Nálunk rendszeresen van ilyen teszt (nagyjából havonta), és igen, egy trükkös domain név kell hozzá (ez azért nem egy nagy ügy, főleg, hogy amúgy is sok domaint kezelünk). O365 a levelezés, szerintem ott eleve trükköznek, hogy átmenjen a spamfilteren, az URL-ben pedig egy hosszú szám az egyedi, így visszakövethető, hogy ki kattintott rá, viszont nem lehet (vagy meglehetősen nehéz lenne) behazudni másokat, mert nyilván egy hosszú számtérnél sok lyuk van. Nálunk az outlookban van egy külön gomb, ami nyilván egy makrón keresztül elküldi a biztonsági részleghez a gyanús leveleket, erre minden gyanús levélnél illik rákattintani, az elintézi a többit. Szokták mérni, és a teamleadernek elküldeni, hogy ki kattintott rá, illetve ki nem jelentette. A véletlen rákattintás eredménye az, hogy újra el kell végezni az adathalászat e-learninget, más retorzióról nem tudok, szóval ez kicsit bosszantó, de nyilván emiatt következő alkalommal jobban figyel a delikvens.
A levél tartalma még egy-egy kampány alatt is eltérő, vagyis van jónéhány csalilevél formátum, random, hogy ki mit kap. Egyetlen helyen bukott meg ez a metódus: van egy header, ami mindig előfordul a csalilevelekben, és csak azokban, úgyhogy erre írtam egy filtert, ha ilyen levél érkezik, az Outlook nekem feldobta a pop-up ablakot, hogy ismét jön egy csapda :)