Et forhold er klinkende klart: Den spammen jeg har mottatt i år som involverer norske firma bryter markedsføringsloven. Men graver man litt dypere kan det se mer alvorlig ut enn som så.
For eksempel: Hvilke forbindelseslinjer kan man finne mellom finansielle spammere, såkalte «finansagenter» som motty.no, unofinans.no, digitalfinans.no, digifinans.no etc. og kriminelle hackere?
Hvorfor forfalskes avsendere og anna info i epostene?
Hvorfor brukes obskure/falske domenenavn for både sending av spam og hosting av websider? Hvorfor brukes tjenester som f.eks. utsending av spam og hosting av websider fra russisk firma? Firma som også har hostet svindelsiter som tilsynelatende tilbyr investeringer i kryptovaluta, men istedet svindler folk for deres oppsparte midler? Og som hoster websider som er satt opp for phishing?
Eller kanskje «finansagentene» selv tar seg av epostlister, utsending av spam og oppsett av såkalte «landingpages»? Jeg vet ikke enda.
Endrer og flikker på denne innimella. «Connecting the dots» er bestandig interessant, men også tidkrevende.
Mye info som må sjekkes og dobbelsjekkes. Og det dukker stadig opp ny info jo mer man graver og dess mer spam man får.
Siden januar i år (2023) har de fleste epost-innboksene mine stort sett fått være i fred.
Bortsett fra en e-postadresse som jevnt og trutt mottar spam for bl.a.lånetilbud, refinansiering og kredittkort. Har valgt å kategorisere dette som «finansiell spam».
I starten var det for det meste fra Motty.no med bl.a. domenet finansiering.no og Uno Finans (unofinans.no) etterfulgt av Digital Finans. Sistnevnte med flere domener; norgeslanet.no, kredittlanet.no og mange mange flere.
Den siste er DigiFinans. Som ser ut til å være en del av noe som kaller seg for «Sambla group«.
Jeg grubler også litt over noe som kaller seg «Salus group».
Og kundene til disse spammende «finansagentene» er?
Norske banker.
Bluestep, TFbank, Nordax, Nordea, Eika m.fl både ifølge noen av «finansagentene» og bankene selv.
Skjermdump fra Sambla group sin side – «Noen av bankene vi sammenligner»:
Har kun vært i (en slags) dialog med Bluestep så langt. Og svaret derfra er mildt sagt en smule pussig. Mer om det siden.
TFbank svarer ikke i det hele tatt.
I tillegg til spam fra disse «finansagentene» lander det diverse anna norskspråklig svindel- og phishingforsøk til adresser i denne innboksen.
Siden april ar det for det meste dreid seg om fornyelse av utløpt lisens på et antivirusprogram (som jeg ikke har).
Samt advarsler om at BankID på mobil vil erstattes av app. Med tilhørende link til en webside med falsk innlogging til BankID.
Det som er noe pussig er at spam fra «finansagentene» og antivirus-spam har noe til felles i det siste.
Som likheter i linkene i spammen., samme domener. «Konstruksjonen»/kildekoden i spammen ofte er identisk eller har store likheter. I tillegg forfalskes avsender av spammen etter samme mønster.
Lot meg lure i begynnelsen av at avsender var satt til coolstuff.no (som jeg ikke har hørt om før). Da netonnet.no, cdon.no, norwegian.com, ellos.no, samfundet.no, Apple og noen til etterhvert dukka opp som angivelige avsendere skjønte jeg at her var det noe som ikke stemte og tok en nærmere kikk på headere og html-koden i spammen.
Likhetene er så påfallende at man kan fastslå at «noen» har samme finger med i spillet i både den finansielle spammen og i svindelforsøkene jeg har mottatt dette første halvåret.
Så får jeg selv prøve å fiske litt mer for å finne ut mer.
Nevner til slutt at e-postadressen denne spammen og phishingforsøkene sendes til har lekket med bakgrunn i at en større internasjonal portal ble hacket for mange år siden. Adressen ble kun brukt til innsendelse av dokumenter internt i portalen oghar ikke vært brukt av meg i andre sammenhenger. Det sier en del om hvor råtten denne «bransjen» og forbindelsen mellom disse bankene, «finansagentene» og kriminelle hackere er.
Forfalskning av avsenders e-postadresse og anna info
11. september 2023
Selve innholdet i e-postene dreier seg om lån, refinansering eller kredittkort.
Et par eksempler på avsendere og «skjult» info som også er delvis forfalska – henta fra spam som til slutt ender hos motty.no. Mønsteret er mer eller mindre det samme fra de øvrige «finansagentene», kommer med noen eksempler fra dem senere.
Først tre linjer med forskjellig tekst/avsenderinfo, vanligvis er dette kun en adresse:
From: Få økonomisk hjelp nå! (kundeservice[.@.]netonnet.no)
From: Kredittlanet info[.@.]coolstuff.no
Sender: sikring[.@.]samfundet.no
Jeg var ikke klar over at Motty er en del av Netonnet og Studentersamfunnet i Trondhem …. og det tror jeg ikke de to sistnevnte er klar over heller.
Noen ganger ser det ut som noen tatt seg «en lille en» under spamutsendelsen og like greit satt avsendernavn til «Lille, men mægtig!».
En gang i blant har det blitt atskillig flere enn bare en lille en. Med flere små innabords er det fort gjort å blande feltene i spam-malene ogsette avsender til «Kredittlanet» og emne/subject for e-posten er til «Vi prøver å advare deg om at vi ikke er ansvarlige hvis du blir hacket» . Har fått et par slike. Og en kasinospam: «Velkomstbonus opptil € 1500 og 270 FS hilser alle nye spillere velkommen.» med visuelt avsendernavn «Ny lånemulighet for deg».
Mottakeradressen min er den som har «lekket» pga hacking av en internasjonal portal for noen år siden.
Og så litt av det «tekniske» innholdet som ikke vises i selve e-postinnholdet, men som bl.a. sier litt om hvor e-posten kommer fra:
Received: from canapolis.ufdedba.se (unknown [172.99.174.60]
« canapolis.ufdedba.se» eksisterer ikke og har aldri eksistert, dvs falsk.
172.99.174.60 er «ip-adressen» som e-posten kommer fra og den stemmer i dette tilfellet.
Den «eies» forøvrig av «Baxet Group Inc» som ser ut til å ha vært/er «vertskap» for litt av hvert.
Det ser ut som om de prøver å gi inntrykk av å være et amerikansk firma, men er i realiteten hjemmehørende i Russland. Mye mer om Baxet neste gang.
Et eksempel til:
From: Finansiering.no (nyhetsbrev[.@.]cdon.no)
From: (message[.@.]my.zalando.no)
Sender: newsletter[.@.]news.norwegian.com
Det eneste som sannsynligvis ikke er forfalska her er teksten «Finansiering.no».
E-postadressene er igjen forfalska.
Denne gangen brukes «effatrh.sanifte.be» i den litt mer tekniske delen av e-posten, men i likhet med det forrige eksempelet eksisterer ikke dette heller.
Ip-adressen denne gang er 172.99.174.12, som igjen ser ut til å stemme. Og som igjen «eies» av Baxet.
De øvrige «ofrene» for falske avsenderadresser og -navn jeg har sett :
jula.no,Apple, ellos.no.
En liten avsporing (?): I det siste har jeg fått et par e-poster som prøver å svindle med en bonusutbetaling på mitt trumfkort (som jeg ikke har). Disse har forhåpentligvis ingenting med Motty å gjøre. Men de er klassifisert som spam. Det som kan være litt interessant er at domenet «trumf.no» har havna på ei liste over domener som er kjent for å spamme. Ikke utenkelig at Motty sitt misbruk av «trumf.no» som avsender har bidratt til at reelle e-poster fra Trumf nå muligens havner i spamfolderen til en del av som faktisk har et Trumfkort.
Framover blir det litt mer om de websidene man først havner på dersom man klikker på linkene i spammen, disse leder til en «mellomstasjon» før et av Motty sine domener (som ofte er «finansiering.no» hvis jeg husker rett). Det vil kanskje også dreie seg mye om Baxet LLC, Baxetgroup, litt om bitcoinsvindel, «phishing», kasinospam og kanskje nogo attåt. Om tvilsomme «tjenester» levert av de samme som på et eller anna vis leverer tjenester til norske «finansagenter» enten direkte eller indirekte. Som de selv og norske banker tjener penger på.
Spesielt interessant er likhetene mellom finansagentenenes spam og spam for McAfee antivirus som herja seint i vår/tidlig sommer. Med emner som «Vi prøver å advare deg om at vi ikke er ansvarlige hvis du blir hacket» og «Dine personlige data er i fare», «Vennligst forny i dag før et nettangrep ødelegger hele filen din!».
Og kanskje det blir litt på kanten syrlige kommentarer om «finansagenter» og spesielt en svensk/norsk bank sin holdning til sin bruk av dem. Og samme banks totale mangel på innsikt i hvordan den selv behandler personlige opplysninger og hva de mener de har ansvar for og når. Alt i alt er det kanskje mat for datatilsynet, forbrukerrådet og finanstilsynet.
Får se når jeg får systematisert infoen jeg har litt bedre. Tar tid slikt.