I oto kolejny przykład gdy „poważna” instytucja finansowa robi coś dziwnego z mailami. Niby nic wielkiego ale jednak.
W weekend PKO Bank Polski rozsyłał mailing. W polu From miał wpisane cos takiego
From: „PKO Bank Polski” <pko@prospect4you.pl>
Oczywiście może sobie bank takie coś stworzyć ale jak rozróżnić potem automatycznie mailing od phisingu?? Pole From wygląda jak jakiś atak, wszystko udaje bank z wyjątkiem domeny,.
Po kliknięciu w link nastepują dwa przekierowania i już jesteśmy na stronie PKO Bank Polski(klikamy crazygecko.pl potem przelatujemy przez comperland.pl)/
Tytul maila:Korzystniej inwestować w duecie
Może to zwyczajny zbieracz/potwierdzacz adresów do spambazy? Bo nie wierzę że poważna firma wysyłająca mailingi, wysyła to z adresem FROM pko@prospect4you.pl, gdzie strona prospect4you.pl jest stroną startową dla nowego klienta OVH.
Ale ktora jest powazna PKO czy prospect4you?:)
A powaznie to wyglada na zamowiona reklame.
Domena prospect4you zalozona 2016.05.24
Jakiś czas temu wysyłali z domeny inteligo.pl. Też łapał się na filtry…
Mam taką regułkę:
header __PLX_YOURTIME_1 From =~ /your\-time\.pl/i
header __PLX_YOURTIME_2 From =~ /notice4you\.pl/i
header __PLX_YOURTIME_3 From =~ /yourprospect\.pl/i
header __PLX_YOURTIME_4 From =~ /prospect4you\.pl/i
meta PLX_YOURTIME (__PLX_YOURTIME_1 || __PLX_YOURTIME_2 || __PLX_YOURTIME_3 || __PLX_YOURTIME_4)
describe PLX_YOURTIME z domety your_time.pl i tym podobnych
score PLX_YOURTIME 5.0
Mam tego wysyp dziadostwa i nie tylko PKO BP.
A tu nie zadziala blacklista na te domeny?