1 คะแนน โดย GN⁺ 2024-02-24 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • SMS สำหรับชำระภาษีศุลกากรและภาษีของ FedEx ที่เป็นของจริงแสดงสัญญาณเกือบเหมือนข้อความฟิชชิง โดยในแบบสำรวจที่มีผู้เข้าร่วมมากกว่า 4,000 คน 87% มองว่าน่าสงสัย
  • ในข้อความมี shipment number ที่สั้น, การเร่งให้ชำระเงินด่วน, การใช้ตัวพิมพ์เล็ก-ใหญ่ที่แปลก, ไม่มีการระบุสกุลเงิน และใช้ที่อยู่ชำระเงิน bpoint.com.au แทนที่จะเป็นของ FedEx
  • ในหน้าติดตามพัสดุของ FedEx ตรวจสอบข้อมูล duty หรือ tax ได้ยาก และลิงก์ BPOINT ยังเปลี่ยน tracking number, customer name และ amount ได้เพียงแก้ URL parameter
  • ช่องทางติดต่อฝ่ายบริการลูกค้าและระบบโทรศัพท์ก็ทำให้สับสน แต่ 3 วันต่อมาไฟล์แนบในอีเมลที่ส่งมาถึงยืนยัน invoice ของ Prusa รวมถึงข้อมูลคำสั่งซื้อ ราคา และการจัดส่ง ทำให้ตรวจสอบได้ว่า SMS ตรงกับคำขอจริง
  • มาตรการควบคุมทางเทคนิค อย่างการบล็อก SMS หลอกลวงเพียงอย่างเดียวไม่เพียงพอ เพราะถ้าข้อความจากบริษัทที่ถูกต้องตามกฎหมายมีลักษณะเหมือนฟิชชิงแบบต้นฉบับ เกณฑ์ที่ผู้ใช้ใช้ตัดสินใจก็จะพังลง

สถานการณ์ที่การแจ้งเตือนการจัดส่งจริงดูเหมือนฟิชชิง

  • ช่วงหลังมี SMS ฟิชชิง ประเภท “ไม่สามารถจัดส่งพัสดุได้” เข้ามาจำนวนมาก และยังผ่านตัวกรองของผู้ให้บริการจนเข้าถึงกล่องข้อความได้
  • เวลาตรวจดูว่าเป็นฟิชชิงหรือไม่ มักจะดูสัญญาณอย่างความเร่งด่วน ความกังวลว่าจะพลาดอะไรบางอย่าง และ URL แปลกที่ไม่ตรงกับบริษัทขนส่ง
  • ระหว่างที่กำลังรอรับของจาก FedEx จริง ก็มี SMS ให้ชำระ duty และ taxes เข้ามา ซึ่งดูจากภายนอกอย่างเดียวแยกได้ยากว่าเป็นคำขอจริงหรือฟิชชิง
  • แบบสำรวจบน X มีผู้ตอบมากกว่า 4,000 คน และ 87% ตัดสินว่า “dodgy AF”

สัญญาณน่าสงสัยที่อยู่ใน SMS

  • ในข้อความมีการเขียนชื่อไม่เป็นธรรมชาติและมีสตริงอย่าง -Exp ทั้งที่ปกติ FedEx จะใช้ FedEx โดย E เป็นตัวพิมพ์ใหญ่
  • shipment number ดูสั้นเกินไป และเป็นหมายเลขเดียวกับที่อยู่ในคำขอชำระเงินด้านล่าง
  • คำว่า urgent ทำหน้าที่เป็นสัญญาณแบบ social engineering ที่ผลักให้คนลงมือทำก่อนจะคิดให้รอบคอบ
  • การใช้ตัวพิมพ์เล็ก-ใหญ่ใน Duty และ Taxes ดูแปลก และทั้งที่เป็นข้อความจากบริษัทขนส่งระดับโลกกลับไม่มีสกุลเงินหรือสัญลักษณ์ดอลลาร์
  • ลิงก์ชำระเงินไม่ใช่โดเมนของ FedEx และไม่ใช่โดเมนรัฐบาลออสเตรเลีย แต่เป็น bpoint.com.au
  • วิธีให้ช่องทางติดต่อไว้ใน SMS ขัดกับแนวทางอย่างของ NAB ที่เอาลิงก์ออกจากข้อความ SMS

กระบวนการที่ตรวจสอบเองได้ยาก

  • คำแนะนำพื้นฐานสำหรับคำขอชำระเงินที่น่าสงสัยคืออย่ากดลิงก์ในข้อความ แต่ให้เข้าเว็บไซต์นั้นโดยตรงเพื่อตรวจสอบ
  • ผู้เขียนไปค้นข้อมูลการจัดส่งจากอีเมลยืนยันการซื้อของ Prusa แล้วเข้าเว็บไซต์ FedEx แต่ในหน้าติดตามพัสดุกลับหาหัวข้อ duty หรือ tax ไม่เจอ
  • หากตามลิงก์ใน SMS ไป จะสามารถ แก้ tracking number, customer name และ amount ได้ตามใจเพียงเปลี่ยน URL parameter
    • ทำได้โดยไม่ต้องแก้ DOM ในเบราว์เซอร์หรือดักทราฟฟิก แค่เปลี่ยน query string parameter ก็พอ
    • พฤติกรรมนี้ดูเหมือนเว็บฟิชชิง แต่ BPOINT เป็นpayment gateway ที่ Commonwealth Bank ให้บริการ
  • วันถัดมามี SMS อีกข้อความจากผู้ส่งรายเดิม
    • คราวนี้มี shipping number อยู่ในข้อความ และการใช้ตัวพิมพ์เล็ก-ใหญ่ของ duty และ taxes กลับมาปกติ
    • PAY NOW แสดงเป็นตัวพิมพ์ใหญ่ แต่ “ลิงก์” มีแค่ query string parameter ไม่มี scheme, domain หรือ path จึงกดเพื่อชำระเงินไม่ได้
    • ชื่อของ query string parameter ก็ถูกเปลี่ยนเป็นตัวพิมพ์ใหญ่ทั้งหมด ทำให้ดูเหมือนมีขั้นตอนสร้างอีกแบบหนึ่ง หรือไม่ก็กระบวนการพังอยู่

ฝ่ายบริการลูกค้าและการยืนยันขั้นสุดท้าย

  • เมื่อค้นหาเบอร์ 1800 ก็พบหน้าของหมายเลขนี้บน Reverse Australia อยู่ในผลลัพธ์ต้น ๆ และทั้งคอมเมนต์กับผลการค้นหาโดยรวมก็สะท้อนความสับสนว่าเป็นข้อความจริงหรือไม่
  • ผู้เขียนจึงพยายามตรวจสอบผ่านเส้นทางCustomer Support บนเว็บไซต์ FedEx แทนการใช้หมายเลขใน SMS
  • หน้าฝ่ายบริการลูกค้ามุ่งไปที่การสื่อสารทางอีเมลและการตรวจสอบโดเมนผู้ส่ง พร้อมแนะนำหมายเลขโทรศัพท์ที่ต่างจากใน SMS
  • เมื่อโทรไปยังหมายเลขที่แนะนำและเลือกเมนู duty และ taxes ก็พบว่าหลังจากไม่กี่ขั้นตอน การกดปุ่มบนคีย์แพดไม่ทำงานและระบบพูดข้อความเดิมซ้ำ
    • ระบบแนะนำเป็นทางเลือกให้โทรไปที่ 132610 แต่หมายเลขนั้นก็คือหมายเลขที่เพิ่งโทรไปตั้งแต่แรก
  • เมื่อลองใหม่ผ่านเมนูเส้นทางอื่น ระบบขอ tracking number ก่อน แล้วจึงบอกข้อมูลเดียวกับในเว็บไซต์ พร้อมมีตัวเลือกให้ต่อสายเจ้าหน้าที่
  • เจ้าหน้าที่แจ้งว่ามูลค่าสินค้าที่จัดส่งคือ US$799 และเมื่อนำมาแปลงเป็น AU$1,215.97 จึงเข้าข่าย inbound fees แต่ยังต้องขอโทรกลับเพื่อยืนยันว่าตรงกับยอดใน SMS หรือไม่
  • หลังจาก SMS แรก 3 วัน อีเมลก็มาถึง โดยยอดเงิน ที่อยู่ BPOINT และข้อความตรงกับใน SMS
  • ไฟล์แนบในอีเมลมี invoice ของ Prusa ฉบับเต็ม พร้อมเลขคำสั่งซื้อ ราคา และข้อมูลการจัดส่ง ทำให้ยืนยันได้ว่า SMS เชื่อมโยงกับคำขอจริง

ข้อความจากองค์กรที่ทำให้การป้องกันฟิชชิงอ่อนแอลง

  • เฉพาะในออสเตรเลีย ความเสียหายจากสแกมมีมูลค่ามากกว่า AU$3B ต่อปี และในระดับโลกยิ่งเป็นปัญหาใหญ่กว่าเดิม
  • ACMA ระบุว่าผู้ให้บริการโทรคมนาคมได้ บล็อก SMS หลอกลวง 336 ล้านข้อความ แต่ไม่อาจรู้ได้ว่ามีข้อความหลอกลวงที่ไม่ถูกบล็อกเหลืออยู่อีกเท่าไร
  • เพราะมาตรการควบคุมทางเทคนิคอย่างเดียวไม่พอ คนจึงต้องอาศัยรูปแบบอย่างการเรียกเก็บเงิน ความเร่งด่วน ไวยากรณ์และตัวพิมพ์เล็ก-ใหญ่ที่แปลก รวมถึง URL ประหลาด เพื่อระบุว่าเป็นสแกม
  • แต่ในกรณีนี้ ข้อความของ FedEx ที่ถูกต้องตามกฎหมายกลับมี รูปแบบบ่งชี้สแกม อยู่หลายข้อพอดี
  • ในช่วงที่สแกมที่ใช้ AI แยกแยะได้ยากขึ้นเรื่อย ๆ หากข้อความจากองค์กรที่ถูกต้องตามกฎหมายยังแยกไม่ออกจากของสแกม เกณฑ์การตัดสินของผู้ใช้ก็จะอ่อนแอลง

1 ความคิดเห็น

 
GN⁺ 2024-02-24
ความคิดเห็นจาก Hacker News
  • FedEx เป็นหนึ่งในบริษัทใหญ่ที่มีแพลตฟอร์มดิจิทัลแย่ที่สุด และความปลอดภัยก็อยู่ในกลุ่มที่หละหลวมที่สุด
    ผมย้ายเข้าอพาร์ตเมนต์รุ่นที่ 10 แล้วตั้งค่า FedEx Delivery Manager ปรากฏว่าแค่กรอกที่อยู่ใหม่ โดยไม่มีการตรวจสอบใด ๆ ก็เห็นคำสั่งการจัดส่งของผู้เช่าคนก่อนทันที และในนั้นยังมีรหัสโรงรถส่วนตัวของอาคารด้วย ขโมยก็น่าจะทำแบบเดียวกันได้
    หลังย้ายออก ผมพยายามเพิ่มที่อยู่ใหม่ แต่เว็บไซต์ขึ้นข้อผิดพลาดทุกครั้ง พอไปค้นในฟอรัมก็พบว่าสมมติฐานที่ว่าหากรหัสผ่านมีอักขระพิเศษ ฟังก์ชันบางส่วนของเว็บไซต์จะพังถาวรนั้นเป็นจริง แม้แต่ขั้นตอนเปลี่ยนรหัสผ่านก็เสีย สุดท้ายภรรยาผมต้องสร้างบัญชีใหม่ด้วยรหัสผ่านที่อ่อนกว่า
    ตัวบริษัทเองน่าประทับใจนะ แต่นี่มันระดับมือสมัครเล่นจริง ๆ

    • สงสัยเหมือนกันว่าเป็นบริษัทที่น่าประทับใจจริงไหม อัตราส่งของสำเร็จของผมในหลายที่อยู่อยู่ที่ ประมาณ 50% และผมก็รู้จักคนที่เจอปัญหาระยะยาวคล้าย ๆ กัน
    • ผมสั่งคอมพิวเตอร์ในแคลิฟอร์เนียตอนใต้ แต่มันผ่าน Texas, Florida, Maine แล้วค่อยกลับมาที่แคลิฟอร์เนียตอนเหนือ
      คำสั่งซื้อล่าสุดสองรายการดูเหมือนถูกใครบางคนใน FedEx ขโมยไปเฉย ๆ เข้าศูนย์แล้ว แต่หลังจากนั้นไม่เคยออกมาอีกเลย ศูนย์บริการลูกค้าก็เป็นแค่เครื่องจักรขอโทษที่อยู่ต่างประเทศ แก้อะไรไม่ได้เลย เมื่อก่อนผมเคยชอบ FedEx แต่คุณภาพบริการตกต่ำมากจนตอนนี้ตั้งใจหลีกเลี่ยง
    • เคยมีเรื่องหนักกว่านั้นอีก ผมสร้างบัญชีจัดส่งเพื่อรับอุปกรณ์จัดส่งฟรีของ FedEx แต่เพราะปัญหารหัสผ่านบนเว็บไซต์เลยสร้างบัญชีไม่ได้ และคิดว่าน่าจะเลี่ยงไปใช้แอปมือถือที่ใช้โฟลว์คนละแบบแทน
      ทันทีที่สร้างบัญชีได้ ก็มี ใบแจ้งหนี้ค่าขนส่งระหว่างประเทศมูลค่าหลายพันดอลลาร์ ของผู้ส่งและผู้รับที่ไม่เกี่ยวอะไรกับผมเลยส่งมา แถมยังถูกตัดเงินอัตโนมัติจากบัตรเครดิตที่ลงทะเบียนไว้ด้วย พอลบบัตรออก ก็เริ่มมีใบแจ้งหนี้กระดาษหนา ๆ ของ FedEx ส่งมาทางไปรษณีย์
      ปรากฏว่า FedEx ทำระบบไว้ให้เรียกเก็บเงินจากบัญชีไหนก็ได้ เพียงแค่รู้เลขบัญชี 9 หลัก ทำให้มิจฉาชีพสุ่มสร้างเลขแล้วทำแบบนี้กันอยู่เรื่อย ๆ FedEx ไม่สนใจ ปฏิเสธการแจ้งทุจริต และแม้หลังแจ้งแล้วก็ยังปล่อยให้มีการจัดส่งหลอกลวงเพิ่ม สุดท้ายต้องทำ chargeback กับบริษัทบัตรก่อน FedEx ถึงยอมปิดบัญชีให้ แต่ตอนนี้อีเมลการตลาดที่ยกเลิกไม่ได้ก็ยังส่งมาเรื่อย ๆ เป็นบริษัทที่ไม่มีใครควรใช้เลย
    • Spectrum ก็ไม่แพ้กัน หลายปีก่อนเพื่อนบ้านที่เพิ่งย้ายเข้ามาใหม่พิมพ์ที่อยู่ผิดเป็นที่อยู่ของผมตอนสมัครบัญชีใหม่ แล้ว Spectrum ก็อนุมานอย่างใจดีว่าผู้อาศัยคนก่อนอยากยกเลิกบัญชี จึงตัดอินเทอร์เน็ตของผมทิ้ง
      เท่ากับว่าแค่รู้ที่อยู่ ก็สามารถโจมตีแบบปฏิเสธการให้บริการใส่ใครก็ได้บนโลกจากที่ไหนก็ได้บนอินเทอร์เน็ต
    • หลายปีก่อนผมซื้อ OP-1 ของ teenage engineering แล้ว FedEx เอาไปส่งไว้ในตู้จดหมาย USPS เอาพัสดุ FedEx ออกจากตู้จดหมายแล้วยึดไว้ที่ที่ทำการไปรษณีย์ท้องถิ่น โดยไม่ได้แจ้งผมเลย
      ผมนั่งรออยู่ 1–2 เดือนโดยคิดว่าพัสดุถูกขโมยไปแล้ว จนไปถาม USPS ว่าเผื่อเขาเก็บไว้หรือไม่ ปรากฏว่ามันอยู่ใน “ห้องไปรษณีย์ที่ส่งไม่ได้” จริง ๆ และผมถูกเทศน์อยู่นานว่า FedEx เอาพัสดุไปใส่ในตู้จดหมายที่เป็นของ USPS/รัฐบาลนั้นผิดกฎหมาย
      ผมโทรไปหา FedEx เพื่อขอให้แก้ปัญหา แต่เท่าที่จำได้คือไม่รับสาย หรือไม่ก็พวกเขาบอกว่าไม่มีวิธีติดต่อพนักงานส่งของ หลังจากนั้นผมก็เลี่ยง FedEx มาตลอด และก็เริ่มเลี่ยง UPS ด้วยหลังจากทำโคมไฟโบราณสองชิ้นที่ผมซื้อจาก eBay พัง
  • ตอนที่ภรรยาผมยื่นขอสินเชื่อวงเงินหมุนเวียนที่มีบ้านเป็นหลักประกัน มีคนโทรมาอ้างว่ามาจากธนาคาร บอกว่าบ้านเป็นชื่อร่วม จึงต้องยืนยันว่าผมอนุมัติการกู้นี้หรือไม่
    เขาถามชื่อ ผมก็บอกไป จากนั้นก็บอกเลขประกันสังคมสี่หลักสุดท้ายไปด้วย แต่พอเขาขอเลขประกันสังคมเต็ม ๆ ทันที สัญญาณเตือนก็เริ่มดังขึ้นมา ผมเริ่มไม่สบายใจที่ให้แม้แต่สี่หลักสุดท้ายกับคนแปลกหน้าที่โทรมาแบบกะทันหัน จึงโทรกลับไปที่หมายเลขบนเว็บไซต์ของธนาคาร แล้วถามว่าสามารถยืนยันได้ไหมว่าเขาเป็นพนักงานจริง
    เขาหงุดหงิดแล้วบอกว่าเบอร์ที่จะต่อถึงเขาคงไม่มีอยู่บนเว็บไซต์ และถ้าผมไม่ให้เลขประกันสังคมเต็ม ๆ เขาก็จำเป็นต้องปฏิเสธคำขอกู้ เมื่อผมบอกว่าถ้าไม่มีวิธีติดต่อกลับผ่านหมายเลขทางการของธนาคาร ผมก็ให้ข้อมูลไม่ได้ เขาก็โมโหแล้ววางสายไป
    ปรากฏว่าเขาเป็นพนักงานธนาคารจริง ๆ และเขาก็ยกเลิกคำขอกู้จริง ๆ

    • เคยมีครั้งหนึ่งธนาคารโทรมาเพื่อถามคำถามความปลอดภัย พอผมบอกว่าจะโทรกลับไปที่หมายเลขบนเว็บไซต์ของธนาคาร เขาบอกว่าถ้าผมโทรเข้าธนาคาร จะไม่มีทางถูกโอนไปหา เจ้าหน้าที่ฝ่ายคำถามความปลอดภัย ได้ และมีแต่วิธีที่พวกเขาโทรมาหาผมเท่านั้น
      พอลองโทรไปที่หมายเลขทางการจริง ๆ ธนาคารก็ยืนยันแบบนั้นด้วย ผมอธิบายว่านี่เป็นแนวปฏิบัติด้านความปลอดภัยที่ไม่ดี แต่เขาบอกว่าแค่ดูหมายเลขผู้โทรแล้วตรวจสอบว่าเป็นสายจากธนาคารก็พอ การอธิบายเรื่องการปลอมแปลงหมายเลขผู้โทรไม่มีประโยชน์เลย
    • ถ้าคุณอายุพอสมควร ต้องระวังไว้ เพราะเลขประกันสังคมสี่หลักสุดท้ายอาจเป็น เอนโทรปีส่วนใหญ่ ที่มีประโยชน์จริง ๆ
      ก่อนปี 2011 สามหลักแรกบอกสำนักงานที่ออกเลขให้ และสองหลักกลางที่เรียกว่า “หมายเลขกลุ่ม” ถูกใช้ตามลำดับที่เปิดเผยต่อสาธารณะ สำนักงานประกันสังคมยังเผยแพร่รายการหมายเลขกลุ่มสูงสุดที่แต่ละสำนักงานไปถึงเป็นระยะด้วย
      หลังการเปลี่ยนแปลงกฎหมายภาษีในปี 1986 การขอเครดิตภาษีบุตรจำเป็นต้องมีเลขประกันสังคมของเด็ก ทำให้การลงทะเบียนตั้งแต่เกิดกลายเป็นเรื่องทั่วไป และสำหรับคนกลุ่มนี้ การเดาห้าหลักแรกทำได้ง่ายมาก
    • นี่ก็แค่เจ้าหน้าที่สินเชื่อที่ไร้ความสามารถและเสียมารยาทอย่างสุด ๆ ปกติเจ้าหน้าที่สินเชื่อได้ค่าคอมมิชชัน จึงมีแรงจูงใจสูงที่จะปิดดีลและเขียนเช็คให้
      ถ้าทำให้ลูกค้าโมโห ก็อดได้ค่าคอมหวาน ๆ ปกติพวกเขาจึงมักสุภาพ เจ้าหน้าที่สินเชื่อคนล่าสุดที่ผมคุยด้วยปิดสินเชื่อบ้านได้มากกว่า 1 พันล้านดอลลาร์ต่อปี และทางโทรศัพท์ก็สุภาพมากจริง ๆ
      ในกรณีแบบนี้ เขาน่าจะให้ส่งอีเมลจากที่อยู่อีเมลทางการของธนาคาร หรือให้ใช้เว็บแอปหรือระบบส่งข้อความของธนาคารเองได้
    • เคยมีเหตุการณ์คล้ายกัน ผมโอนเงินจำนวนค่อนข้างมากจากบัญชีธนาคารหนึ่งไปยังอีกบัญชีธนาคารหนึ่ง ไม่กี่นาทีต่อมาก็มีสายจากหมายเลขที่ดูเหมือนหมายเลข “ป้องกันการฉ้อโกง” ของธนาคารผู้รับ
      พอรับสาย อีกฝ่ายมีสำเนียงหนักมากแบบที่มักได้ยินจากสายหลอกลวง เขาถามว่าผมเพิ่งทำธุรกรรมหรือไม่ แล้วบอกว่าหากต้องการยืนยันธุรกรรมนี้ ต้องให้ข้อมูลส่วนตัวเพิ่มเติม เช่น ที่อยู่บ้านและเลขประกันสังคม พอผมปฏิเสธ เขาก็บอกว่าบัญชีจะถูกล็อก
      แล้วบัญชีก็ถูกล็อกจริง ๆ ผมต้องไปสาขาด้วยตัวเองเพื่อปลดล็อก และยังต้องพิสูจน์ด้วยว่าเงินที่พยายามจะโอนนั้นมีอยู่จริงในอีกบัญชีหนึ่ง ไม่มีเหตุผลเลย ไม่ใช่บัญชีใหม่ และก่อนหน้านี้ก็เคยโอนระหว่างสองบัญชีนี้มาแล้ว ไม่รู้เลยว่าพวกเขาพยายามป้องกันการฉ้อโกงแบบไหนกันแน่
    • ในเงื่อนไขของธนาคารผมระบุว่า ห้ามให้ข้อมูลลับอย่าง PIN หรือรหัสผ่านใช้ครั้งเดียวแก่บุคคลที่สาม และห้ามให้แม้แต่พนักงานธนาคาร
      แต่พอสอบถามเกี่ยวกับแนวปฏิบัติที่ดูเหมือนฟิชชิง เขากลับบอกว่าเป็นเว็บไซต์ที่ “ถูกกฎหมาย” ซึ่งขอให้กรอกข้อมูลรับรองเพื่อดู ประวัติธุรกรรม 180 วันล่าสุด คำนวณคะแนนเครดิต แล้วถอนเงินออกไป จึงไม่เป็นไร เขายังบอกด้วยว่าจะดูสถานการณ์ร่วมกับบริษัทเยอรมันและพิจารณาว่ามีทางออกที่ดีกว่านี้ไหม
      ผู้ให้บริการชำระเงินที่ชื่อ klara หรือ klarna อะไรสักอย่างดูเหมือนจะค่อนข้างได้รับความนิยมในเยอรมนี แต่ผมไม่เข้าใจว่าธนาคารเปลี่ยนเงื่อนไขด้านความปลอดภัยฝ่ายเดียวได้อย่างไร แน่นอนว่าถ้าคุณให้ข้อมูลลับกับคนผิด นั่นก็เป็นความผิดของคุณเอง และต่อให้เลขประกันสังคมตกไปอยู่ในมือมิจฉาชีพ ธนาคารก็คงไม่สนใจ
  • เมื่อไม่กี่เดือนก่อน อีเมลที่ได้รับจากศูนย์ IT ของบริษัทดูน่าสงสัยยิ่งกว่าอีเมลฟิชชิงใด ๆ ที่เคยได้รับมา
    มันส่งมาจากโดเมนทั่วไปอย่าง @itservice.com ซึ่งไม่เหมือนโดเมนทางการของบริษัทเลยแม้แต่น้อย และหัวข้อคือ “URGENT: your account is expiring soon” ในเนื้อหามีหลายลิงก์ ซึ่งอ่านยากและยาวหลายบรรทัดทั้งหมด และไม่มีโดเมนไหนที่เชื่อมโยงกับบริษัทโดยตรงเลย
    นอกจากคลิกลิงก์แล้วก็ไม่มีวิธีแก้ปัญหาอื่น และไม่มีทางเลือกอย่าง “ไปที่การตั้งค่าบัญชี” หรือ “ติดต่อผู้จัดการสายตรง” ด้วย แต่กลับเป็นอีเมลจริง อนึ่ง บริษัทนี้มีพนักงาน ประมาณ 100,000 คน

    • ฝ่าย IT ของเราก็ทำแบบเดียวกันกับ รหัสผ่าน m365 ที่กำลังจะหมดอายุ ไม่ได้ใช้โดเมนบริษัท มีคำผิดเยอะ และ URL ก็ถูกซ่อนไว้ด้วยตัวย่อลิงก์แปลก ๆ
      ทีมเดียวกันนี้บังคับให้เปลี่ยนรหัสผ่านทุก 6 เดือน และยังห้ามใช้รหัสผ่าน 20 อันล่าสุดซ้ำอีก เป็นรหัสผ่านที่ต้องกรอกเองวันละ 10–20 ครั้งในระบบที่ไม่สามารถเรียกตัวจัดการรหัสผ่านขึ้นมาใช้ได้โดยตรง เดาได้เลยว่าความแข็งแรงเฉลี่ยของรหัสผ่านพนักงานจะเป็นอย่างไร
      ผมคิดว่าความไร้ความสามารถของ IT ควรนำไปสู่การสอบ audit ที่ไม่ผ่าน และถ้าดีกว่านั้นก็ควรเป็นเหตุให้ถูกเพิกถอนการจดทะเบียนจากตลาดหลักทรัพย์ด้วยซ้ำ
    • ธนาคารก็ทำแบบนี้เหมือนกัน หลังจากซื้อของไม่กี่นาที ผมได้รับอีเมลที่ดูเหมือนมาจากธนาคาร แต่ให้ความรู้สึกเหมือนหลอกลวงสุด ๆ มี GIF คุณภาพต่ำ และบอกให้คลิกลิงก์ไปยังเว็บไซต์สุ่มที่ไม่ใช่ธนาคาร เช่น purchase-verification-users.net/235532/confirm.html แถมค้นหาก็ไม่เจอเว็บไซต์นั้น
      ในเวลาเดียวกันก็มีสายโทรมาจากเบอร์สุ่ม บอกว่าจะขอตรวจสอบรายการซื้อบางรายการ พอลองค้นดูก็ไม่ใช่หมายเลขที่อยู่บนเว็บไซต์ธนาคารของผม
      ผมวางสายแล้วโทรไปธนาคารโดยตรง หลังจากหลงอยู่กับระบบตอบรับอัตโนมัติ 10 นาที เจ้าหน้าที่ก็ยืนยันว่าเบอร์นั้นเป็นเบอร์ที่ใช้ติดต่อลูกค้าจริง ๆ พอถามว่าทำไมถึงไม่อยู่ในรายการเบอร์บนเว็บไซต์ ก็ตอบว่าพวกเขามักโทรจากเบอร์ที่ไม่ได้เปิดเผยออนไลน์ด้วย
      พอถามว่าอีเมลนั้นธนาคารเป็นคนส่งหรือไม่ เจ้าหน้าที่บอกว่าถ้าในบรรทัดผู้ส่งเขียนว่าเป็นธนาคารก็คลิกได้ แต่ไม่มีข้อมูลว่าอีเมลนั้นถูกส่งจริงหรือเปล่า สรุปคือถ้าบรรทัดผู้ส่งไม่ใช่ธนาคารก็อย่ากด แต่ถ้าเป็นธนาคารก็กดได้ ประมาณนั้น
    • ในบริษัทขนาดนั้น ศูนย์ IT ควรกดปุ่ม “Report Phishing attempt” ที่ติดตั้งไว้ในเมลไคลเอนต์
      พูดแบบประชดนิดหน่อย แต่ถ้าบริษัทระดับนั้นไม่มีช่องทางรายงานฟิชชิง นั่นก็เป็นปัญหาที่ร้ายแรงยิ่งกว่าแคมเปญอีเมลน่าสงสัยเสียอีก
    • การอบรมความปลอดภัยของบริษัทสอนให้ตรวจ URL ในอีเมลที่ได้รับอย่างระมัดระวัง แต่ซอฟต์แวร์ความปลอดภัยของบริษัทกลับเขียน URL ทั้งหมดในอีเมลขาเข้าใหม่หมด
      ถ้าจุดประสงค์คือเพื่อตรวจสอบจากส่วนกลาง ก็คงเป็นการประนีประนอมที่พอสมเหตุสมผลในระดับหนึ่ง แต่มันทำให้ความสามารถของผมในการตัดสินว่าอีเมลถูกต้องหรือไม่ลดลงอย่างมาก อย่างน้อยเนื้อหาอบรมก็ควรถูกอัปเดต
    • บริษัทของเราทำโฮสติ้งและ PaaS แล้วมีคนที่ไม่เคยเห็นมาก่อนในแชตภายในมาขอร้องว่า “ได้โปรด” ช่วยรันคำสั่งบางอย่างด้วย root แล้วส่งผลลัพธ์ให้หน่อย
      ตอนแรกผมตกใจและทำการตรวจสอบด้านความปลอดภัยสารสนเทศ แต่สุดท้ายพบว่าเป็น “พนักงานใหม่” ที่ต้องรวบรวมข้อมูลระบบเพื่อสำรวจสินทรัพย์อุปกรณ์ เขายังไม่มีสิทธิ์เข้าถึงเครื่องมือจัดการเครือข่าย และไม่ค่อยเข้าใจว่าทำไมการรัน curl ... | sh แบบสุ่ม ๆ ถึงไม่ดี เลยคิดว่าการขอข้อมูลจากผู้คนทีละส่วนโดยตรงน่าจะโอเค
      เรื่องแบบนี้เกิดขึ้นจริง
  • วันนี้ผมเห็นโพสต์ใน Reddit ว่าธนาคารเยอรมันส่ง แฟลชไดรฟ์ USB ที่มีเงื่อนไขฉบับใหม่ทางไปรษณีย์: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
    เป็นระดับที่แต่งขึ้นเองยังยาก

    • ผมชอบคอมเมนต์นั้น: “ผมทำงานเป็นผู้รับผิดชอบ CyberCyberCyber ภายนอกให้กับองค์กรหนึ่งในเครือ Sparkassen และรับรองได้เลยว่าไม่มีใครที่เกี่ยวข้องกับความปลอดภัยสารสนเทศของธนาคารแม้แต่น้อยเคยได้ยินไอเดียการตลาดนี้”
    • ผมขอปฏิเสธที่จะเชื่อว่านี่เป็นเรื่องจริง ด้วยกลไกป้องกันทางจิตใจ
    • กฎหมาย EU มีข้อกำหนดให้ส่งเอกสารแบบนี้ผ่าน “สื่อที่คงทน
      ดูเหมือนว่าธนาคารหรือสถาบันการเงินบางแห่งจะตีความเรื่องนี้แบบแปลก ๆ ทั้งที่ที่อื่นดูเหมือนว่าไฟล์แนบอีเมลก็น่าจะเพียงพอแล้ว
    • ตามคำแปลของ ChatGPT ใน USB มี “ข้อกำหนดและเงื่อนไข รายการราคาและบริการ เงื่อนไข” และเป็นประกาศจาก Sparkasse Bremen AG ว่า “รายการราคาและบริการ ข้อกำหนดและเงื่อนไข และเงื่อนไขเพิ่มเติมที่มีผลตั้งแต่วันที่ 1 พฤษภาคม 2024 สามารถตรวจสอบได้ในแฟลชไดรฟ์ USB”
    • ธนาคารเยอรมันบางแห่งยังสร้างบริการจัดเก็บข้อมูลแบบเสียเงินที่มีหลายแพ็กเกจด้วย
      พวกเขามีหน้าที่ต้องส่งเอกสารให้ลูกค้า แต่ผู้บริหารรับข้อกำหนดนั้นไปแบบแปลก ๆ แล้วทางออกและไอเดียที่ไร้สาระที่สุดก็ถูกขายให้พวกเขา
  • ตอนซื้อรถ หลังจากนั้นไม่กี่เดือน ผมได้รับอีเมลบอกว่ายังไม่ได้พิสูจน์ว่าทำประกันไว้ จึงให้ไปที่โดเมนที่ไม่ใช่ของธนาคารเพื่อส่งหลักฐาน
    อีเมลดูเหมือนกระดาษจดหมายที่สแกนมาอย่างลวก ๆ และน่าสงสัยมาก หลังจากได้รับอยู่หลายครั้ง สุดท้ายผมติดต่อธนาคารดูและพบว่าเป็นของจริง
    ผมพยายามอธิบายให้ผู้รับผิดชอบที่มีโต๊ะทำงานของตัวเอง ไม่ใช่พนักงานหน้าเคาน์เตอร์ ฟังว่าสถานการณ์นี้แย่อย่างไร แต่เขาไม่เข้าใจ ไม่นานหลังจากนั้นผมก็ปิดหนี้กู้นั้นและเลิกใช้ธนาคารนั้น

    • เรื่องคล้ายกันเกิดขึ้นกับสินเชื่อจำนองบ้านด้วย ผมได้รับจดหมายที่ใช้ถ้อยคำแปลก ๆ บอกให้ไปที่เว็บไซต์หนึ่งเพื่ออัปเดตหรือยืนยันข้อมูลประกันบ้าน
      พอโทรหานายหน้าประกันภัย ก็พบว่าเป็นคำขอจริง ผมอธิบายว่าถ้าดูตามสัญญาณเตือนสารพัดแล้ว จดหมายฉบับนี้แทบต่างจาก กลโกงเจ้าชายไนจีเรีย แค่ไม่กี่ขั้น แต่ดูเหมือนจะไม่ได้เกิดการเปลี่ยนแปลงอะไรมากนัก
  • ตัวบทความเองยอดเยี่ยม แต่ SMS แรกนั้นแย่มากจน FedEx น่าจะบอกผู้รับให้โอนภาษีศุลกากรไปให้เจ้าชายไนจีเรียเสียยังดีกว่า
    อย่างไรก็ตาม ผมไม่เห็นด้วยบางส่วนกับทิศทางคำแนะนำของ Troy Hunt สมมติฐานพื้นฐานควรเป็นว่า โดยทั่วไปแล้วคนเราแยกข้อความจริงกับข้อความฟิชชิงไม่ออก ต่อไปจะยิ่งเป็นแบบนั้นเพราะ AI และการพึ่งพาการแยกแยะลักษณะเช่นนั้นเป็นข้อบกพร่องร้ายแรง
    แทนที่จะทำอย่างนั้น เราไม่ควรพึ่งพาลิงก์ภายนอกหรือหมายเลขโทรศัพท์ในข้อความที่ได้รับเด็ดขาด ควรค้นหาที่อยู่หรือหมายเลขโทรศัพท์เอง แล้วล็อกอินเข้าใช้บริการนั้น วางสาย ค้นหา แล้วโทรกลับ ควรเป็นสโลแกนเด็ดขาด
    องค์กรที่มีความรับผิดชอบควรประกาศว่าจะไม่ใส่ลิงก์หรือหมายเลขโทรศัพท์ในข้อความ SMS, อีเมล หรือการโทรเด็ดขาด และในข้อความแจ้งเตือนควรเขียนเพียงประมาณว่า “ดูรายละเอียดเพิ่มเติมได้โดยล็อกอินเข้าดashboard”

    • ดูเหมือน Troy Hunt ไม่ได้แนะนำแบบนั้นนะ ตั้งแต่ต้นบทความเขาก็พูดติดตลกว่า “แต่ผมเป็นมนุษย์ฉลาด เลยไม่โดนหลอก” แล้วบอกให้อ่านว่าทำไมมนุษย์ถึงอ่อนกับ URL
      เห็นได้ชัดว่าเขามองว่าวิธีแยกแยะ URL หลอกลวงด้วย heuristic ไม่ใช่แนวทางที่ขยายผลได้ในระยะยาว
    • คำว่า “จะยิ่งเป็นแบบนั้นเพราะ AI” นั้น จริง ๆ แล้วแทบไม่มีที่ให้แย่ลงไปกว่านี้แล้ว
      มนุษย์ ล้มเหลวในการระบุฟิชชิงประมาณ 95% อยู่แล้ว คนเราก็สามารถคัดลอกอีเมล เว็บไซต์ ข้อความ ฯลฯ ของจริงได้อย่างแม่นยำอยู่แล้ว จึงไม่จำเป็นต้องมี AI
    • นี่เป็นข้อจำกัดที่ใหญ่เกินความจำเป็น และไม่เป็นมิตรกับผู้ใช้ที่ไม่คุ้นเทคโนโลยี วอกแวก วันนั้นป่วย หรือแค่ค่อนข้างทึ่ม
      ใส่ลิงก์ได้ แต่ให้เป็นของโดเมนหลัก และทำให้สั้นและสังเกตง่าย: https://example.com/contact
      ถ้าผู้ใช้ยังไม่ได้ล็อกอิน ก็ให้แสดง flow การล็อกอินก่อน พร้อมอธิบายว่า “หากคุณได้รับข้อความจากเรา กรุณาล็อกอินเพื่อดูรายละเอียดเพิ่มเติม” และถ้ามีแบบฟอร์มติดต่อ หมายเลขโทรศัพท์ หรือแชตฝ่ายสนับสนุนลูกค้า ก็ใส่ไว้ด้วย
      เว็บไซต์ฟิชชิงก็เลียนแบบได้ในระดับหนึ่ง แต่ก็ไม่มีเหตุผลต้องบังคับให้ผู้ใช้ไปหาวิธีแก้ปัญหาด้วยตัวเอง
    • ไม่ต้องกังวล ตามที่ผู้พิพากษาและเจ้าหน้าที่ที่มาจากการเลือกตั้งบางคนบอกไว้ แค่ถาม ChatGPT ก็พอว่าข้อความน่าสงสัยนั้นสร้างด้วย AI หรือไม่
  • นี่เป็นผลลัพธ์ของความไร้ความสามารถเชิงองค์กรก็จริง แต่ถึงจุดหนึ่งต้องมีคนคนหนึ่งที่ป้อนเนื้อหาเทมเพลต SMS เจ้าปัญหานั้นเข้าไปในระบบคอมพิวเตอร์สักระบบ
    อยากรู้จริง ๆ ว่าคนนั้นคิดอะไรอยู่ถึงเอาคำมาเรียงต่อกันแบบนี้ ถ้าจะทำให้แย่กว่านี้คงต้องตั้งใจพยายามอย่างจริงจังแล้ว

    • “คำ” เหล่านั้นน่าจะเป็นเทมเพลตซ้อนกันหลายชั้น จึงเป็นไปได้สูงว่าในขั้นตอนป้อนข้อมูลจะเข้าใจยากว่าผลลัพธ์สุดท้ายจะหน้าตาอย่างไร
      ในวงการเทคโนโลยีมีคนจำนวนมากที่เจตนาดี แต่ทำงานที่ซับซ้อนเกินไปเล็กน้อยสำหรับการลงมือคนเดียวโดยไม่มีเพื่อนร่วมงานหรือผู้ตรวจทาน ในบริษัทใหญ่ ๆ บางแห่ง ทั้งทีมและทั้งแผนกก็อยู่ในสภาพแบบนี้
      คนนั้นอาจไม่ได้ไร้ความสามารถโดยสิ้นเชิง และอาจเป็นวิศวกรตัวท็อปของทีมก็ได้ ส่วนคนอื่น ๆ อาจเงียบเพราะคิดว่าตัวเองไม่มีอะไรจะช่วยเสริม คนที่เก่งจริง ๆ คงย้ายไปอยู่โปรเจกต์ใหม่สุดเท่คนละชั้น หรือทีม “refactoring team” ชั้นยอดแล้ว และคงไม่เอาเวลามาใช้กับงานอย่างการอัปเดตเทมเพลต
    • ไม่จำเป็นต้องสมมติว่าเป็นคนเดียว
      คนหนึ่งอาจเขียนข้อความ และอีกคนอาจขอแก้บางส่วนในตั๋ว Jira แต่ชนิดข้อมูลไม่ตรงกับที่ผู้เขียนขอไว้ และนักพัฒนาไม่อยากจัดการ เลยปล่อยขึ้น production ไปเฉย ๆ
      หรือข้อความอาจประกอบขึ้นจากคำสั่ง if หลายชุดที่แยกจากกัน แล้วส่งเฉพาะ output สุดท้ายให้ลูกค้า ถ้าไม่มีใครเห็นข้อความทั้งหมด และแต่ละคนแก้แค่ส่วนเล็ก ๆ ในเงื่อนไขของตัวเอง ก็มักจะเกิด log message สุดสยองแบบนี้
      เมื่อก่อนเคยดูแลโค้ดที่สร้างข้อความละเอียดมากว่า error หนึ่งเกิดขึ้นเพราะอะไร แต่ภายหลังพบว่าส่วนใหญ่ไม่ได้ถูกส่งไปถึงลูกค้า เพราะมีคนด้านหลัง reassign ตัวแปรแทนที่จะใช้ += น่าจะหลีกเลี่ยง support ticket ได้มหาศาล
    • มีคนบอกกันว่าพวกมิจฉาชีพฉลาดมากและตั้งใจใช้ทุกเทคนิคเพื่อเจาะจุดอ่อนทางจิตวิทยาของเรา แต่ 90% น่าจะเป็นแค่ได้รับคำสั่งให้เขียนข้อความที่ “ฟังดูเป็นทางการ”
      คนสมมติที่เขียนเทมเพลตนี้ก็คงพยายามทำแบบเดียวกัน และผลลัพธ์จึงออกมาคล้ายกันเช่นนั้น การใช้คำว่า “urgent” หรือขึ้นต้น “Duty”, “Taxes” ด้วยตัวพิมพ์ใหญ่ก็น่าจะมาจากความพยายามทำให้ดูเป็นทางการและมีพิธีรีตองมากขึ้น และเห็นได้ชัดว่าไม่ใช่นักเขียนที่ชำนาญ
    • คำว่า “ไร้ความสามารถ” น่าสนใจ
      คำคมเก่าแก่เรื่องความไร้ความสามารถกับเจตนาร้ายบังคับให้เราเลือกอย่างใดอย่างหนึ่ง แต่ในความเป็นจริง การมองว่าระหว่างสองอย่างนี้มีสเปกตรัม และมีหลายมิติที่อธิบายเจตนาทั้งที่รู้ตัวและไม่รู้ตัว น่าจะถูกต้องกว่า
      หากดู Post Office scandal ของสหราชอาณาจักร จะเห็นเจตนาร้ายซ้อนอยู่บนความไร้ความสามารถ และมีความไร้ความสามารถซ้อนทับขึ้นไปอีก ในบางองค์กร จุดยืนที่เป็นอันตรายอย่างชัดเจนยังถูกเขียนออกมาเป็น “นโยบาย” ด้วย บ่อยครั้งสิ่งนี้ถูกจัดไว้ใต้คำว่า “PR” และต่อไป “AI” จะถูกใช้มากขึ้นเพื่อปกปิดเจตนาร้ายและหลีกเลี่ยงการตรวจสอบ
      ฉากในตอนสุดท้ายของละคร ITV ที่ Toby Jones ผู้รับบท Alan Bates พูดถึงความไร้ความสามารถกับความชั่วว่า “สองอย่างนั้นคือสิ่งเดียวกัน” นั้นทรงพลังมาก เมื่อถึงจุดหนึ่ง ความแตกต่างระหว่างความไร้ความสามารถกับความชั่วก็หายไป ฟังการอภิปรายเชิงจิตวิทยาที่ลึกกว่านี้ได้ที่นี่: https://cybershow.uk/episodes.php?id=23
      แหล่งข้อมูลที่เกี่ยวข้อง: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, นิยาม public relations ของ Edward Bernays เสนอหลักความเชื่อด้านการหลอกลวง การชักจูง และข้อมูลเท็จ ซึ่งตรงข้ามกับความปลอดภัยโดยสิ้นเชิง: https://en.wikipedia.org/wiki/Public_Relations_(book)
  • ตรงกับประสบการณ์ของผมกับ FedEx มาก พวกเขาส่งใบเรียกเก็บเงินมาหลังจากได้รับพัสดุไปแล้ว 7 เดือน และไม่กี่วันต่อมาก็มีจดหมายทวงถามที่ไม่มีข้อมูลที่จำเป็นสำหรับการชำระเงินตามมา
    ใบเรียกเก็บเงินที่ค้างชำระอาจหายได้ แต่การลืมใส่ข้อมูลที่จำเป็นนี่ค่อนข้างขี้เกียจและโง่มาก เขาบอกให้ไปที่ www.fedex.com แล้วสร้างบัญชี ผมก็สร้าง แต่ระบบไม่รู้อะไรเกี่ยวกับใบเรียกเก็บเงินของผมเลย
    บังเอิญไปเจอใบเรียกเก็บเงินฉบับเดิม ซึ่งเป็นใบที่ส่งช้าไป 7 เดือนนั้น มีตัวหนังสือเล็กมากเขียนว่า “ชำระทันที” ในประเทศของเราโดยทั่วไปคือ 30 วัน เลยเป็นสำนวนที่ผมเพิ่งเคยเห็นครั้งแรกในใบเรียกเก็บเงิน แน่นอนว่าหลังจากผมจ่ายไป 10 วัน พวกเขาก็ยังส่งจดหมายทวงครั้งที่สองมาอีก

    • สำหรับบางบริษัท นี่เป็นแนวปฏิบัติที่พบได้ทั่วไป
      ถ้าขับบนถนนเก็บค่าผ่านทางใน Texas จะไม่มีด่านให้จ่ายค่าผ่านทาง ณ จุดนั้น แล้วอีก 6–12 เดือนต่อมาจะมีใบเรียกเก็บเงินทางไปรษณีย์เขียนว่า “คำเตือนครั้งที่ห้าและครั้งสุดท้าย” ประมาณว่าให้จ่ายค่าผ่านทาง 4 ดอลลาร์พร้อมค่าปรับล่าช้า 80 ดอลลาร์
      ผมมั่นใจว่าคนที่ดำเนินการเรื่องนี้ต้องมีเพื่อนหรือคนในครอบครัวอยู่ในสภานิติบัญญัติของรัฐ Texas แน่ ๆ
    • ผมก็เจอคล้ายกัน ข่าวแรกที่ได้ยินคือ ใบเรียกเก็บอากรศุลกากร ของผมถูกส่งต่อไปให้บริษัททวงหนี้แล้ว
      มีข้อความน่ากลัวเกี่ยวกับการทวงหนี้ส่งมาเพียบ แต่ไม่มีคำอธิบายอะไรเลย นอกจากบอกว่าเกี่ยวข้องกับพัสดุ FedEx
  • นี่เป็นปัญหาจริงที่เกิดจากการเอาหลายอย่างไปจ้างผู้ให้บริการคลาวด์ภายนอกทำ
    สมัยก่อนถ้ามาจากอินทราเน็ตของบริษัทก็ถือว่าโอเค ตอนนี้ทั้งแบบสำรวจ การอบรม และโปรเจกต์ตามกระแสใหม่ ๆ ล้วนมาจากโดเมนภายนอกที่ไม่รู้ที่มา แล้วก็ให้ล็อกอินด้วยข้อมูลรับรองของบริษัท
    บริษัทของเราทำแคมเปญ “ฟิชชิงปลอม” ทำให้การสังเกตอีเมลฟิชชิงเป็นเหมือนเกมเพื่อให้ทุกคนยังไวต่อเรื่องนี้ แต่เรื่องแบบนี้ไม่ควรจำเป็นสำหรับงานบริษัทที่ถูกต้องตามกฎหมายเลย

  • ถ้าจะเสนอเป็นกฎหมาย: หากการแจ้งเตือนทางอิเล็กทรอนิกส์ของบริษัท ดูเหมือนฟิชชิง ถึงขั้นที่คนทั่วไปที่มีเหตุผลมีเหตุชัดเจนให้สงสัยความชอบธรรม ผลทางการเงินและทางกฎหมายทั้งหมดจากการเพิกเฉยต่อมันควรตกเป็นภาระของผู้ส่ง
    ในที่นี้ “ผู้ส่ง” หมายถึงฝ่ายที่ส่งการแจ้งเตือนทางอิเล็กทรอนิกส์

    • ทันทีที่กฎหมายกำหนดคำอย่าง “มีเหตุผล” ก็จะกลายเป็นหล่มทันที
      ทุกครั้งที่คำว่า “มีเหตุผล” ปรากฏในกฎหมายหนึ่งครั้ง ให้ถือได้เลยว่าเงินค่าทนายมากกว่า 1 พันล้านดอลลาร์ถูกใช้ไปแล้วหรือกำลังจะถูกใช้ในอนาคต
    • ผมเองก็เกือบซวยเพราะเรื่องนั้นเหมือนกัน มี “ธนาคาร” ที่ผมไม่ใช่ลูกค้าส่งข้อความมาซ้ำ ๆ ว่า “ด่วน ถ้าไม่กรอกข้อมูลส่วนตัวตอบกลับแบบฟอร์มนี้ เราจะล็อกบัญชีของคุณ” ซึ่งดูเหมือนหลอกลวงมาก
      ต่อมาได้รับจดหมายจริงทางไปรษณีย์ที่มีเนื้อหาเดียวกัน จึงโทรไปที่ธนาคาร และพบว่ามีบัญชีที่ถือเงินเกี่ยวกับบำนาญจากนายจ้างเดิมของผมอยู่ที่นั่น
    • ในกรณีนี้ ผลลัพธ์คือหน่วยงานรัฐบาลออสเตรเลียที่จัดเก็บภาษีนำเข้าไม่ได้รับเงิน
      จากนั้นหน่วยงานนั้นก็จะไม่ส่งมอบพัสดุให้ FedEx และท้ายที่สุดคุณก็ไม่ได้รับพัสดุ FedEx ควรทำการแจ้งเตือนแบบนี้ให้ดีกว่านี้มาก อย่างน้อยก็ควรจ้างคนเขียนคำโฆษณาสักคน
    • จริง ๆ แล้วผลลัพธ์ตกอยู่กับผู้ส่งอยู่แล้ว หากไม่ปฏิบัติตาม พัสดุจะถูกทำลายหรือส่งกลับ ขึ้นอยู่กับประเทศและประเภทสินค้า
      น่าเสียดายที่ไม่มีวิธีง่าย ๆ ในการจ่ายภาษีล่วงหน้า และต้องปล่อยให้เป็นเรื่องของโชคว่าจะถูกตรวจหรือไม่ โชคดีที่ EU จัดการปัญหานี้จนแทบไม่มี surprises แปลก ๆ แล้ว ยกเว้นฝั่ง United States และ United Kingdom
    • ฝ่ายบริหารน่าจะตอบสนองเกินเหตุด้วยการนำ การยืนยันตัวตน 100 ขั้นตอน มาใช้ และบังคับให้ใช้รหัสผ่าน 30 ตัวอักษรที่ต้องมีสัญลักษณ์ Unicode