Ostatnimi czasy pojawiły się kolejny próby podszycia pod Oranga. Zgodnie z wpisem na blogu Oranga w mailach są tylko dwie numery faktur. Więc sprawa jest prosta aby zrobić prosta regułę ubijającą.
header __ZABOJCASPAMU_ORANGE_PHISH_20160403_F From=~/\@pl\.orange\.com/ header __ZABOJCASPAMU_ORANGE_PHISH_20160403_S Subject=~/(1\.18733482|1\.17703897)/ meta ZABOJCASPAMU_ORANGE_PHISH_20160403 __ZABOJCASPAMU_ORANGE_PHISH_20160403_F && __ZABOJCASPAMU_ORANGE_PHISH_20160403_S describe ZABOJCASPAMU_ORANGE_PHISH_20160403 fake z fakturami score ZABOJCASPAMU_ORANGE_PHISH_20160403 5
Również w wiadomości na blogu jest informacja o tym, ze maile są podpisywane DKIMem. mam nadzieję opublikować regułę sprawdzającą czy maile są podpisane
Jak piszą ich maile o płatnościach wysyłane są z jednej ściśle określonej domeny podpisanej DKIM, nie lepiej to blokować więc po tej domenie i DKIM? bo co jak zmienią jutro nr faktur, a za 4 dni znowu?
Lepiej i wlasnie w tym tygodniu będzie taka reguła. To byl przyklad