Vì sao SMS thanh toán thật của FedEx lại trông như lừa đảo
(troyhunt.com)- SMS thanh toán thuế quan và thuế thật của FedEx cho thấy gần như các tín hiệu giống hệt tin nhắn lừa đảo, và trong một khảo sát có hơn 4.000 người tham gia, 87% đánh giá là đáng ngờ
- Tin nhắn chứa shipment number ngắn, yêu cầu thanh toán khẩn cấp, kiểu viết hoa viết thường kỳ lạ, không có ký hiệu tiền tệ, và địa chỉ thanh toán
bpoint.com.aukhông phải của FedEx - Trên màn hình theo dõi vận chuyển của FedEx rất khó xác nhận thông tin duty hay tax, còn liên kết BPOINT thì chỉ cần đổi tham số URL là tracking number, customer name và amount cũng thay đổi theo
- Kênh hỗ trợ khách hàng và hướng dẫn qua điện thoại cũng gây rối, nhưng file đính kèm trong email đến sau 3 ngày đã xác nhận invoice của Prusa cùng thông tin đơn hàng, giá và giao hàng, cho thấy SMS khớp với yêu cầu thực tế
- Chỉ dựa vào biện pháp kiểm soát kỹ thuật như chặn scam SMS là chưa đủ; khi tin nhắn từ doanh nghiệp hợp pháp mang các đặc điểm điển hình của phishing, tiêu chí phán đoán của người dùng sẽ bị phá vỡ
Khi thông báo giao hàng thật lại trông như phishing
- Gần đây có rất nhiều SMS phishing kiểu “không thể giao bưu kiện”, và chúng vượt qua bộ lọc của nhà mạng để vào thẳng hộp thư đến
- Khi đánh giá một tin nhắn có phải phishing hay không, người ta thường nhìn vào các tín hiệu như tính khẩn cấp, cảm giác sợ bị lỡ mất thứ gì đó, hay URL lạ không khớp với đơn vị vận chuyển
- Trong lúc đang chờ một đơn hàng FedEx thật, một SMS yêu cầu thanh toán duty và taxes đã đến, và chỉ nhìn bề ngoài thì rất khó xác định đó là yêu cầu thật hay lừa đảo
- Cuộc thăm dò trên X nhận được hơn 4.000 phản hồi, và 87% đánh giá là “dodgy AF”
Những tín hiệu đáng ngờ trong SMS
- Tin nhắn dùng cách viết kỳ lạ và có chuỗi như
-Exp, khác với cách FedEx thường viếtFedExvới chữEin hoa - shipment number trông quá ngắn, và lại giống hệt số xuất hiện trong phần yêu cầu thanh toán bên dưới
- Từ
urgenthoạt động như một tín hiệu kỹ nghệ xã hội khiến con người hành động mà không kịp suy nghĩ kỹ - Cách viết hoa viết thường của
DutyvàTaxesrất kỳ quặc, và dù là tin nhắn từ một hãng vận chuyển quốc tế nhưng lại không có đơn vị tiền tệ hay ký hiệu đô la - Liên kết thanh toán không thuộc domain FedEx, cũng không phải domain chính phủ Úc, mà là
bpoint.com.au - Việc cung cấp số liên hệ ngay trong SMS đi ngược với xu hướng như NAB loại bỏ liên kết khỏi tin nhắn văn bản
Quy trình rất khó tự xác minh
- Lời khuyên cơ bản với các yêu cầu thanh toán đáng ngờ là không bấm vào liên kết trong tin nhắn, mà tự truy cập website chính thức để kiểm tra
- Từ email xác nhận mua hàng của Prusa, tác giả tìm thông tin giao hàng rồi vào website FedEx, nhưng trên trang theo dõi vận chuyển không thấy mục nào liên quan đến duty hay tax
- Nếu đi theo liên kết trong SMS, tracking number, customer name và amount đều có thể bị sửa tùy ý chỉ bằng cách thay đổi tham số URL
- Không cần chỉnh sửa DOM trong trình duyệt hay chặn bắt lưu lượng, chỉ đổi các tham số query string là đủ
- Hành vi này trông giống hệt một trang phishing, nhưng BPOINT thực ra là cổng thanh toán do Commonwealth Bank cung cấp
- Ngày hôm sau, một SMS khác lại đến từ cùng người gửi
- Lần này shipping number đã được đưa vào tin nhắn, và cách viết hoa viết thường của duty và taxes đã trở lại bình thường
PAY NOWđược viết in hoa, còn “liên kết” thì chỉ có tham số query string mà không có scheme, domain hay path, nên không thể bấm để thanh toán- Tên các tham số query string cũng được đổi sang toàn bộ chữ in hoa, khiến nó giống như một quy trình tạo khác hoặc một quy trình bị lỗi
Hỗ trợ khách hàng và bước xác minh cuối cùng
- Khi tìm số 1800, trang tương ứng trên Reverse Australia xuất hiện ở vị trí cao, và cả phần bình luận lẫn kết quả tìm kiếm đều cho thấy sự nhầm lẫn về tính hợp pháp của tin nhắn
- Thay vì gọi số có trong SMS, tác giả thử xác minh qua mục Customer Support trên website FedEx
- Trang hỗ trợ khách hàng tập trung vào liên lạc qua email và xác minh domain người gửi, đồng thời hướng dẫn một số điện thoại khác với số trong SMS
- Sau khi gọi vào số được hướng dẫn và chọn menu duty và taxes, vài bước sau phần nhập bàn phím không hoạt động nên cùng một thông báo cứ lặp lại
- Hệ thống còn hướng dẫn thay thế là gọi 132610, nhưng đó lại chính là số vừa gọi lúc đầu
- Khi thử lại theo một nhánh menu khác, hệ thống yêu cầu tracking number rồi cung cấp thông tin giống như trên website, đồng thời cho tùy chọn kết nối với nhân viên hỗ trợ
- Nhân viên cho biết giá trị lô hàng là US$799 và sau quy đổi thành AU$1,215.97 thì thuộc diện phải trả inbound fees, nhưng hứa sẽ gọi lại để xác nhận có khớp với số tiền trong SMS hay không
- Ba ngày sau SMS đầu tiên, một email đã đến và số tiền, địa chỉ BPOINT cùng nội dung tin nhắn đều khớp với SMS
- File đính kèm trong email chứa đầy đủ invoice của Prusa cùng mã đơn hàng, giá và thông tin giao hàng, qua đó xác nhận SMS đúng là liên quan đến yêu cầu thanh toán thật
Tin nhắn doanh nghiệp làm suy yếu khả năng phòng vệ trước phishing
- Chỉ riêng tại Úc, thiệt hại do scam đã vượt AU$3B mỗi năm, và trên quy mô toàn cầu thì vấn đề còn lớn hơn
- ACMA cho biết các nhà mạng đã chặn 336 triệu scam SMS, nhưng không ai biết còn bao nhiêu tin nhắn lừa đảo không bị chặn
- Vì chỉ dùng các biện pháp kiểm soát kỹ thuật là không đủ, con người phải nhận diện scam qua những mẫu quen thuộc như yêu cầu chuyển tiền, tính khẩn cấp, ngữ pháp và viết hoa viết thường kỳ lạ, hay URL bất thường
- Trong trường hợp này, chính tin nhắn FedEx hợp pháp lại chứa rất nhiều mẫu nhận diện scam như vậy
- Trong bối cảnh scam dùng AI ngày càng khó nhận ra, nếu tin nhắn từ các tổ chức hợp pháp không thể phân biệt với kẻ lừa đảo, tiêu chí phán đoán của người dùng sẽ ngày càng suy yếu
1 bình luận
Ý kiến trên Hacker News
FedEx nằm trong nhóm các tập đoàn lớn có nền tảng số tệ nhất và bảo mật lỏng lẻo nhất
Khi tôi chuyển đến một khu chung cư thế hệ thứ 10 và thiết lập FedEx Delivery Manager, chỉ cần nhập địa chỉ mới là tôi đã thấy ngay các chỉ dẫn giao hàng của người thuê trước mà không có bất kỳ bước xác minh nào; trong đó còn có cả mã gara riêng của tòa nhà. Kẻ trộm cũng có thể làm y hệt như vậy
Sau khi chuyển đi, tôi cố thêm địa chỉ mới nhưng trang web lần nào cũng báo lỗi. Lục các diễn đàn thì thấy giả thuyết rằng nếu mật khẩu có ký tự đặc biệt, một số chức năng của trang sẽ hỏng vĩnh viễn là đúng. Luồng đổi mật khẩu cũng hỏng, nên cuối cùng vợ tôi phải tạo tài khoản mới với mật khẩu yếu hơn
Bản thân công ty thì ấn tượng, nhưng chuyện này đúng là trình nghiệp dư
Hai đơn hàng gần đây có vẻ đơn giản là bị ai đó trong nội bộ FedEx lấy cắp; chúng đã vào cơ sở của FedEx nhưng sau đó không bao giờ ra ngoài nữa. Bộ phận chăm sóc khách hàng chỉ là một cỗ máy xin lỗi ở nước ngoài và chẳng giải quyết được gì. Trước đây tôi từng thích FedEx, nhưng mức dịch vụ đã xuống quá thấp nên giờ tôi cố tình tránh họ
Ngay khi tạo xong tài khoản, tôi nhận được hóa đơn vận chuyển quốc tế trị giá hàng nghìn đô la của người gửi và người nhận hoàn toàn không liên quan đến tôi, thậm chí còn bị tự động trừ vào thẻ tín dụng đã đăng ký. Khi tôi xóa thẻ, những hóa đơn giấy dày cộp của FedEx bắt đầu được gửi đến qua đường bưu điện
Hóa ra FedEx cho phép tính phí vào bất kỳ tài khoản nào chỉ cần biết số tài khoản 9 chữ số, nên kẻ gian thường tạo số ngẫu nhiên để làm việc này. FedEx không quan tâm, từ chối tiếp nhận báo cáo gian lận, và ngay cả sau khi tôi báo cáo vẫn cho phép thêm các lô hàng gian lận khác. Cuối cùng, chỉ sau khi tôi yêu cầu công ty thẻ tín dụng hoàn tiền qua chargeback thì họ mới đóng tài khoản, nhưng giờ các email marketing không thể hủy đăng ký vẫn tiếp tục gửi đến. Đây là công ty không ai nên dùng
Chỉ cần biết địa chỉ là coi như có thể thực hiện tấn công từ chối dịch vụ nhắm vào bất kỳ ai trên Trái Đất, từ bất cứ đâu trên Internet
Tôi chờ 1–2 tháng, tưởng bưu kiện đã bị đánh cắp, rồi hỏi USPS xem họ có đang giữ không thì hóa ra nó thật sự nằm trong “phòng thư không thể phát”, và tôi còn bị thuyết giáo một hồi rằng việc FedEx bỏ bưu kiện vào hộp thư thuộc sở hữu của USPS/chính phủ là bất hợp pháp
Tôi gọi FedEx để nhờ giải quyết, nhưng theo trí nhớ thì hoặc là họ không bắt máy, hoặc nói rằng không có cách liên hệ với tài xế giao hàng. Từ đó tôi tránh FedEx, và sau khi UPS làm hỏng hai chiếc đèn cổ tôi mua trên eBay thì tôi cũng tránh luôn UPS
Khi vợ tôi đăng ký vay tín chấp thế chấp nhà, có người tự xưng là từ ngân hàng gọi điện nói rằng vì căn nhà đứng tên chung nên cần xác nhận xem tôi có phê duyệt khoản vay hay không
Anh ta hỏi tên tôi nên tôi đã cho biết, rồi sau đó tôi cũng cung cấp bốn chữ số cuối của số an sinh xã hội. Nhưng ngay khi anh ta yêu cầu toàn bộ số an sinh xã hội, đèn cảnh báo trong tôi bật lên. Tôi bắt đầu thấy bất an vì đã cho một người lạ đột ngột gọi đến biết cả bốn chữ số cuối, nên gọi lại theo số trên website ngân hàng và hỏi liệu có thể xác nhận anh ta có phải nhân viên thật không
Anh ta tỏ ra bực bội, nói rằng có lẽ không có số nào trên website có thể nối máy tới anh ta, và nếu tôi không cung cấp toàn bộ số an sinh xã hội thì anh ta buộc phải từ chối hồ sơ vay. Tôi nói nếu không có cách liên hệ lại qua số chính thức của ngân hàng thì tôi không thể cung cấp thông tin, thế là anh ta nổi giận rồi cúp máy
Hóa ra anh ta đúng là nhân viên ngân hàng thật, và thực sự đã hủy hồ sơ vay
Thực tế khi tôi gọi số chính thức, ngân hàng cũng xác nhận điều đó. Tôi giải thích rằng đây là một thực hành bảo mật không tốt, nhưng họ nói chỉ cần nhìn số gọi đến để xác nhận đó có phải cuộc gọi từ ngân hàng hay không. Giải thích về việc giả mạo số gọi đến hoàn toàn vô ích
Trước năm 2011, ba chữ số đầu biểu thị văn phòng cấp số, còn hai chữ số giữa, tức “số nhóm”, được dùng theo một thứ tự công khai. Cơ quan An sinh Xã hội cũng định kỳ công bố danh sách số nhóm cao nhất mà mỗi văn phòng đã đạt tới
Sau thay đổi luật thuế năm 1986, để nhận tín dụng thuế cho con thì cần số an sinh xã hội của trẻ, nên việc đăng ký khi sinh trở nên phổ biến; với những người như vậy, năm chữ số đầu rất dễ dự đoán
Nếu làm khách hàng nổi giận thì không nhận được khoản hoa hồng béo bở, nên thường họ sẽ thân thiện. Nhân viên phụ trách khoản vay gần nhất tôi từng nói chuyện đã chốt hơn 1 tỷ đô la khoản vay thế chấp nhà mỗi năm, và qua điện thoại cũng thật sự rất dễ chịu
Trong trường hợp như thế này, lẽ ra có thể yêu cầu anh ta gửi email từ địa chỉ email chính thức của ngân hàng, hoặc dùng web app hay hệ thống nhắn tin của chính ngân hàng
Khi tôi bắt máy, người bên kia có giọng rất nặng kiểu thường nghe trong các cuộc gọi lừa đảo, hỏi tôi có thực hiện giao dịch gần đây không, rồi nói để xác nhận giao dịch này tôi phải cung cấp thêm thông tin cá nhân như địa chỉ nhà và số an sinh xã hội. Khi tôi từ chối, họ nói tài khoản sẽ bị khóa
Tài khoản thật sự bị khóa, tôi phải trực tiếp đến chi nhánh để mở lại, và còn phải chứng minh số tiền định chuyển thực sự đang nằm trong tài khoản khác. Hoàn toàn vô lý. Đó cũng không phải tài khoản mới, trước đây tôi từng chuyển tiền giữa hai tài khoản này rồi; tôi không hiểu rốt cuộc họ đang cố ngăn kiểu lừa đảo nào
Nhưng khi tôi hỏi về một thực hành trông giống phishing, họ nói đó là một website “hợp pháp” yêu cầu nhập thông tin đăng nhập để xem lịch sử giao dịch 180 ngày gần đây, tính điểm tín dụng rồi rút tiền, nên không sao. Họ cũng nói sẽ xem xét tình hình với công ty Đức và tìm xem có giải pháp tốt hơn không
Có vẻ nhà cung cấp thanh toán tên là klara hay klarna gì đó khá phổ biến ở Đức, nhưng tôi không hiểu việc ngân hàng đơn phương thay đổi các điều khoản liên quan đến bảo mật. Tất nhiên nếu bạn đưa thông tin bí mật cho nhầm người thì đó là lỗi của bạn, và dù số an sinh xã hội lọt vào tay kẻ lừa đảo thì ngân hàng cũng sẽ chẳng quan tâm
Vài tháng trước, một email tôi nhận được từ trung tâm IT của công ty trông còn đáng ngờ hơn bất kỳ email phishing nào tôi từng nhận
Nó đến từ một domain phổ thông kiểu
@itservice.com, chẳng hề giống domain chính thức của công ty, tiêu đề là “URGENT: your account is expiring soon”. Trong nội dung có nhiều liên kết, tất cả đều khó đọc và dài nhiều dòng, không có domain nào liên quan trực tiếp đến công tyNgoài việc bấm vào link thì không có cách xử lý nào khác, cũng không có lựa chọn thay thế kiểu “đi tới phần cài đặt tài khoản” hay “liên hệ quản lý trực tiếp”. Thế mà đó lại là email thật. Nhân tiện, đây là công ty có khoảng 100.000 nhân viên
Cùng đội đó bắt đổi mật khẩu mỗi 6 tháng và chặn tái sử dụng 20 mật khẩu gần nhất. Đó là những mật khẩu phải nhập thủ công 10–20 lần mỗi ngày vào các hệ thống không thể gọi trực tiếp trình quản lý mật khẩu. Có thể đoán được độ mạnh mật khẩu trung bình của nhân viên sẽ ra sao
Tôi nghĩ sự kém cỏi của IT nên dẫn tới thất bại trong kiểm toán, và tốt hơn nữa là nên trở thành lý do để hủy niêm yết
purchase-verification-users.net/235532/confirm.html, và tìm kiếm cũng không thấy website đóĐồng thời, một số điện thoại ngẫu nhiên gọi tới muốn xác nhận vài giao dịch mua; tra ra thì đó không phải số có trên website ngân hàng của tôi
Tôi cúp máy rồi gọi trực tiếp cho ngân hàng; sau 10 phút lạc trong hệ thống trả lời tự động, nhân viên tư vấn xác nhận số đó đúng là số họ dùng để liên hệ khách hàng. Khi tôi hỏi tại sao nó không nằm trong danh sách số điện thoại đăng trên website, họ nói họ thường xuyên gọi bằng cả những số không công khai trên mạng
Khi tôi hỏi liệu email đó có phải ngân hàng gửi không, họ nói nếu dòng người gửi ghi là ngân hàng thì có thể bấm, nhưng họ không có thông tin liệu email đó có thực sự do họ gửi hay không. Đại loại là nếu dòng người gửi không phải ngân hàng thì đừng bấm, còn nếu là ngân hàng thì bấm được
Nói vậy hơi mỉa mai, nhưng nếu một công ty cỡ đó còn không có phương tiện báo cáo phishing, thì đó là vấn đề nghiêm trọng hơn cả một chiến dịch email đáng ngờ
Có lẽ nếu mục đích là kiểm tra tập trung thì đây có thể là một thỏa hiệp phần nào hợp lý, nhưng nó làm giảm đáng kể khả năng tôi tự đánh giá tính hợp lệ của email. Ít nhất thì nội dung đào tạo cũng phải được cập nhật
Ban đầu tôi sốc và làm kiểm tra an ninh thông tin, nhưng hóa ra đó là một “nhân viên mới” cần thu thập thông tin hệ thống để kiểm kê thiết bị. Người này chưa có quyền truy cập công cụ quản lý mạng, không hiểu rõ vì sao cứ chạy bừa
curl ... | shlà không tốt, nên nghĩ rằng xin từng mảnh thông tin trực tiếp từ mọi người thì ổnNhững chuyện như vậy thực sự xảy ra
Hôm nay tôi thấy một bài trên Reddit nói rằng một ngân hàng Đức đã gửi qua bưu điện một USB flash drive chứa điều khoản mới: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
Đến mức không thể bịa ra nổi
Có vẻ một số ngân hàng hoặc tổ chức tài chính diễn giải điều này một cách kỳ lạ. Trong khi ở nơi khác, file đính kèm email có vẻ cũng đã đủ
Họ có nghĩa vụ gửi tài liệu cho khách hàng, nhưng ban lãnh đạo lại hiểu yêu cầu đó theo cách kỳ quặc, và những giải pháp cùng ý tưởng lố bịch nhất đang được bán cho họ
Vài tháng sau khi mua xe, tôi nhận được email nói rằng tôi chưa chứng minh đã mua bảo hiểm, nên phải truy cập một domain không thuộc sở hữu của ngân hàng để nộp bằng chứng
Email trông như giấy thư được scan cẩu thả và thật sự rất đáng ngờ. Sau khi nhận vài lần, cuối cùng tôi liên hệ ngân hàng thì hóa ra là thật
Tôi cố giải thích cho người phụ trách có bàn làm việc riêng, không phải nhân viên quầy, rằng tình huống này tệ ở chỗ nào, nhưng họ không hiểu. Không lâu sau tôi trả hết khoản vay đó và rời ngân hàng ấy
Tôi gọi cho môi giới bảo hiểm thì biết đó đúng là yêu cầu thật. Tôi giải thích rằng xét theo đủ loại dấu hiệu cảnh báo, lá thư này chỉ cách trò lừa hoàng tử Nigeria vài bước, nhưng có vẻ không có thay đổi lớn nào
Bản thân bài viết rất hay, nhưng SMS đầu tiên quá kinh khủng, đến mức FedEx có khi còn nên bảo người nhận chuyển tiền thuế hải quan cho một hoàng tử Nigeria thì hơn
Tuy vậy, tôi không hoàn toàn đồng ý với hướng khuyến nghị của Troy Hunt. Tiền đề cơ bản phải là con người nói chung không thể phân biệt được tin nhắn thật với tin nhắn phishing. Vì AI, về sau điều đó sẽ càng đúng hơn, và việc dựa vào các đặc điểm phân biệt như vậy là một khiếm khuyết chí mạng
Thay vào đó, tuyệt đối không nên dựa vào các liên kết ngoài hoặc số điện thoại trong tin nhắn nhận được. Phải tự tra địa chỉ hoặc số điện thoại rồi đăng nhập vào dịch vụ đó. Cúp máy, tra cứu, rồi gọi lại phải trở thành khẩu hiệu tuyệt đối
Các tổ chức có trách nhiệm nên tuyên bố rằng họ sẽ không bao giờ đưa liên kết hoặc số điện thoại vào SMS, email hay cuộc gọi, và trong thông báo chỉ nên viết kiểu “Vui lòng đăng nhập vào dashboard để xem chi tiết”
Rõ ràng ông ấy cho rằng cách phân biệt URL lừa đảo bằng heuristic không phải là hướng tiếp cận có thể mở rộng về lâu dài
Con người vốn đã thất bại khoảng 95% trong việc nhận diện phishing. Người ta đã có thể sao chép chính xác email, website, tin nhắn thật, v.v. nên không cần đến AI
Cứ đưa liên kết vào, nhưng để nó thuộc domain cốt lõi, ngắn và dễ nhận ra: https://example.com/contact
Nếu người dùng chưa đăng nhập, hãy hiển thị trước luồng đăng nhập giải thích rằng “Nếu bạn nhận được tin nhắn từ chúng tôi, hãy đăng nhập để xem chi tiết”, rồi kèm biểu mẫu liên hệ, số điện thoại, và chat hỗ trợ khách hàng nếu có
Các trang phishing cũng có thể bắt chước ở một mức độ nào đó, nhưng đó không phải là lý do để ép người dùng tự tìm ra cách giải quyết vấn đề
Đây đúng là kết quả của sự kém năng lực mang tính tổ chức, nhưng đến một lúc nào đó hẳn đã có một người nhập nội dung mẫu SMS có vấn đề đó vào một hệ thống máy tính nào đó
Tôi thật sự tò mò người đó đã nghĩ gì khi ghép các từ như vậy. Muốn làm nó tệ hơn chắc phải cố gắng thật sự
Trong giới công nghệ có rất nhiều người thiện chí nhưng làm một việc hơi phức tạp nếu làm một mình mà không có đồng nghiệp hay người review. Ở các tập đoàn lớn, thậm chí có cả nhóm và phòng ban rơi vào trạng thái như vậy
Người đó có thể không hoàn toàn bất tài, thậm chí là kỹ sư ngôi sao của nhóm, còn những người khác im lặng vì nghĩ mình chẳng có gì để đóng góp. Những người thật sự giỏi hẳn đã chuyển sang các dự án mới hoành tráng ở tầng khác hoặc một “đội refactoring” tinh hoa nào đó, chứ không dành thời gian cho việc như cập nhật template
Một người có thể đã viết câu chữ, rồi người khác yêu cầu sửa một phần trong ticket Jira. Nhưng kiểu dữ liệu lại không khớp với điều người viết yêu cầu, và lập trình viên không muốn xử lý nên cứ deploy luôn
Hoặc thông điệp có thể được cấu thành từ nhiều câu lệnh
iftách rời nhau, và chỉ đầu ra cuối cùng mới được gửi đến khách hàng. Khi không có ai xem toàn bộ thông điệp, mỗi người chỉ sửa một mẩu nhỏ trong điều kiện của mình, những log message kinh khủng rất hay xuất hiệnTrước đây tôi từng xử lý đoạn code tạo ra thông báo rất chi tiết về lý do một lỗi xảy ra, nhưng sau đó phát hiện phần lớn nội dung đó không được gửi cho khách hàng. Vì ở phía sau có ai đó gán lại biến thay vì dùng
+=. Lẽ ra đã có thể tránh được vô số ticket hỗ trợNgười giả định đã viết template này có lẽ cũng cố làm y như vậy, nên kết quả mới giống đến thế. Việc dùng “urgent” hoặc viết hoa chữ cái đầu của “Duty”, “Taxes” dường như cũng là nỗ lực để trông trang trọng và chính thức hơn, và rõ ràng đó không phải là một người viết thành thạo
Câu ngạn ngữ cũ về sự kém năng lực và ác ý buộc ta chọn một trong hai, nhưng thực tế chính xác hơn là nên nhìn nhận có một phổ nằm giữa hai điều đó, cùng nhiều chiều giải thích ý định có ý thức và vô thức
Nhìn vào bê bối Post Office ở Anh, ta có thể thấy ác ý chồng lên kém năng lực, rồi lại thêm kém năng lực chồng lên trên. Ở một số tổ chức, những lập trường rõ ràng gây hại còn được viết thành “chính sách”. Thường thì chúng nằm dưới nhãn “PR”, và trong tương lai “AI” sẽ được dùng nhiều hơn để che giấu ác ý và né tránh thẩm tra
Cảnh Toby Jones trong vai Alan Bates nói về sự kém năng lực và cái ác ở tập cuối phim truyền hình ITV rằng “hai thứ đó là một” thật sự gây ấn tượng mạnh. Đến một lúc nào đó, khác biệt giữa kém năng lực và cái ác biến mất. Có thể nghe thảo luận tâm lý học sâu hơn tại đây: https://cybershow.uk/episodes.php?id=23
Tài liệu liên quan: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, định nghĩa về quan hệ công chúng của Edward Bernays đưa ra một tín điều về lừa dối, thao túng và thông tin sai lệch, hoàn toàn trái ngược với bảo mật: https://en.wikipedia.org/wiki/Public_Relations_(book)
Cũng khớp với trải nghiệm của tôi với FedEx. Họ gửi hóa đơn 7 tháng sau khi tôi nhận bưu kiện, rồi vài ngày sau lại gửi thư nhắc nợ nhưng không có thông tin cần thiết để thanh toán
Hóa đơn chưa thanh toán có thể đã bị thất lạc, nhưng bỏ sót thông tin cần thiết thì khá lười biếng và ngớ ngẩn. Họ bảo tôi vào www.fedex.com và tạo tài khoản, tôi đã tạo, nhưng tài khoản đó chẳng biết gì về hóa đơn của tôi
Tình cờ tôi tìm thấy hóa đơn gốc, và trên cái hóa đơn gửi trễ 7 tháng đó có dòng “thanh toán ngay” in chữ rất nhỏ. Ở nước tôi thường là 30 ngày, nên đây là lần đầu tôi thấy cách ghi như vậy trên hóa đơn. Tất nhiên, 10 ngày sau khi tôi đã thanh toán, họ vẫn gửi thư nhắc nợ thứ hai
Nếu bạn lái xe trên đường thu phí ở Texas, sẽ không có trạm thu phí nào tại chỗ để trả tiền; 6–12 tháng sau bạn nhận được qua bưu điện một hóa đơn ghi “cảnh báo lần thứ năm và cũng là cuối cùng”. Kiểu như yêu cầu trả 4 đô la phí đường bộ và 80 đô la phí trễ hạn
Tôi chắc rằng những người vận hành việc này có bạn bè hoặc người nhà trong cơ quan lập pháp bang Texas
Tôi nhận cả đống tin nhắn đáng sợ về việc thu hồi nợ, nhưng ngoài việc nói nó liên quan đến một bưu kiện FedEx thì chẳng có giải thích nào khác
Đây là một vấn đề thật sự phát sinh khi quá nhiều thứ bị thuê ngoài cho các nhà cung cấp đám mây bên ngoài
Trước đây, nếu thứ gì đó đến từ intranet của công ty thì còn ổn. Giờ thì khảo sát, đào tạo, các dự án theo trào lưu mới đều đến từ những tên miền bên ngoài không rõ danh tính, rồi yêu cầu đăng nhập bằng thông tin xác thực của công ty
Công ty chúng tôi vận hành các chiến dịch “phishing giả” để biến việc nhận biết email phishing thành một kiểu trò chơi và giữ cho mọi người luôn cảnh giác, nhưng công việc hợp pháp của công ty không nên cần đến chuyện như vậy
Nếu đề xuất một điều luật, thì khi thông báo điện tử của một công ty trông giống phishing đến mức một người hợp lý có lý do rõ ràng để nghi ngờ tính chính đáng của nó, mọi hậu quả tài chính và pháp lý phát sinh từ việc bỏ qua thông báo đó phải do bên gửi chịu
Ở đây, “bên gửi” nghĩa là phía đã gửi thông báo điện tử
Cứ mỗi lần từ “hợp lý” xuất hiện trong luật, bạn có thể xem như hơn 1 tỷ đô la đã, hoặc sẽ, được chi cho phí luật sư
Sau đó tôi nhận được thư giấy thật với nội dung tương tự và gọi cho ngân hàng, thì hóa ra ở đó có một tài khoản đang giữ khoản tiền hưu trí từ chủ lao động trước đây của tôi
Khi đó cơ quan này sẽ không giao bưu kiện cho FedEx, và cuối cùng bạn không nhận được bưu kiện. FedEx cần làm các thông báo kiểu này tốt hơn nhiều, tối thiểu cũng nên thuê một copywriter
Điều đáng tiếc là không có cách dễ dàng để nộp thuế trước, và việc có bị kiểm tra hay không thì phải phó mặc cho may rủi. May là EU đã xử lý vấn đề này nên gần như không còn những bất ngờ kỳ quặc nữa. Trừ phía United States và United Kingdom