

--------------------------------KIRJE----------------------------------------

Alamarginaalissa näkyvästä linkistä pääsee varoitussivulle. Tällä kohtaa haiskahtaa Symantecin omalta, kyseenalaiselta (kierolta) mainokselta, mutta koska kirjettä levitetään spämminä, ilman lupaa käyttää saajan sähköpostiosoitetta, se on tietosuojaloukkaus ja rikos. Sellaiseen tuskin Symantec uskaltautuu mainehaitan vuoksi? Olen myös analysoinut toista spämmiä, joka noudattaa samaa kaavaa. Lue: https://vaarallinenweb.blogspot.com/2022/10/symantec-norton-on-paastanyt.html

Norton virustorjunnan nimissä saapui roskapostia

Tämä kirje EI tule Nortonista, vaan huijarilta.
Linkkeihin EI SAA KOSKEA.

Lähettänyt kone sijaitsee Ruotsissa "videoslots(.)fi". Koneen on ilmoitettu olevan spämmeri ja koneella on aikusissisältöä, ei virustorjuntaohjelmia. Domainin omistajan koneosoite vie Maltalle.

Linkit vievät vaaralliseen tietokantaosoitteeseen redurl.duckdns(.)org. Alidomainin koneosoite vie Omaniin. Mutta itse domainosoite on rekisteröity tuntemattomalle toimijalle Isoon Britaniaan.

"Käsialasta" päätellen, kirje saapuu venäläiseltä Trollilta.
Postiosoitteesi kertautuu lähdekoodissa satoja kertoja.

------------------------------KIRJE---------------------------

 ilmoitus (7191A), digitaalinen elämäsi voi olla vaarassa hannu.kuukkanen

From	Norton
To	hannu.kuukkanen@xxxxxxxx
Date	Tue 23:37

 [1]

Peruuta tilaus tästä [2]  

Links:
------
[1] http://redurl.duckdns(.)org/cl/9769_md/1/1219/843/76/10406
[2] http://redurl.duckdns(.)org/oop/9769_md/1/1219/843/76/10406

 --------------------------------------------------------------------------------

 

 

Venäläinen "naiskauppa" jatkuu

Tämä on bluffia. Pitkästä aikaa Venäjän trollit jatkavat ukrainalaisten naisten "kauppaamista" rikollisessa tarkoituksessa.
Kyseessä on tyypillinen seksiansa, jolla on tarkoituksena hankkia, kirjautumisen kautta, miesuhreilta henkilötiedot ja istuttaa koneelle virus. Viruksen avulla koneesi voidaan valjastaa Venäjän cyberhyökkäykseen suomalaisia viranomaistoimijoiden palveluita, tai viestintävälineitä (mediaa), vastaan.
Putinin viimeisten puheitten perusteella, Suomi on muiden Euroopan valtioiden kanssa, "yhteisessä rintamassa" Venäjää vastaan. Putin kokee Suomen vihollisvaltioksi, vaikka ei sitä ole suoraan sanonutkaan, vaan niputtaa meidät "Länteen". Tämä on yksi syy, miksi tällaiset ja vastaavat spämmihyökkäykset tulevat edelleen runsastumaan.
Erilaisten huijausten kirjo näkyy tässä blogissa aika hyvänä läpileikkauksena.

----------------------------KIRJE------------------------

 

------------------------------------------------------------------------------

Kirjeessä olevat linkit vievät viiden virusturvayrityksen vaaralliseksi julistamaan osoitteeseen.
Domannimi sinänsä ei ole vaarallinen vaan sen kautta linkki jatkuu vaaralliselle sivulle.
"httpslink.com osoite kuuluu Redirect Service sivustolle", joka ohjaa linkin eteenpäin.

Kirje on postitettu Outlookin palvelun kautta Washingtonista (Hotmail on nyt Outlook.com.).
Tämä ei tarkoita, että lähettäjä olisi USA:lainen. Verkon kautta pääsee minne tahansa maailmalaajuisessa Internetissä. Postituspalveluita on kaikkialla.
Alussa tosin trollit lähettivät spämmikirjeensä, joko typeryyksissään tai laiskuuttaan, suoraan Pietarin tai Moskovan alueella olevilta koneiltaan.

Miksi lähden suorasta olettamuksesta, että kyseessä on venäläinen trolli, juotuu kirjeen sisällöstä ja spämmin käsialasta.

Sekakielinen Postnord Group - ansa

Huijarin pitäisi osata päättää, huijaisiko samalla kirjeellä ruotsin- englannin- vaiko kehnolla suomenkielellä suomenkielisiä. Mitä konna tarkoittaa postin valkaisulla? Tuskimpa postista olisi valkaistua parkettia tulossa?

Sekakielisyys ei oikein vakuuta. Samoin tämä "Postnordi" tai muu lähettipalvelutoimisto - ansatyyppi on jo kovin kulunut ja tuskin ketään enää edes siihen retkahtaa (toivottavasti ei).
Kirjeen lähettänyt kone on Liettuassa.

------------------------------KIRJE-------------------------------

Toimitusnumerosi: FIK84LKI8965BHG

From     Bekräftelse behövs
To     hannu.kuukkanen@xxxxxxxxxxx
Reply-To     info@wealthyprenuer.com
Date     Today 17:20

Sait uuden parketin,

Muistutamme, että olet vastaanottanut postin valkaisun ja että sinun

tulee vahvistaa toimituskulut maksamalla verkossa.

Toimitusnumerosi: FIK84LKI8965BHG

Seuraa Minun BalikiaKun lähetys saapuu kotiosoitteeseesi,

saat tekstiviestin taiVahvista maksu hakemuksessa ja napsauta JATKA.

Med vänliga hälsningar,

Din Postnord Group kundtjänst

----------------------TXT muodossa---------------------
Your email client cannot read this email.
To view it online, please go here:
http://wealthyprenuer(.)com/display.php?M=211307&C=27517a5f3625e72428d61b6a7498670e&S=12&L=15&N=7 (tämä osoite vie ansaan - henkilötietojen keruulomakkeelle)


To stop receiving these
emails:http://wealthyprenuer(.)com/unsubscribe.php?M=211307&C=27517a5f3625e72428d61b6a7498670e&L=15&N=12 (tämä osoite vie ansaan - henkilötietojen keruulomakkeelle)
Powered by Interspire

Onko Otavamedia siirtynyt pankkialalle?

Kannattaa kiinnittää huomiota mistä posti saapuu. Tosin aina sekään ei kerro totuutta, koska lähettäjäksi voi kirjoittaa mitä tahansa. Tämä huijari on tehnyt virheen, joka paljastaa hänet heti kättelyssä. Osoite on myös varastettu Otavamedialta: otavamedia@otavamedia.fi. Se ei kuitenkaan todista mitenkään postin alkuperää. Lähettäjäkoneen maatunnuksen mukaan posti saapui Israelista.
Lähettäjäkonekaan ei välttämättä kerro itse lähettäjää tai hänen kansallisuuttaan. Linkkiosoite on kuitenkin SE oleellisin ja VAARALLISIN.

Linkkiosoite (kaikki osoitteet) on sama, kuin edellisessä roskapostikampanjassa "https://www.belgianart(.)be/redirect-link?u=51.0x4BBFE5amVVQ2hhVnpH...."
Olen ilmoittanut belgianart(.)be domainin haltijalle, että tarkastaa palvelimensa. Linkistä voisi päätellä, että palvelimen tietokanta on hakkeroitu ja sinne on ujutettu vaarallinen koodi (VIRUS).

Aiheesta voisi myös päätellä, että "redirect" (uudelleenohjaus) linkin päässä on henkilö- ja pankkitietokalastelu. Kaikissa tapauksissa linkki on erittäin VAARALLINEN.

--------------------------------KIRJE------------------------------

Tämä sama roskaposti tuli myös osoitteesta "info@nazar(.)fi", joka on matkatoimisto.

Edellinen samalla hakkeroidulla linkkiosoitteella "belgianart(.)be" varustettu roskaposti löytyy osoitteesta: https://vaarallinenweb.blogspot.com/2022/09/ansa-pelureille.html
Tuosta kirjestä voi päätellä, että kaikilla mahdollisilla alueilla yritetään kalastella onnettomia uhreja.Vaikka ansat ovat hepposia, silti suomalaiset hyväuskoiset ihmiset antautuvat lypsettäviksi tai orjakoneiksi hakkereille.

Roskapostirypäs - vain otsake vaihtuu

Näitä vastaavia kirjeitä saapui kuuden kappaleen ryhmänä, joissa ainoastaan otsake vaihtui. Ansalinkit säilyivät samana. Kirje oli käytännössä tyhjä, vain yksi kuva, jonka selaimeni esti (toivomuksestani). Ykköslinkki lähtee kuvasta.
Koska virustorjunta ei tunnista vaaraa, on kyseessä mitä ilmeisimmin phishing, eli henkilötietovarkaus lomakkeella. "Tilaukseen" viittaa kirjeen otsakekin.

--------------------------------KIRJE--------------------------------

97F0CEC4 1677 henkilöä on laihtunut jo 55180 kg (ja Sinä et) 6B65C033

From	Adela Kuusisto
To	hannu.kuukkanen@xxxxxxxxxxx
Date	Tue 02:34

Peruuta tilaus tästä [2]
Links:
------
[1] http://redurl.duckdns(.)org/VWkySG5neTE1Vk5OM2ppdDhFMEN5dWE2aElrbTlocjRVbnhmUURUVxxxx...
[2] http://redurl.duckdns(.)org/bE5ib1BTVVkrMktqcWdqdjFENXBjREMxxxx...

-------------------------------------------------------------------------------------------------------

Muita samanlaisen kirjeen ostakkeita:

 

50D729A1 O.d.o.t.a.m.m.e v.a.h.v.i.s.t.u.s.t.a.s.i, hannu.kuukkanen

From:     Anna, Lahjakortti-tiimi

6B81D0D4 Aika on juuri nyt! 51C7D117
From:     BitcoinEra

ACA8A923 Viestiä sinulle! D27FF3B2
From:     Sinun kirjeenvaihtosi

8910E6D2 Viestiä sinulle! D15AD4E4
From:     Sinun kirjeenvaihtosi

Kaikki saman tyyliset kirjeet ovat roskapostia ja vaarallisia.