Hej, Förra veckan dökt det upp flera försök av nätfiske riktad mot flertalet SUNET-kunder (flera MISP-händelser har registrerats). Gemensamt för flera av dessa nätfiskeförsök, var att de utgick från epost med länk som efterliknade lärosätets IdP FQDN, fast under en annan toppdomän än .se. T.ex. kunde ett epost-meddelandet innehålla URL:en: https://idp.it.su.se.blah.me Under Content Inspection -> URL block kan man lägga till URL:en, men det är oftast försent, och nästa gång de gör ett nytt utskick så är det troligtvis en ny domän eller t.o.m. en ny toppdomän i URL:en. (Några av de vanligaste toppdomänerna som nätfiskare brukar använda är .ga .gq .ml .cf .tk .xyz .pw .cc .club .top) Funktionen URL block matchar enligt uttrycket “contains” (innehåller), så en bättre & kraftfullare match-regel är att lägga in er IdPs FQDN + en extra punkt på slutet. För exemplet ovan skulle det bli “idp.it.su.se.”. Denna regel kommer matcha både http & https och vilka andra toppdomäner & underdomäner nätfiskarna väljer att använda för sin URL oavsett. Dock kommer den aldrig matcha den korrekta URL:en https://idp.it.su.se eller https://idp.it.su.se/(...) (eller en URL som frångår FQDN, som t.ex. http://idp.it.su.sett.me) Det kan också vara vettigt att lägga in den här regeln i sin “pre-defined settings” så den slår URL block regeln för samtliga era domäner som ni administrerar. Mvh, /P