Niemieckie rachunki z Telekom.de

Coś moda ostatnio na spoofingowanie po niemiecku. Po DHLu kolejny raz się uaktywniają rachunki z telekom.de lub czasem t-online.de. Standardowo zawiera w sobie linko który prowadzi do zipa w którym jest exe. Temat maila to „Ihre Telekom Festnetz-Rechnung Juni 2015” ale pewnie będzie zmienny w czasie.

Wygląd maila wysyłanego przez oszustów
Wygląd maila wysyłanego przez oszustów

 

 

 

 

 

 

 

 

 

 

A oto reguły które pomagają ubić tego rodzaju spam. Pierwsza analizuje temat, sprawdza czy nadawca w tekście Telekom i czy adres nadawcy zawiera telekom. Oto reguła.

header    __ZABOJCASPAMU_RECHNUNG_201506111_1     Subject=~/Ihre Telekom Festnetz\-Rechnung/
header    __ZABOJCASPAMU_RECHNUNG_201506111_2     From=~/Telekom/
header    __ZABOJCASPAMU_RECHNUNG_201506111_3     From:addr=~/telekom\./
meta      ZABOJCASPAMU_RECHNUNG_201506111   __ZABOJCASPAMU_RECHNUNG_201506111_1 &&  __ZABOJCASPAMU_RECHNUNG_201506111_2 && ! __ZABOJCASPAMU_RECHNUNG_201506111_3
describe  ZABOJCASPAMU_RECHNUNG_201506111    Spam z Ihre Telekom Festnetz-Rechnung
score     ZABOJCASPAMU_RECHNUNG_201506111    10

Druga reguła inaczej podchodzi do sprawy. Aby ją użyć należy pluginu Uridetail. Należy wstawić lub odkomentować linię (będzie w /etc/spamassassin/local.cf lub /etc/spamassassin/v320.pre lub inny numer). Ta reguła sprawdza czy nie jest adres URL podmieniany(inny wyświetlany inny rzeczywisty)

loadplugin Mail::SpamAssassin::Plugin::URIDetail

Powyższa linia powinna być odkomentowana.

Oto reguła:

header      __ZABOJCASPAMU_RECHNUNG_201506112_1     From=~/Telekom/
uri_detail  __ZABOJCASPAMU_RECHNUNG_201506112_2     text=~/www\.(t-online|telekom)\.de/ cleaned!~/(t-online|telekom)\.de/
meta        ZABOJCASPAMU_RECHNUNG_201506112         __ZABOJCASPAMU_RECHNUNG_201506112_1 && __ZABOJCASPAMU_RECHNUNG_201506112_2
describe    ZABOJCASPAMU_RECHNUNG_201506112         Fake Telekom po niemiecku
score       ZABOJCASPAMU_RECHNUNG_201506112         10

A czemu takie nazwy reguł? A takie trochę z binda:)

Miłego ubijania spamu

 

 

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *