ทำไมข้อความชำระเงินของ FedEx ที่เป็นของจริงถึงดูเหมือนฟิชชิง
(troyhunt.com)- SMS สำหรับชำระภาษีศุลกากรและภาษีของ FedEx ที่เป็นของจริงแสดงสัญญาณเกือบเหมือนข้อความฟิชชิง โดยในแบบสำรวจที่มีผู้เข้าร่วมมากกว่า 4,000 คน 87% มองว่าน่าสงสัย
- ในข้อความมี shipment number ที่สั้น, การเร่งให้ชำระเงินด่วน, การใช้ตัวพิมพ์เล็ก-ใหญ่ที่แปลก, ไม่มีการระบุสกุลเงิน และใช้ที่อยู่ชำระเงิน
bpoint.com.auแทนที่จะเป็นของ FedEx - ในหน้าติดตามพัสดุของ FedEx ตรวจสอบข้อมูล duty หรือ tax ได้ยาก และลิงก์ BPOINT ยังเปลี่ยน tracking number, customer name และ amount ได้เพียงแก้ URL parameter
- ช่องทางติดต่อฝ่ายบริการลูกค้าและระบบโทรศัพท์ก็ทำให้สับสน แต่ 3 วันต่อมาไฟล์แนบในอีเมลที่ส่งมาถึงยืนยัน invoice ของ Prusa รวมถึงข้อมูลคำสั่งซื้อ ราคา และการจัดส่ง ทำให้ตรวจสอบได้ว่า SMS ตรงกับคำขอจริง
- มาตรการควบคุมทางเทคนิค อย่างการบล็อก SMS หลอกลวงเพียงอย่างเดียวไม่เพียงพอ เพราะถ้าข้อความจากบริษัทที่ถูกต้องตามกฎหมายมีลักษณะเหมือนฟิชชิงแบบต้นฉบับ เกณฑ์ที่ผู้ใช้ใช้ตัดสินใจก็จะพังลง
สถานการณ์ที่การแจ้งเตือนการจัดส่งจริงดูเหมือนฟิชชิง
- ช่วงหลังมี SMS ฟิชชิง ประเภท “ไม่สามารถจัดส่งพัสดุได้” เข้ามาจำนวนมาก และยังผ่านตัวกรองของผู้ให้บริการจนเข้าถึงกล่องข้อความได้
- เวลาตรวจดูว่าเป็นฟิชชิงหรือไม่ มักจะดูสัญญาณอย่างความเร่งด่วน ความกังวลว่าจะพลาดอะไรบางอย่าง และ URL แปลกที่ไม่ตรงกับบริษัทขนส่ง
- ระหว่างที่กำลังรอรับของจาก FedEx จริง ก็มี SMS ให้ชำระ duty และ taxes เข้ามา ซึ่งดูจากภายนอกอย่างเดียวแยกได้ยากว่าเป็นคำขอจริงหรือฟิชชิง
- แบบสำรวจบน X มีผู้ตอบมากกว่า 4,000 คน และ 87% ตัดสินว่า “dodgy AF”
สัญญาณน่าสงสัยที่อยู่ใน SMS
- ในข้อความมีการเขียนชื่อไม่เป็นธรรมชาติและมีสตริงอย่าง
-Expทั้งที่ปกติ FedEx จะใช้FedExโดยEเป็นตัวพิมพ์ใหญ่ - shipment number ดูสั้นเกินไป และเป็นหมายเลขเดียวกับที่อยู่ในคำขอชำระเงินด้านล่าง
- คำว่า
urgentทำหน้าที่เป็นสัญญาณแบบ social engineering ที่ผลักให้คนลงมือทำก่อนจะคิดให้รอบคอบ - การใช้ตัวพิมพ์เล็ก-ใหญ่ใน
DutyและTaxesดูแปลก และทั้งที่เป็นข้อความจากบริษัทขนส่งระดับโลกกลับไม่มีสกุลเงินหรือสัญลักษณ์ดอลลาร์ - ลิงก์ชำระเงินไม่ใช่โดเมนของ FedEx และไม่ใช่โดเมนรัฐบาลออสเตรเลีย แต่เป็น
bpoint.com.au - วิธีให้ช่องทางติดต่อไว้ใน SMS ขัดกับแนวทางอย่างของ NAB ที่เอาลิงก์ออกจากข้อความ SMS
กระบวนการที่ตรวจสอบเองได้ยาก
- คำแนะนำพื้นฐานสำหรับคำขอชำระเงินที่น่าสงสัยคืออย่ากดลิงก์ในข้อความ แต่ให้เข้าเว็บไซต์นั้นโดยตรงเพื่อตรวจสอบ
- ผู้เขียนไปค้นข้อมูลการจัดส่งจากอีเมลยืนยันการซื้อของ Prusa แล้วเข้าเว็บไซต์ FedEx แต่ในหน้าติดตามพัสดุกลับหาหัวข้อ duty หรือ tax ไม่เจอ
- หากตามลิงก์ใน SMS ไป จะสามารถ แก้ tracking number, customer name และ amount ได้ตามใจเพียงเปลี่ยน URL parameter
- ทำได้โดยไม่ต้องแก้ DOM ในเบราว์เซอร์หรือดักทราฟฟิก แค่เปลี่ยน query string parameter ก็พอ
- พฤติกรรมนี้ดูเหมือนเว็บฟิชชิง แต่ BPOINT เป็นpayment gateway ที่ Commonwealth Bank ให้บริการ
- วันถัดมามี SMS อีกข้อความจากผู้ส่งรายเดิม
- คราวนี้มี shipping number อยู่ในข้อความ และการใช้ตัวพิมพ์เล็ก-ใหญ่ของ duty และ taxes กลับมาปกติ
PAY NOWแสดงเป็นตัวพิมพ์ใหญ่ แต่ “ลิงก์” มีแค่ query string parameter ไม่มี scheme, domain หรือ path จึงกดเพื่อชำระเงินไม่ได้- ชื่อของ query string parameter ก็ถูกเปลี่ยนเป็นตัวพิมพ์ใหญ่ทั้งหมด ทำให้ดูเหมือนมีขั้นตอนสร้างอีกแบบหนึ่ง หรือไม่ก็กระบวนการพังอยู่
ฝ่ายบริการลูกค้าและการยืนยันขั้นสุดท้าย
- เมื่อค้นหาเบอร์ 1800 ก็พบหน้าของหมายเลขนี้บน Reverse Australia อยู่ในผลลัพธ์ต้น ๆ และทั้งคอมเมนต์กับผลการค้นหาโดยรวมก็สะท้อนความสับสนว่าเป็นข้อความจริงหรือไม่
- ผู้เขียนจึงพยายามตรวจสอบผ่านเส้นทางCustomer Support บนเว็บไซต์ FedEx แทนการใช้หมายเลขใน SMS
- หน้าฝ่ายบริการลูกค้ามุ่งไปที่การสื่อสารทางอีเมลและการตรวจสอบโดเมนผู้ส่ง พร้อมแนะนำหมายเลขโทรศัพท์ที่ต่างจากใน SMS
- เมื่อโทรไปยังหมายเลขที่แนะนำและเลือกเมนู duty และ taxes ก็พบว่าหลังจากไม่กี่ขั้นตอน การกดปุ่มบนคีย์แพดไม่ทำงานและระบบพูดข้อความเดิมซ้ำ
- ระบบแนะนำเป็นทางเลือกให้โทรไปที่ 132610 แต่หมายเลขนั้นก็คือหมายเลขที่เพิ่งโทรไปตั้งแต่แรก
- เมื่อลองใหม่ผ่านเมนูเส้นทางอื่น ระบบขอ tracking number ก่อน แล้วจึงบอกข้อมูลเดียวกับในเว็บไซต์ พร้อมมีตัวเลือกให้ต่อสายเจ้าหน้าที่
- เจ้าหน้าที่แจ้งว่ามูลค่าสินค้าที่จัดส่งคือ US$799 และเมื่อนำมาแปลงเป็น AU$1,215.97 จึงเข้าข่าย inbound fees แต่ยังต้องขอโทรกลับเพื่อยืนยันว่าตรงกับยอดใน SMS หรือไม่
- หลังจาก SMS แรก 3 วัน อีเมลก็มาถึง โดยยอดเงิน ที่อยู่ BPOINT และข้อความตรงกับใน SMS
- ไฟล์แนบในอีเมลมี invoice ของ Prusa ฉบับเต็ม พร้อมเลขคำสั่งซื้อ ราคา และข้อมูลการจัดส่ง ทำให้ยืนยันได้ว่า SMS เชื่อมโยงกับคำขอจริง
ข้อความจากองค์กรที่ทำให้การป้องกันฟิชชิงอ่อนแอลง
- เฉพาะในออสเตรเลีย ความเสียหายจากสแกมมีมูลค่ามากกว่า AU$3B ต่อปี และในระดับโลกยิ่งเป็นปัญหาใหญ่กว่าเดิม
- ACMA ระบุว่าผู้ให้บริการโทรคมนาคมได้ บล็อก SMS หลอกลวง 336 ล้านข้อความ แต่ไม่อาจรู้ได้ว่ามีข้อความหลอกลวงที่ไม่ถูกบล็อกเหลืออยู่อีกเท่าไร
- เพราะมาตรการควบคุมทางเทคนิคอย่างเดียวไม่พอ คนจึงต้องอาศัยรูปแบบอย่างการเรียกเก็บเงิน ความเร่งด่วน ไวยากรณ์และตัวพิมพ์เล็ก-ใหญ่ที่แปลก รวมถึง URL ประหลาด เพื่อระบุว่าเป็นสแกม
- แต่ในกรณีนี้ ข้อความของ FedEx ที่ถูกต้องตามกฎหมายกลับมี รูปแบบบ่งชี้สแกม อยู่หลายข้อพอดี
- ในช่วงที่สแกมที่ใช้ AI แยกแยะได้ยากขึ้นเรื่อย ๆ หากข้อความจากองค์กรที่ถูกต้องตามกฎหมายยังแยกไม่ออกจากของสแกม เกณฑ์การตัดสินของผู้ใช้ก็จะอ่อนแอลง
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
FedEx เป็นหนึ่งในบริษัทใหญ่ที่มีแพลตฟอร์มดิจิทัลแย่ที่สุด และความปลอดภัยก็อยู่ในกลุ่มที่หละหลวมที่สุด
ผมย้ายเข้าอพาร์ตเมนต์รุ่นที่ 10 แล้วตั้งค่า FedEx Delivery Manager ปรากฏว่าแค่กรอกที่อยู่ใหม่ โดยไม่มีการตรวจสอบใด ๆ ก็เห็นคำสั่งการจัดส่งของผู้เช่าคนก่อนทันที และในนั้นยังมีรหัสโรงรถส่วนตัวของอาคารด้วย ขโมยก็น่าจะทำแบบเดียวกันได้
หลังย้ายออก ผมพยายามเพิ่มที่อยู่ใหม่ แต่เว็บไซต์ขึ้นข้อผิดพลาดทุกครั้ง พอไปค้นในฟอรัมก็พบว่าสมมติฐานที่ว่าหากรหัสผ่านมีอักขระพิเศษ ฟังก์ชันบางส่วนของเว็บไซต์จะพังถาวรนั้นเป็นจริง แม้แต่ขั้นตอนเปลี่ยนรหัสผ่านก็เสีย สุดท้ายภรรยาผมต้องสร้างบัญชีใหม่ด้วยรหัสผ่านที่อ่อนกว่า
ตัวบริษัทเองน่าประทับใจนะ แต่นี่มันระดับมือสมัครเล่นจริง ๆ
คำสั่งซื้อล่าสุดสองรายการดูเหมือนถูกใครบางคนใน FedEx ขโมยไปเฉย ๆ เข้าศูนย์แล้ว แต่หลังจากนั้นไม่เคยออกมาอีกเลย ศูนย์บริการลูกค้าก็เป็นแค่เครื่องจักรขอโทษที่อยู่ต่างประเทศ แก้อะไรไม่ได้เลย เมื่อก่อนผมเคยชอบ FedEx แต่คุณภาพบริการตกต่ำมากจนตอนนี้ตั้งใจหลีกเลี่ยง
ทันทีที่สร้างบัญชีได้ ก็มี ใบแจ้งหนี้ค่าขนส่งระหว่างประเทศมูลค่าหลายพันดอลลาร์ ของผู้ส่งและผู้รับที่ไม่เกี่ยวอะไรกับผมเลยส่งมา แถมยังถูกตัดเงินอัตโนมัติจากบัตรเครดิตที่ลงทะเบียนไว้ด้วย พอลบบัตรออก ก็เริ่มมีใบแจ้งหนี้กระดาษหนา ๆ ของ FedEx ส่งมาทางไปรษณีย์
ปรากฏว่า FedEx ทำระบบไว้ให้เรียกเก็บเงินจากบัญชีไหนก็ได้ เพียงแค่รู้เลขบัญชี 9 หลัก ทำให้มิจฉาชีพสุ่มสร้างเลขแล้วทำแบบนี้กันอยู่เรื่อย ๆ FedEx ไม่สนใจ ปฏิเสธการแจ้งทุจริต และแม้หลังแจ้งแล้วก็ยังปล่อยให้มีการจัดส่งหลอกลวงเพิ่ม สุดท้ายต้องทำ chargeback กับบริษัทบัตรก่อน FedEx ถึงยอมปิดบัญชีให้ แต่ตอนนี้อีเมลการตลาดที่ยกเลิกไม่ได้ก็ยังส่งมาเรื่อย ๆ เป็นบริษัทที่ไม่มีใครควรใช้เลย
เท่ากับว่าแค่รู้ที่อยู่ ก็สามารถโจมตีแบบปฏิเสธการให้บริการใส่ใครก็ได้บนโลกจากที่ไหนก็ได้บนอินเทอร์เน็ต
ผมนั่งรออยู่ 1–2 เดือนโดยคิดว่าพัสดุถูกขโมยไปแล้ว จนไปถาม USPS ว่าเผื่อเขาเก็บไว้หรือไม่ ปรากฏว่ามันอยู่ใน “ห้องไปรษณีย์ที่ส่งไม่ได้” จริง ๆ และผมถูกเทศน์อยู่นานว่า FedEx เอาพัสดุไปใส่ในตู้จดหมายที่เป็นของ USPS/รัฐบาลนั้นผิดกฎหมาย
ผมโทรไปหา FedEx เพื่อขอให้แก้ปัญหา แต่เท่าที่จำได้คือไม่รับสาย หรือไม่ก็พวกเขาบอกว่าไม่มีวิธีติดต่อพนักงานส่งของ หลังจากนั้นผมก็เลี่ยง FedEx มาตลอด และก็เริ่มเลี่ยง UPS ด้วยหลังจากทำโคมไฟโบราณสองชิ้นที่ผมซื้อจาก eBay พัง
ตอนที่ภรรยาผมยื่นขอสินเชื่อวงเงินหมุนเวียนที่มีบ้านเป็นหลักประกัน มีคนโทรมาอ้างว่ามาจากธนาคาร บอกว่าบ้านเป็นชื่อร่วม จึงต้องยืนยันว่าผมอนุมัติการกู้นี้หรือไม่
เขาถามชื่อ ผมก็บอกไป จากนั้นก็บอกเลขประกันสังคมสี่หลักสุดท้ายไปด้วย แต่พอเขาขอเลขประกันสังคมเต็ม ๆ ทันที สัญญาณเตือนก็เริ่มดังขึ้นมา ผมเริ่มไม่สบายใจที่ให้แม้แต่สี่หลักสุดท้ายกับคนแปลกหน้าที่โทรมาแบบกะทันหัน จึงโทรกลับไปที่หมายเลขบนเว็บไซต์ของธนาคาร แล้วถามว่าสามารถยืนยันได้ไหมว่าเขาเป็นพนักงานจริง
เขาหงุดหงิดแล้วบอกว่าเบอร์ที่จะต่อถึงเขาคงไม่มีอยู่บนเว็บไซต์ และถ้าผมไม่ให้เลขประกันสังคมเต็ม ๆ เขาก็จำเป็นต้องปฏิเสธคำขอกู้ เมื่อผมบอกว่าถ้าไม่มีวิธีติดต่อกลับผ่านหมายเลขทางการของธนาคาร ผมก็ให้ข้อมูลไม่ได้ เขาก็โมโหแล้ววางสายไป
ปรากฏว่าเขาเป็นพนักงานธนาคารจริง ๆ และเขาก็ยกเลิกคำขอกู้จริง ๆ
พอลองโทรไปที่หมายเลขทางการจริง ๆ ธนาคารก็ยืนยันแบบนั้นด้วย ผมอธิบายว่านี่เป็นแนวปฏิบัติด้านความปลอดภัยที่ไม่ดี แต่เขาบอกว่าแค่ดูหมายเลขผู้โทรแล้วตรวจสอบว่าเป็นสายจากธนาคารก็พอ การอธิบายเรื่องการปลอมแปลงหมายเลขผู้โทรไม่มีประโยชน์เลย
ก่อนปี 2011 สามหลักแรกบอกสำนักงานที่ออกเลขให้ และสองหลักกลางที่เรียกว่า “หมายเลขกลุ่ม” ถูกใช้ตามลำดับที่เปิดเผยต่อสาธารณะ สำนักงานประกันสังคมยังเผยแพร่รายการหมายเลขกลุ่มสูงสุดที่แต่ละสำนักงานไปถึงเป็นระยะด้วย
หลังการเปลี่ยนแปลงกฎหมายภาษีในปี 1986 การขอเครดิตภาษีบุตรจำเป็นต้องมีเลขประกันสังคมของเด็ก ทำให้การลงทะเบียนตั้งแต่เกิดกลายเป็นเรื่องทั่วไป และสำหรับคนกลุ่มนี้ การเดาห้าหลักแรกทำได้ง่ายมาก
ถ้าทำให้ลูกค้าโมโห ก็อดได้ค่าคอมหวาน ๆ ปกติพวกเขาจึงมักสุภาพ เจ้าหน้าที่สินเชื่อคนล่าสุดที่ผมคุยด้วยปิดสินเชื่อบ้านได้มากกว่า 1 พันล้านดอลลาร์ต่อปี และทางโทรศัพท์ก็สุภาพมากจริง ๆ
ในกรณีแบบนี้ เขาน่าจะให้ส่งอีเมลจากที่อยู่อีเมลทางการของธนาคาร หรือให้ใช้เว็บแอปหรือระบบส่งข้อความของธนาคารเองได้
พอรับสาย อีกฝ่ายมีสำเนียงหนักมากแบบที่มักได้ยินจากสายหลอกลวง เขาถามว่าผมเพิ่งทำธุรกรรมหรือไม่ แล้วบอกว่าหากต้องการยืนยันธุรกรรมนี้ ต้องให้ข้อมูลส่วนตัวเพิ่มเติม เช่น ที่อยู่บ้านและเลขประกันสังคม พอผมปฏิเสธ เขาก็บอกว่าบัญชีจะถูกล็อก
แล้วบัญชีก็ถูกล็อกจริง ๆ ผมต้องไปสาขาด้วยตัวเองเพื่อปลดล็อก และยังต้องพิสูจน์ด้วยว่าเงินที่พยายามจะโอนนั้นมีอยู่จริงในอีกบัญชีหนึ่ง ไม่มีเหตุผลเลย ไม่ใช่บัญชีใหม่ และก่อนหน้านี้ก็เคยโอนระหว่างสองบัญชีนี้มาแล้ว ไม่รู้เลยว่าพวกเขาพยายามป้องกันการฉ้อโกงแบบไหนกันแน่
แต่พอสอบถามเกี่ยวกับแนวปฏิบัติที่ดูเหมือนฟิชชิง เขากลับบอกว่าเป็นเว็บไซต์ที่ “ถูกกฎหมาย” ซึ่งขอให้กรอกข้อมูลรับรองเพื่อดู ประวัติธุรกรรม 180 วันล่าสุด คำนวณคะแนนเครดิต แล้วถอนเงินออกไป จึงไม่เป็นไร เขายังบอกด้วยว่าจะดูสถานการณ์ร่วมกับบริษัทเยอรมันและพิจารณาว่ามีทางออกที่ดีกว่านี้ไหม
ผู้ให้บริการชำระเงินที่ชื่อ klara หรือ klarna อะไรสักอย่างดูเหมือนจะค่อนข้างได้รับความนิยมในเยอรมนี แต่ผมไม่เข้าใจว่าธนาคารเปลี่ยนเงื่อนไขด้านความปลอดภัยฝ่ายเดียวได้อย่างไร แน่นอนว่าถ้าคุณให้ข้อมูลลับกับคนผิด นั่นก็เป็นความผิดของคุณเอง และต่อให้เลขประกันสังคมตกไปอยู่ในมือมิจฉาชีพ ธนาคารก็คงไม่สนใจ
เมื่อไม่กี่เดือนก่อน อีเมลที่ได้รับจากศูนย์ IT ของบริษัทดูน่าสงสัยยิ่งกว่าอีเมลฟิชชิงใด ๆ ที่เคยได้รับมา
มันส่งมาจากโดเมนทั่วไปอย่าง
@itservice.comซึ่งไม่เหมือนโดเมนทางการของบริษัทเลยแม้แต่น้อย และหัวข้อคือ “URGENT: your account is expiring soon” ในเนื้อหามีหลายลิงก์ ซึ่งอ่านยากและยาวหลายบรรทัดทั้งหมด และไม่มีโดเมนไหนที่เชื่อมโยงกับบริษัทโดยตรงเลยนอกจากคลิกลิงก์แล้วก็ไม่มีวิธีแก้ปัญหาอื่น และไม่มีทางเลือกอย่าง “ไปที่การตั้งค่าบัญชี” หรือ “ติดต่อผู้จัดการสายตรง” ด้วย แต่กลับเป็นอีเมลจริง อนึ่ง บริษัทนี้มีพนักงาน ประมาณ 100,000 คน
ทีมเดียวกันนี้บังคับให้เปลี่ยนรหัสผ่านทุก 6 เดือน และยังห้ามใช้รหัสผ่าน 20 อันล่าสุดซ้ำอีก เป็นรหัสผ่านที่ต้องกรอกเองวันละ 10–20 ครั้งในระบบที่ไม่สามารถเรียกตัวจัดการรหัสผ่านขึ้นมาใช้ได้โดยตรง เดาได้เลยว่าความแข็งแรงเฉลี่ยของรหัสผ่านพนักงานจะเป็นอย่างไร
ผมคิดว่าความไร้ความสามารถของ IT ควรนำไปสู่การสอบ audit ที่ไม่ผ่าน และถ้าดีกว่านั้นก็ควรเป็นเหตุให้ถูกเพิกถอนการจดทะเบียนจากตลาดหลักทรัพย์ด้วยซ้ำ
purchase-verification-users.net/235532/confirm.htmlแถมค้นหาก็ไม่เจอเว็บไซต์นั้นในเวลาเดียวกันก็มีสายโทรมาจากเบอร์สุ่ม บอกว่าจะขอตรวจสอบรายการซื้อบางรายการ พอลองค้นดูก็ไม่ใช่หมายเลขที่อยู่บนเว็บไซต์ธนาคารของผม
ผมวางสายแล้วโทรไปธนาคารโดยตรง หลังจากหลงอยู่กับระบบตอบรับอัตโนมัติ 10 นาที เจ้าหน้าที่ก็ยืนยันว่าเบอร์นั้นเป็นเบอร์ที่ใช้ติดต่อลูกค้าจริง ๆ พอถามว่าทำไมถึงไม่อยู่ในรายการเบอร์บนเว็บไซต์ ก็ตอบว่าพวกเขามักโทรจากเบอร์ที่ไม่ได้เปิดเผยออนไลน์ด้วย
พอถามว่าอีเมลนั้นธนาคารเป็นคนส่งหรือไม่ เจ้าหน้าที่บอกว่าถ้าในบรรทัดผู้ส่งเขียนว่าเป็นธนาคารก็คลิกได้ แต่ไม่มีข้อมูลว่าอีเมลนั้นถูกส่งจริงหรือเปล่า สรุปคือถ้าบรรทัดผู้ส่งไม่ใช่ธนาคารก็อย่ากด แต่ถ้าเป็นธนาคารก็กดได้ ประมาณนั้น
พูดแบบประชดนิดหน่อย แต่ถ้าบริษัทระดับนั้นไม่มีช่องทางรายงานฟิชชิง นั่นก็เป็นปัญหาที่ร้ายแรงยิ่งกว่าแคมเปญอีเมลน่าสงสัยเสียอีก
ถ้าจุดประสงค์คือเพื่อตรวจสอบจากส่วนกลาง ก็คงเป็นการประนีประนอมที่พอสมเหตุสมผลในระดับหนึ่ง แต่มันทำให้ความสามารถของผมในการตัดสินว่าอีเมลถูกต้องหรือไม่ลดลงอย่างมาก อย่างน้อยเนื้อหาอบรมก็ควรถูกอัปเดต
ตอนแรกผมตกใจและทำการตรวจสอบด้านความปลอดภัยสารสนเทศ แต่สุดท้ายพบว่าเป็น “พนักงานใหม่” ที่ต้องรวบรวมข้อมูลระบบเพื่อสำรวจสินทรัพย์อุปกรณ์ เขายังไม่มีสิทธิ์เข้าถึงเครื่องมือจัดการเครือข่าย และไม่ค่อยเข้าใจว่าทำไมการรัน
curl ... | shแบบสุ่ม ๆ ถึงไม่ดี เลยคิดว่าการขอข้อมูลจากผู้คนทีละส่วนโดยตรงน่าจะโอเคเรื่องแบบนี้เกิดขึ้นจริง
วันนี้ผมเห็นโพสต์ใน Reddit ว่าธนาคารเยอรมันส่ง แฟลชไดรฟ์ USB ที่มีเงื่อนไขฉบับใหม่ทางไปรษณีย์: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
เป็นระดับที่แต่งขึ้นเองยังยาก
ดูเหมือนว่าธนาคารหรือสถาบันการเงินบางแห่งจะตีความเรื่องนี้แบบแปลก ๆ ทั้งที่ที่อื่นดูเหมือนว่าไฟล์แนบอีเมลก็น่าจะเพียงพอแล้ว
พวกเขามีหน้าที่ต้องส่งเอกสารให้ลูกค้า แต่ผู้บริหารรับข้อกำหนดนั้นไปแบบแปลก ๆ แล้วทางออกและไอเดียที่ไร้สาระที่สุดก็ถูกขายให้พวกเขา
ตอนซื้อรถ หลังจากนั้นไม่กี่เดือน ผมได้รับอีเมลบอกว่ายังไม่ได้พิสูจน์ว่าทำประกันไว้ จึงให้ไปที่โดเมนที่ไม่ใช่ของธนาคารเพื่อส่งหลักฐาน
อีเมลดูเหมือนกระดาษจดหมายที่สแกนมาอย่างลวก ๆ และน่าสงสัยมาก หลังจากได้รับอยู่หลายครั้ง สุดท้ายผมติดต่อธนาคารดูและพบว่าเป็นของจริง
ผมพยายามอธิบายให้ผู้รับผิดชอบที่มีโต๊ะทำงานของตัวเอง ไม่ใช่พนักงานหน้าเคาน์เตอร์ ฟังว่าสถานการณ์นี้แย่อย่างไร แต่เขาไม่เข้าใจ ไม่นานหลังจากนั้นผมก็ปิดหนี้กู้นั้นและเลิกใช้ธนาคารนั้น
พอโทรหานายหน้าประกันภัย ก็พบว่าเป็นคำขอจริง ผมอธิบายว่าถ้าดูตามสัญญาณเตือนสารพัดแล้ว จดหมายฉบับนี้แทบต่างจาก กลโกงเจ้าชายไนจีเรีย แค่ไม่กี่ขั้น แต่ดูเหมือนจะไม่ได้เกิดการเปลี่ยนแปลงอะไรมากนัก
ตัวบทความเองยอดเยี่ยม แต่ SMS แรกนั้นแย่มากจน FedEx น่าจะบอกผู้รับให้โอนภาษีศุลกากรไปให้เจ้าชายไนจีเรียเสียยังดีกว่า
อย่างไรก็ตาม ผมไม่เห็นด้วยบางส่วนกับทิศทางคำแนะนำของ Troy Hunt สมมติฐานพื้นฐานควรเป็นว่า โดยทั่วไปแล้วคนเราแยกข้อความจริงกับข้อความฟิชชิงไม่ออก ต่อไปจะยิ่งเป็นแบบนั้นเพราะ AI และการพึ่งพาการแยกแยะลักษณะเช่นนั้นเป็นข้อบกพร่องร้ายแรง
แทนที่จะทำอย่างนั้น เราไม่ควรพึ่งพาลิงก์ภายนอกหรือหมายเลขโทรศัพท์ในข้อความที่ได้รับเด็ดขาด ควรค้นหาที่อยู่หรือหมายเลขโทรศัพท์เอง แล้วล็อกอินเข้าใช้บริการนั้น วางสาย ค้นหา แล้วโทรกลับ ควรเป็นสโลแกนเด็ดขาด
องค์กรที่มีความรับผิดชอบควรประกาศว่าจะไม่ใส่ลิงก์หรือหมายเลขโทรศัพท์ในข้อความ SMS, อีเมล หรือการโทรเด็ดขาด และในข้อความแจ้งเตือนควรเขียนเพียงประมาณว่า “ดูรายละเอียดเพิ่มเติมได้โดยล็อกอินเข้าดashboard”
เห็นได้ชัดว่าเขามองว่าวิธีแยกแยะ URL หลอกลวงด้วย heuristic ไม่ใช่แนวทางที่ขยายผลได้ในระยะยาว
มนุษย์ ล้มเหลวในการระบุฟิชชิงประมาณ 95% อยู่แล้ว คนเราก็สามารถคัดลอกอีเมล เว็บไซต์ ข้อความ ฯลฯ ของจริงได้อย่างแม่นยำอยู่แล้ว จึงไม่จำเป็นต้องมี AI
ใส่ลิงก์ได้ แต่ให้เป็นของโดเมนหลัก และทำให้สั้นและสังเกตง่าย: https://example.com/contact
ถ้าผู้ใช้ยังไม่ได้ล็อกอิน ก็ให้แสดง flow การล็อกอินก่อน พร้อมอธิบายว่า “หากคุณได้รับข้อความจากเรา กรุณาล็อกอินเพื่อดูรายละเอียดเพิ่มเติม” และถ้ามีแบบฟอร์มติดต่อ หมายเลขโทรศัพท์ หรือแชตฝ่ายสนับสนุนลูกค้า ก็ใส่ไว้ด้วย
เว็บไซต์ฟิชชิงก็เลียนแบบได้ในระดับหนึ่ง แต่ก็ไม่มีเหตุผลต้องบังคับให้ผู้ใช้ไปหาวิธีแก้ปัญหาด้วยตัวเอง
นี่เป็นผลลัพธ์ของความไร้ความสามารถเชิงองค์กรก็จริง แต่ถึงจุดหนึ่งต้องมีคนคนหนึ่งที่ป้อนเนื้อหาเทมเพลต SMS เจ้าปัญหานั้นเข้าไปในระบบคอมพิวเตอร์สักระบบ
อยากรู้จริง ๆ ว่าคนนั้นคิดอะไรอยู่ถึงเอาคำมาเรียงต่อกันแบบนี้ ถ้าจะทำให้แย่กว่านี้คงต้องตั้งใจพยายามอย่างจริงจังแล้ว
ในวงการเทคโนโลยีมีคนจำนวนมากที่เจตนาดี แต่ทำงานที่ซับซ้อนเกินไปเล็กน้อยสำหรับการลงมือคนเดียวโดยไม่มีเพื่อนร่วมงานหรือผู้ตรวจทาน ในบริษัทใหญ่ ๆ บางแห่ง ทั้งทีมและทั้งแผนกก็อยู่ในสภาพแบบนี้
คนนั้นอาจไม่ได้ไร้ความสามารถโดยสิ้นเชิง และอาจเป็นวิศวกรตัวท็อปของทีมก็ได้ ส่วนคนอื่น ๆ อาจเงียบเพราะคิดว่าตัวเองไม่มีอะไรจะช่วยเสริม คนที่เก่งจริง ๆ คงย้ายไปอยู่โปรเจกต์ใหม่สุดเท่คนละชั้น หรือทีม “refactoring team” ชั้นยอดแล้ว และคงไม่เอาเวลามาใช้กับงานอย่างการอัปเดตเทมเพลต
คนหนึ่งอาจเขียนข้อความ และอีกคนอาจขอแก้บางส่วนในตั๋ว Jira แต่ชนิดข้อมูลไม่ตรงกับที่ผู้เขียนขอไว้ และนักพัฒนาไม่อยากจัดการ เลยปล่อยขึ้น production ไปเฉย ๆ
หรือข้อความอาจประกอบขึ้นจากคำสั่ง
ifหลายชุดที่แยกจากกัน แล้วส่งเฉพาะ output สุดท้ายให้ลูกค้า ถ้าไม่มีใครเห็นข้อความทั้งหมด และแต่ละคนแก้แค่ส่วนเล็ก ๆ ในเงื่อนไขของตัวเอง ก็มักจะเกิด log message สุดสยองแบบนี้เมื่อก่อนเคยดูแลโค้ดที่สร้างข้อความละเอียดมากว่า error หนึ่งเกิดขึ้นเพราะอะไร แต่ภายหลังพบว่าส่วนใหญ่ไม่ได้ถูกส่งไปถึงลูกค้า เพราะมีคนด้านหลัง reassign ตัวแปรแทนที่จะใช้
+=น่าจะหลีกเลี่ยง support ticket ได้มหาศาลคนสมมติที่เขียนเทมเพลตนี้ก็คงพยายามทำแบบเดียวกัน และผลลัพธ์จึงออกมาคล้ายกันเช่นนั้น การใช้คำว่า “urgent” หรือขึ้นต้น “Duty”, “Taxes” ด้วยตัวพิมพ์ใหญ่ก็น่าจะมาจากความพยายามทำให้ดูเป็นทางการและมีพิธีรีตองมากขึ้น และเห็นได้ชัดว่าไม่ใช่นักเขียนที่ชำนาญ
คำคมเก่าแก่เรื่องความไร้ความสามารถกับเจตนาร้ายบังคับให้เราเลือกอย่างใดอย่างหนึ่ง แต่ในความเป็นจริง การมองว่าระหว่างสองอย่างนี้มีสเปกตรัม และมีหลายมิติที่อธิบายเจตนาทั้งที่รู้ตัวและไม่รู้ตัว น่าจะถูกต้องกว่า
หากดู Post Office scandal ของสหราชอาณาจักร จะเห็นเจตนาร้ายซ้อนอยู่บนความไร้ความสามารถ และมีความไร้ความสามารถซ้อนทับขึ้นไปอีก ในบางองค์กร จุดยืนที่เป็นอันตรายอย่างชัดเจนยังถูกเขียนออกมาเป็น “นโยบาย” ด้วย บ่อยครั้งสิ่งนี้ถูกจัดไว้ใต้คำว่า “PR” และต่อไป “AI” จะถูกใช้มากขึ้นเพื่อปกปิดเจตนาร้ายและหลีกเลี่ยงการตรวจสอบ
ฉากในตอนสุดท้ายของละคร ITV ที่ Toby Jones ผู้รับบท Alan Bates พูดถึงความไร้ความสามารถกับความชั่วว่า “สองอย่างนั้นคือสิ่งเดียวกัน” นั้นทรงพลังมาก เมื่อถึงจุดหนึ่ง ความแตกต่างระหว่างความไร้ความสามารถกับความชั่วก็หายไป ฟังการอภิปรายเชิงจิตวิทยาที่ลึกกว่านี้ได้ที่นี่: https://cybershow.uk/episodes.php?id=23
แหล่งข้อมูลที่เกี่ยวข้อง: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, นิยาม public relations ของ Edward Bernays เสนอหลักความเชื่อด้านการหลอกลวง การชักจูง และข้อมูลเท็จ ซึ่งตรงข้ามกับความปลอดภัยโดยสิ้นเชิง: https://en.wikipedia.org/wiki/Public_Relations_(book)
ตรงกับประสบการณ์ของผมกับ FedEx มาก พวกเขาส่งใบเรียกเก็บเงินมาหลังจากได้รับพัสดุไปแล้ว 7 เดือน และไม่กี่วันต่อมาก็มีจดหมายทวงถามที่ไม่มีข้อมูลที่จำเป็นสำหรับการชำระเงินตามมา
ใบเรียกเก็บเงินที่ค้างชำระอาจหายได้ แต่การลืมใส่ข้อมูลที่จำเป็นนี่ค่อนข้างขี้เกียจและโง่มาก เขาบอกให้ไปที่ www.fedex.com แล้วสร้างบัญชี ผมก็สร้าง แต่ระบบไม่รู้อะไรเกี่ยวกับใบเรียกเก็บเงินของผมเลย
บังเอิญไปเจอใบเรียกเก็บเงินฉบับเดิม ซึ่งเป็นใบที่ส่งช้าไป 7 เดือนนั้น มีตัวหนังสือเล็กมากเขียนว่า “ชำระทันที” ในประเทศของเราโดยทั่วไปคือ 30 วัน เลยเป็นสำนวนที่ผมเพิ่งเคยเห็นครั้งแรกในใบเรียกเก็บเงิน แน่นอนว่าหลังจากผมจ่ายไป 10 วัน พวกเขาก็ยังส่งจดหมายทวงครั้งที่สองมาอีก
ถ้าขับบนถนนเก็บค่าผ่านทางใน Texas จะไม่มีด่านให้จ่ายค่าผ่านทาง ณ จุดนั้น แล้วอีก 6–12 เดือนต่อมาจะมีใบเรียกเก็บเงินทางไปรษณีย์เขียนว่า “คำเตือนครั้งที่ห้าและครั้งสุดท้าย” ประมาณว่าให้จ่ายค่าผ่านทาง 4 ดอลลาร์พร้อมค่าปรับล่าช้า 80 ดอลลาร์
ผมมั่นใจว่าคนที่ดำเนินการเรื่องนี้ต้องมีเพื่อนหรือคนในครอบครัวอยู่ในสภานิติบัญญัติของรัฐ Texas แน่ ๆ
มีข้อความน่ากลัวเกี่ยวกับการทวงหนี้ส่งมาเพียบ แต่ไม่มีคำอธิบายอะไรเลย นอกจากบอกว่าเกี่ยวข้องกับพัสดุ FedEx
นี่เป็นปัญหาจริงที่เกิดจากการเอาหลายอย่างไปจ้างผู้ให้บริการคลาวด์ภายนอกทำ
สมัยก่อนถ้ามาจากอินทราเน็ตของบริษัทก็ถือว่าโอเค ตอนนี้ทั้งแบบสำรวจ การอบรม และโปรเจกต์ตามกระแสใหม่ ๆ ล้วนมาจากโดเมนภายนอกที่ไม่รู้ที่มา แล้วก็ให้ล็อกอินด้วยข้อมูลรับรองของบริษัท
บริษัทของเราทำแคมเปญ “ฟิชชิงปลอม” ทำให้การสังเกตอีเมลฟิชชิงเป็นเหมือนเกมเพื่อให้ทุกคนยังไวต่อเรื่องนี้ แต่เรื่องแบบนี้ไม่ควรจำเป็นสำหรับงานบริษัทที่ถูกต้องตามกฎหมายเลย
ถ้าจะเสนอเป็นกฎหมาย: หากการแจ้งเตือนทางอิเล็กทรอนิกส์ของบริษัท ดูเหมือนฟิชชิง ถึงขั้นที่คนทั่วไปที่มีเหตุผลมีเหตุชัดเจนให้สงสัยความชอบธรรม ผลทางการเงินและทางกฎหมายทั้งหมดจากการเพิกเฉยต่อมันควรตกเป็นภาระของผู้ส่ง
ในที่นี้ “ผู้ส่ง” หมายถึงฝ่ายที่ส่งการแจ้งเตือนทางอิเล็กทรอนิกส์
ทุกครั้งที่คำว่า “มีเหตุผล” ปรากฏในกฎหมายหนึ่งครั้ง ให้ถือได้เลยว่าเงินค่าทนายมากกว่า 1 พันล้านดอลลาร์ถูกใช้ไปแล้วหรือกำลังจะถูกใช้ในอนาคต
ต่อมาได้รับจดหมายจริงทางไปรษณีย์ที่มีเนื้อหาเดียวกัน จึงโทรไปที่ธนาคาร และพบว่ามีบัญชีที่ถือเงินเกี่ยวกับบำนาญจากนายจ้างเดิมของผมอยู่ที่นั่น
จากนั้นหน่วยงานนั้นก็จะไม่ส่งมอบพัสดุให้ FedEx และท้ายที่สุดคุณก็ไม่ได้รับพัสดุ FedEx ควรทำการแจ้งเตือนแบบนี้ให้ดีกว่านี้มาก อย่างน้อยก็ควรจ้างคนเขียนคำโฆษณาสักคน
น่าเสียดายที่ไม่มีวิธีง่าย ๆ ในการจ่ายภาษีล่วงหน้า และต้องปล่อยให้เป็นเรื่องของโชคว่าจะถูกตรวจหรือไม่ โชคดีที่ EU จัดการปัญหานี้จนแทบไม่มี surprises แปลก ๆ แล้ว ยกเว้นฝั่ง United States และ United Kingdom