1 điểm bởi GN⁺ 2024-02-24 | 1 bình luận | Chia sẻ qua WhatsApp
  • SMS thanh toán thuế quan và thuế thật của FedEx cho thấy gần như các tín hiệu giống hệt tin nhắn lừa đảo, và trong một khảo sát có hơn 4.000 người tham gia, 87% đánh giá là đáng ngờ
  • Tin nhắn chứa shipment number ngắn, yêu cầu thanh toán khẩn cấp, kiểu viết hoa viết thường kỳ lạ, không có ký hiệu tiền tệ, và địa chỉ thanh toán bpoint.com.au không phải của FedEx
  • Trên màn hình theo dõi vận chuyển của FedEx rất khó xác nhận thông tin duty hay tax, còn liên kết BPOINT thì chỉ cần đổi tham số URL là tracking number, customer name và amount cũng thay đổi theo
  • Kênh hỗ trợ khách hàng và hướng dẫn qua điện thoại cũng gây rối, nhưng file đính kèm trong email đến sau 3 ngày đã xác nhận invoice của Prusa cùng thông tin đơn hàng, giá và giao hàng, cho thấy SMS khớp với yêu cầu thực tế
  • Chỉ dựa vào biện pháp kiểm soát kỹ thuật như chặn scam SMS là chưa đủ; khi tin nhắn từ doanh nghiệp hợp pháp mang các đặc điểm điển hình của phishing, tiêu chí phán đoán của người dùng sẽ bị phá vỡ

Khi thông báo giao hàng thật lại trông như phishing

  • Gần đây có rất nhiều SMS phishing kiểu “không thể giao bưu kiện”, và chúng vượt qua bộ lọc của nhà mạng để vào thẳng hộp thư đến
  • Khi đánh giá một tin nhắn có phải phishing hay không, người ta thường nhìn vào các tín hiệu như tính khẩn cấp, cảm giác sợ bị lỡ mất thứ gì đó, hay URL lạ không khớp với đơn vị vận chuyển
  • Trong lúc đang chờ một đơn hàng FedEx thật, một SMS yêu cầu thanh toán duty và taxes đã đến, và chỉ nhìn bề ngoài thì rất khó xác định đó là yêu cầu thật hay lừa đảo
  • Cuộc thăm dò trên X nhận được hơn 4.000 phản hồi, và 87% đánh giá là “dodgy AF”

Những tín hiệu đáng ngờ trong SMS

  • Tin nhắn dùng cách viết kỳ lạ và có chuỗi như -Exp, khác với cách FedEx thường viết FedEx với chữ E in hoa
  • shipment number trông quá ngắn, và lại giống hệt số xuất hiện trong phần yêu cầu thanh toán bên dưới
  • Từ urgent hoạt động như một tín hiệu kỹ nghệ xã hội khiến con người hành động mà không kịp suy nghĩ kỹ
  • Cách viết hoa viết thường của DutyTaxes rất kỳ quặc, và dù là tin nhắn từ một hãng vận chuyển quốc tế nhưng lại không có đơn vị tiền tệ hay ký hiệu đô la
  • Liên kết thanh toán không thuộc domain FedEx, cũng không phải domain chính phủ Úc, mà là bpoint.com.au
  • Việc cung cấp số liên hệ ngay trong SMS đi ngược với xu hướng như NAB loại bỏ liên kết khỏi tin nhắn văn bản

Quy trình rất khó tự xác minh

  • Lời khuyên cơ bản với các yêu cầu thanh toán đáng ngờ là không bấm vào liên kết trong tin nhắn, mà tự truy cập website chính thức để kiểm tra
  • Từ email xác nhận mua hàng của Prusa, tác giả tìm thông tin giao hàng rồi vào website FedEx, nhưng trên trang theo dõi vận chuyển không thấy mục nào liên quan đến duty hay tax
  • Nếu đi theo liên kết trong SMS, tracking number, customer name và amount đều có thể bị sửa tùy ý chỉ bằng cách thay đổi tham số URL
    • Không cần chỉnh sửa DOM trong trình duyệt hay chặn bắt lưu lượng, chỉ đổi các tham số query string là đủ
    • Hành vi này trông giống hệt một trang phishing, nhưng BPOINT thực ra là cổng thanh toán do Commonwealth Bank cung cấp
  • Ngày hôm sau, một SMS khác lại đến từ cùng người gửi
    • Lần này shipping number đã được đưa vào tin nhắn, và cách viết hoa viết thường của duty và taxes đã trở lại bình thường
    • PAY NOW được viết in hoa, còn “liên kết” thì chỉ có tham số query string mà không có scheme, domain hay path, nên không thể bấm để thanh toán
    • Tên các tham số query string cũng được đổi sang toàn bộ chữ in hoa, khiến nó giống như một quy trình tạo khác hoặc một quy trình bị lỗi

Hỗ trợ khách hàng và bước xác minh cuối cùng

  • Khi tìm số 1800, trang tương ứng trên Reverse Australia xuất hiện ở vị trí cao, và cả phần bình luận lẫn kết quả tìm kiếm đều cho thấy sự nhầm lẫn về tính hợp pháp của tin nhắn
  • Thay vì gọi số có trong SMS, tác giả thử xác minh qua mục Customer Support trên website FedEx
  • Trang hỗ trợ khách hàng tập trung vào liên lạc qua email và xác minh domain người gửi, đồng thời hướng dẫn một số điện thoại khác với số trong SMS
  • Sau khi gọi vào số được hướng dẫn và chọn menu duty và taxes, vài bước sau phần nhập bàn phím không hoạt động nên cùng một thông báo cứ lặp lại
    • Hệ thống còn hướng dẫn thay thế là gọi 132610, nhưng đó lại chính là số vừa gọi lúc đầu
  • Khi thử lại theo một nhánh menu khác, hệ thống yêu cầu tracking number rồi cung cấp thông tin giống như trên website, đồng thời cho tùy chọn kết nối với nhân viên hỗ trợ
  • Nhân viên cho biết giá trị lô hàng là US$799 và sau quy đổi thành AU$1,215.97 thì thuộc diện phải trả inbound fees, nhưng hứa sẽ gọi lại để xác nhận có khớp với số tiền trong SMS hay không
  • Ba ngày sau SMS đầu tiên, một email đã đến và số tiền, địa chỉ BPOINT cùng nội dung tin nhắn đều khớp với SMS
  • File đính kèm trong email chứa đầy đủ invoice của Prusa cùng mã đơn hàng, giá và thông tin giao hàng, qua đó xác nhận SMS đúng là liên quan đến yêu cầu thanh toán thật

Tin nhắn doanh nghiệp làm suy yếu khả năng phòng vệ trước phishing

  • Chỉ riêng tại Úc, thiệt hại do scam đã vượt AU$3B mỗi năm, và trên quy mô toàn cầu thì vấn đề còn lớn hơn
  • ACMA cho biết các nhà mạng đã chặn 336 triệu scam SMS, nhưng không ai biết còn bao nhiêu tin nhắn lừa đảo không bị chặn
  • Vì chỉ dùng các biện pháp kiểm soát kỹ thuật là không đủ, con người phải nhận diện scam qua những mẫu quen thuộc như yêu cầu chuyển tiền, tính khẩn cấp, ngữ pháp và viết hoa viết thường kỳ lạ, hay URL bất thường
  • Trong trường hợp này, chính tin nhắn FedEx hợp pháp lại chứa rất nhiều mẫu nhận diện scam như vậy
  • Trong bối cảnh scam dùng AI ngày càng khó nhận ra, nếu tin nhắn từ các tổ chức hợp pháp không thể phân biệt với kẻ lừa đảo, tiêu chí phán đoán của người dùng sẽ ngày càng suy yếu

1 bình luận

 
GN⁺ 2024-02-24
Ý kiến trên Hacker News
  • FedEx nằm trong nhóm các tập đoàn lớn có nền tảng số tệ nhất và bảo mật lỏng lẻo nhất
    Khi tôi chuyển đến một khu chung cư thế hệ thứ 10 và thiết lập FedEx Delivery Manager, chỉ cần nhập địa chỉ mới là tôi đã thấy ngay các chỉ dẫn giao hàng của người thuê trước mà không có bất kỳ bước xác minh nào; trong đó còn có cả mã gara riêng của tòa nhà. Kẻ trộm cũng có thể làm y hệt như vậy
    Sau khi chuyển đi, tôi cố thêm địa chỉ mới nhưng trang web lần nào cũng báo lỗi. Lục các diễn đàn thì thấy giả thuyết rằng nếu mật khẩu có ký tự đặc biệt, một số chức năng của trang sẽ hỏng vĩnh viễn là đúng. Luồng đổi mật khẩu cũng hỏng, nên cuối cùng vợ tôi phải tạo tài khoản mới với mật khẩu yếu hơn
    Bản thân công ty thì ấn tượng, nhưng chuyện này đúng là trình nghiệp dư

    • Tôi không chắc đó có thật sự là một công ty ấn tượng không. Ở nhiều địa chỉ khác nhau, tỷ lệ giao hàng thành công của tôi chỉ khoảng 50%, và tôi cũng biết người gặp các vấn đề kéo dài tương tự
    • Tôi đặt mua một máy tính ở Nam California, vậy mà nó đi qua Texas, Florida, Maine rồi quay lại Bắc California
      Hai đơn hàng gần đây có vẻ đơn giản là bị ai đó trong nội bộ FedEx lấy cắp; chúng đã vào cơ sở của FedEx nhưng sau đó không bao giờ ra ngoài nữa. Bộ phận chăm sóc khách hàng chỉ là một cỗ máy xin lỗi ở nước ngoài và chẳng giải quyết được gì. Trước đây tôi từng thích FedEx, nhưng mức dịch vụ đã xuống quá thấp nên giờ tôi cố tình tránh họ
    • Còn có chuyện nghiêm trọng hơn. Tôi tạo tài khoản giao hàng để nhận vật tư đóng gói miễn phí của FedEx, nhưng vì lỗi mật khẩu trên website nên không tạo được tài khoản; hình như tôi đã lách qua bằng ứng dụng di động, vốn dùng một luồng khác
      Ngay khi tạo xong tài khoản, tôi nhận được hóa đơn vận chuyển quốc tế trị giá hàng nghìn đô la của người gửi và người nhận hoàn toàn không liên quan đến tôi, thậm chí còn bị tự động trừ vào thẻ tín dụng đã đăng ký. Khi tôi xóa thẻ, những hóa đơn giấy dày cộp của FedEx bắt đầu được gửi đến qua đường bưu điện
      Hóa ra FedEx cho phép tính phí vào bất kỳ tài khoản nào chỉ cần biết số tài khoản 9 chữ số, nên kẻ gian thường tạo số ngẫu nhiên để làm việc này. FedEx không quan tâm, từ chối tiếp nhận báo cáo gian lận, và ngay cả sau khi tôi báo cáo vẫn cho phép thêm các lô hàng gian lận khác. Cuối cùng, chỉ sau khi tôi yêu cầu công ty thẻ tín dụng hoàn tiền qua chargeback thì họ mới đóng tài khoản, nhưng giờ các email marketing không thể hủy đăng ký vẫn tiếp tục gửi đến. Đây là công ty không ai nên dùng
    • Spectrum cũng chẳng kém. Vài năm trước, một người hàng xóm mới chuyển đến đã gõ nhầm địa chỉ của tôi khi đăng ký tài khoản mới, và Spectrum đã tử tế suy luận rằng cư dân trước đó muốn hủy tài khoản, rồi cắt Internet của tôi
      Chỉ cần biết địa chỉ là coi như có thể thực hiện tấn công từ chối dịch vụ nhắm vào bất kỳ ai trên Trái Đất, từ bất cứ đâu trên Internet
    • Vài năm trước tôi mua chiếc OP-1 của teenage engineering, nhưng FedEx lại giao nó vào trong hộp thư. USPS lấy bưu kiện FedEx ra khỏi hộp thư, tạm giữ tại bưu điện địa phương và hoàn toàn không thông báo cho tôi
      Tôi chờ 1–2 tháng, tưởng bưu kiện đã bị đánh cắp, rồi hỏi USPS xem họ có đang giữ không thì hóa ra nó thật sự nằm trong “phòng thư không thể phát”, và tôi còn bị thuyết giáo một hồi rằng việc FedEx bỏ bưu kiện vào hộp thư thuộc sở hữu của USPS/chính phủ là bất hợp pháp
      Tôi gọi FedEx để nhờ giải quyết, nhưng theo trí nhớ thì hoặc là họ không bắt máy, hoặc nói rằng không có cách liên hệ với tài xế giao hàng. Từ đó tôi tránh FedEx, và sau khi UPS làm hỏng hai chiếc đèn cổ tôi mua trên eBay thì tôi cũng tránh luôn UPS
  • Khi vợ tôi đăng ký vay tín chấp thế chấp nhà, có người tự xưng là từ ngân hàng gọi điện nói rằng vì căn nhà đứng tên chung nên cần xác nhận xem tôi có phê duyệt khoản vay hay không
    Anh ta hỏi tên tôi nên tôi đã cho biết, rồi sau đó tôi cũng cung cấp bốn chữ số cuối của số an sinh xã hội. Nhưng ngay khi anh ta yêu cầu toàn bộ số an sinh xã hội, đèn cảnh báo trong tôi bật lên. Tôi bắt đầu thấy bất an vì đã cho một người lạ đột ngột gọi đến biết cả bốn chữ số cuối, nên gọi lại theo số trên website ngân hàng và hỏi liệu có thể xác nhận anh ta có phải nhân viên thật không
    Anh ta tỏ ra bực bội, nói rằng có lẽ không có số nào trên website có thể nối máy tới anh ta, và nếu tôi không cung cấp toàn bộ số an sinh xã hội thì anh ta buộc phải từ chối hồ sơ vay. Tôi nói nếu không có cách liên hệ lại qua số chính thức của ngân hàng thì tôi không thể cung cấp thông tin, thế là anh ta nổi giận rồi cúp máy
    Hóa ra anh ta đúng là nhân viên ngân hàng thật, và thực sự đã hủy hồ sơ vay

    • Có lần ngân hàng gọi cho tôi để hỏi câu hỏi bảo mật. Khi tôi nói sẽ gọi lại theo số trên website ngân hàng, họ bảo rằng nếu tôi gọi vào ngân hàng thì sẽ không có cách nào được nối tới người phụ trách câu hỏi bảo mật, và chỉ có họ gọi cho tôi mà thôi
      Thực tế khi tôi gọi số chính thức, ngân hàng cũng xác nhận điều đó. Tôi giải thích rằng đây là một thực hành bảo mật không tốt, nhưng họ nói chỉ cần nhìn số gọi đến để xác nhận đó có phải cuộc gọi từ ngân hàng hay không. Giải thích về việc giả mạo số gọi đến hoàn toàn vô ích
    • Nếu bạn đã có tuổi nhất định, hãy cẩn thận vì bốn chữ số cuối của số an sinh xã hội thực chất có thể là phần lớn entropy hữu ích
      Trước năm 2011, ba chữ số đầu biểu thị văn phòng cấp số, còn hai chữ số giữa, tức “số nhóm”, được dùng theo một thứ tự công khai. Cơ quan An sinh Xã hội cũng định kỳ công bố danh sách số nhóm cao nhất mà mỗi văn phòng đã đạt tới
      Sau thay đổi luật thuế năm 1986, để nhận tín dụng thuế cho con thì cần số an sinh xã hội của trẻ, nên việc đăng ký khi sinh trở nên phổ biến; với những người như vậy, năm chữ số đầu rất dễ dự đoán
    • Đây chỉ là một nhân viên phụ trách khoản vay cực kỳ kém năng lực và thô lỗ. Thông thường nhân viên phụ trách khoản vay nhận hoa hồng, nên họ có động lực rất lớn để chốt giao dịch và viết séc
      Nếu làm khách hàng nổi giận thì không nhận được khoản hoa hồng béo bở, nên thường họ sẽ thân thiện. Nhân viên phụ trách khoản vay gần nhất tôi từng nói chuyện đã chốt hơn 1 tỷ đô la khoản vay thế chấp nhà mỗi năm, và qua điện thoại cũng thật sự rất dễ chịu
      Trong trường hợp như thế này, lẽ ra có thể yêu cầu anh ta gửi email từ địa chỉ email chính thức của ngân hàng, hoặc dùng web app hay hệ thống nhắn tin của chính ngân hàng
    • Tôi cũng gặp chuyện tương tự. Tôi chuyển một khoản tiền khá lớn từ tài khoản ngân hàng này sang tài khoản ngân hàng khác, và vài phút sau có cuộc gọi đến từ một số trông giống số “chống gian lận” của ngân hàng nhận
      Khi tôi bắt máy, người bên kia có giọng rất nặng kiểu thường nghe trong các cuộc gọi lừa đảo, hỏi tôi có thực hiện giao dịch gần đây không, rồi nói để xác nhận giao dịch này tôi phải cung cấp thêm thông tin cá nhân như địa chỉ nhà và số an sinh xã hội. Khi tôi từ chối, họ nói tài khoản sẽ bị khóa
      Tài khoản thật sự bị khóa, tôi phải trực tiếp đến chi nhánh để mở lại, và còn phải chứng minh số tiền định chuyển thực sự đang nằm trong tài khoản khác. Hoàn toàn vô lý. Đó cũng không phải tài khoản mới, trước đây tôi từng chuyển tiền giữa hai tài khoản này rồi; tôi không hiểu rốt cuộc họ đang cố ngăn kiểu lừa đảo nào
    • Điều khoản ngân hàng của tôi ghi rằng không được cung cấp thông tin bí mật như PIN hay mật khẩu dùng một lần cho bên thứ ba, kể cả nhân viên ngân hàng
      Nhưng khi tôi hỏi về một thực hành trông giống phishing, họ nói đó là một website “hợp pháp” yêu cầu nhập thông tin đăng nhập để xem lịch sử giao dịch 180 ngày gần đây, tính điểm tín dụng rồi rút tiền, nên không sao. Họ cũng nói sẽ xem xét tình hình với công ty Đức và tìm xem có giải pháp tốt hơn không
      Có vẻ nhà cung cấp thanh toán tên là klara hay klarna gì đó khá phổ biến ở Đức, nhưng tôi không hiểu việc ngân hàng đơn phương thay đổi các điều khoản liên quan đến bảo mật. Tất nhiên nếu bạn đưa thông tin bí mật cho nhầm người thì đó là lỗi của bạn, và dù số an sinh xã hội lọt vào tay kẻ lừa đảo thì ngân hàng cũng sẽ chẳng quan tâm
  • Vài tháng trước, một email tôi nhận được từ trung tâm IT của công ty trông còn đáng ngờ hơn bất kỳ email phishing nào tôi từng nhận
    Nó đến từ một domain phổ thông kiểu @itservice.com, chẳng hề giống domain chính thức của công ty, tiêu đề là “URGENT: your account is expiring soon”. Trong nội dung có nhiều liên kết, tất cả đều khó đọc và dài nhiều dòng, không có domain nào liên quan trực tiếp đến công ty
    Ngoài việc bấm vào link thì không có cách xử lý nào khác, cũng không có lựa chọn thay thế kiểu “đi tới phần cài đặt tài khoản” hay “liên hệ quản lý trực tiếp”. Thế mà đó lại là email thật. Nhân tiện, đây là công ty có khoảng 100.000 nhân viên

    • Bộ phận IT của chúng tôi cũng làm y hệt với mật khẩu m365 sắp hết hạn. Họ không dùng domain công ty, có rất nhiều lỗi chính tả, còn URL thì bị che bằng một dịch vụ rút gọn link kỳ quặc
      Cùng đội đó bắt đổi mật khẩu mỗi 6 tháng và chặn tái sử dụng 20 mật khẩu gần nhất. Đó là những mật khẩu phải nhập thủ công 10–20 lần mỗi ngày vào các hệ thống không thể gọi trực tiếp trình quản lý mật khẩu. Có thể đoán được độ mạnh mật khẩu trung bình của nhân viên sẽ ra sao
      Tôi nghĩ sự kém cỏi của IT nên dẫn tới thất bại trong kiểm toán, và tốt hơn nữa là nên trở thành lý do để hủy niêm yết
    • Ngân hàng cũng làm chuyện này. Vài phút sau khi mua đồ, tôi nhận được một email trông như đến từ ngân hàng nhưng cực kỳ giống lừa đảo. Nó có GIF chất lượng thấp, yêu cầu bấm vào một liên kết tới website ngẫu nhiên không phải của ngân hàng kiểu purchase-verification-users.net/235532/confirm.html, và tìm kiếm cũng không thấy website đó
      Đồng thời, một số điện thoại ngẫu nhiên gọi tới muốn xác nhận vài giao dịch mua; tra ra thì đó không phải số có trên website ngân hàng của tôi
      Tôi cúp máy rồi gọi trực tiếp cho ngân hàng; sau 10 phút lạc trong hệ thống trả lời tự động, nhân viên tư vấn xác nhận số đó đúng là số họ dùng để liên hệ khách hàng. Khi tôi hỏi tại sao nó không nằm trong danh sách số điện thoại đăng trên website, họ nói họ thường xuyên gọi bằng cả những số không công khai trên mạng
      Khi tôi hỏi liệu email đó có phải ngân hàng gửi không, họ nói nếu dòng người gửi ghi là ngân hàng thì có thể bấm, nhưng họ không có thông tin liệu email đó có thực sự do họ gửi hay không. Đại loại là nếu dòng người gửi không phải ngân hàng thì đừng bấm, còn nếu là ngân hàng thì bấm được
    • Với quy mô công ty đó, đáng ra trung tâm IT phải bấm nút “Report Phishing attempt” mà họ đã cài trong ứng dụng email
      Nói vậy hơi mỉa mai, nhưng nếu một công ty cỡ đó còn không có phương tiện báo cáo phishing, thì đó là vấn đề nghiêm trọng hơn cả một chiến dịch email đáng ngờ
    • Đào tạo bảo mật của công ty dạy phải kiểm tra kỹ URL trong email nhận được, nhưng phần mềm bảo mật của công ty lại viết lại toàn bộ URL trong email đến
      Có lẽ nếu mục đích là kiểm tra tập trung thì đây có thể là một thỏa hiệp phần nào hợp lý, nhưng nó làm giảm đáng kể khả năng tôi tự đánh giá tính hợp lệ của email. Ít nhất thì nội dung đào tạo cũng phải được cập nhật
    • Công ty tôi làm hosting và PaaS; trong messenger nội bộ, một người tôi chưa từng thấy nhắn “làm ơn” chạy vài lệnh bằng root rồi gửi kết quả cho họ
      Ban đầu tôi sốc và làm kiểm tra an ninh thông tin, nhưng hóa ra đó là một “nhân viên mới” cần thu thập thông tin hệ thống để kiểm kê thiết bị. Người này chưa có quyền truy cập công cụ quản lý mạng, không hiểu rõ vì sao cứ chạy bừa curl ... | sh là không tốt, nên nghĩ rằng xin từng mảnh thông tin trực tiếp từ mọi người thì ổn
      Những chuyện như vậy thực sự xảy ra
  • Hôm nay tôi thấy một bài trên Reddit nói rằng một ngân hàng Đức đã gửi qua bưu điện một USB flash drive chứa điều khoản mới: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
    Đến mức không thể bịa ra nổi

    • Tôi thích bình luận đó: “Tôi làm phụ trách CyberCyberCyber bên ngoài cho một tổ chức nào đó thuộc tập đoàn Sparkassen, và tôi có thể đảm bảo rằng không ai có chút liên quan nào đến an ninh thông tin ngân hàng từng nghe về ý tưởng marketing này”
    • Tôi sẽ đơn giản từ chối tin rằng chuyện này là thật. Như một cơ chế phòng vệ tâm lý
    • Luật EU có yêu cầu phải cung cấp những tài liệu như vậy trên “phương tiện bền vững
      Có vẻ một số ngân hàng hoặc tổ chức tài chính diễn giải điều này một cách kỳ lạ. Trong khi ở nơi khác, file đính kèm email có vẻ cũng đã đủ
    • Theo bản dịch ChatGPT, trong USB có “điều khoản, bảng giá và dịch vụ, điều kiện”, và đó là thông báo của Sparkasse Bremen AG rằng “bảng giá và dịch vụ, điều khoản, điều kiện bổ sung áp dụng từ ngày 1 tháng 5 năm 2024 có thể được xem trên USB flash drive”
    • Một số ngân hàng Đức còn tạo cả dịch vụ lưu trữ trả phí với nhiều gói giá
      Họ có nghĩa vụ gửi tài liệu cho khách hàng, nhưng ban lãnh đạo lại hiểu yêu cầu đó theo cách kỳ quặc, và những giải pháp cùng ý tưởng lố bịch nhất đang được bán cho họ
  • Vài tháng sau khi mua xe, tôi nhận được email nói rằng tôi chưa chứng minh đã mua bảo hiểm, nên phải truy cập một domain không thuộc sở hữu của ngân hàng để nộp bằng chứng
    Email trông như giấy thư được scan cẩu thả và thật sự rất đáng ngờ. Sau khi nhận vài lần, cuối cùng tôi liên hệ ngân hàng thì hóa ra là thật
    Tôi cố giải thích cho người phụ trách có bàn làm việc riêng, không phải nhân viên quầy, rằng tình huống này tệ ở chỗ nào, nhưng họ không hiểu. Không lâu sau tôi trả hết khoản vay đó và rời ngân hàng ấy

    • Tôi cũng từng gặp chuyện tương tự với khoản vay thế chấp nhà. Tôi nhận được một lá thư với câu chữ kỳ lạ bảo vào một website nào đó để cập nhật hoặc xác nhận thông tin bảo hiểm nhà
      Tôi gọi cho môi giới bảo hiểm thì biết đó đúng là yêu cầu thật. Tôi giải thích rằng xét theo đủ loại dấu hiệu cảnh báo, lá thư này chỉ cách trò lừa hoàng tử Nigeria vài bước, nhưng có vẻ không có thay đổi lớn nào
  • Bản thân bài viết rất hay, nhưng SMS đầu tiên quá kinh khủng, đến mức FedEx có khi còn nên bảo người nhận chuyển tiền thuế hải quan cho một hoàng tử Nigeria thì hơn
    Tuy vậy, tôi không hoàn toàn đồng ý với hướng khuyến nghị của Troy Hunt. Tiền đề cơ bản phải là con người nói chung không thể phân biệt được tin nhắn thật với tin nhắn phishing. Vì AI, về sau điều đó sẽ càng đúng hơn, và việc dựa vào các đặc điểm phân biệt như vậy là một khiếm khuyết chí mạng
    Thay vào đó, tuyệt đối không nên dựa vào các liên kết ngoài hoặc số điện thoại trong tin nhắn nhận được. Phải tự tra địa chỉ hoặc số điện thoại rồi đăng nhập vào dịch vụ đó. Cúp máy, tra cứu, rồi gọi lại phải trở thành khẩu hiệu tuyệt đối
    Các tổ chức có trách nhiệm nên tuyên bố rằng họ sẽ không bao giờ đưa liên kết hoặc số điện thoại vào SMS, email hay cuộc gọi, và trong thông báo chỉ nên viết kiểu “Vui lòng đăng nhập vào dashboard để xem chi tiết”

    • Tôi không nghĩ Troy Hunt đang khuyến nghị như vậy. Ngay từ đầu bài, cùng với câu đùa “nhưng tôi là người thông minh nên không bị lừa”, ông ấy bảo hãy đọc xem vì sao con người yếu trong việc xử lý URL
      Rõ ràng ông ấy cho rằng cách phân biệt URL lừa đảo bằng heuristic không phải là hướng tiếp cận có thể mở rộng về lâu dài
    • Nói “vì AI nên sẽ càng như vậy” thì thực ra tình hình đã gần như không còn chỗ để tệ hơn nữa
      Con người vốn đã thất bại khoảng 95% trong việc nhận diện phishing. Người ta đã có thể sao chép chính xác email, website, tin nhắn thật, v.v. nên không cần đến AI
    • Đây là một hạn chế lớn hơn mức cần thiết, và không thân thiện với những người dùng không rành công nghệ, đang mất tập trung, hôm đó bị ốm, hoặc đơn giản là hơi chậm
      Cứ đưa liên kết vào, nhưng để nó thuộc domain cốt lõi, ngắn và dễ nhận ra: https://example.com/contact
      Nếu người dùng chưa đăng nhập, hãy hiển thị trước luồng đăng nhập giải thích rằng “Nếu bạn nhận được tin nhắn từ chúng tôi, hãy đăng nhập để xem chi tiết”, rồi kèm biểu mẫu liên hệ, số điện thoại, và chat hỗ trợ khách hàng nếu có
      Các trang phishing cũng có thể bắt chước ở một mức độ nào đó, nhưng đó không phải là lý do để ép người dùng tự tìm ra cách giải quyết vấn đề
    • Không có gì phải lo. Theo một số thẩm phán và quan chức dân cử, chỉ cần hỏi ChatGPT xem một tin nhắn đáng ngờ có phải do AI tạo ra không là được
  • Đây đúng là kết quả của sự kém năng lực mang tính tổ chức, nhưng đến một lúc nào đó hẳn đã có một người nhập nội dung mẫu SMS có vấn đề đó vào một hệ thống máy tính nào đó
    Tôi thật sự tò mò người đó đã nghĩ gì khi ghép các từ như vậy. Muốn làm nó tệ hơn chắc phải cố gắng thật sự

    • Những “từ ngữ” đó có lẽ là các template lồng nhau, nên ở bước nhập liệu có thể rất khó hiểu kết quả hoàn chỉnh sẽ trông như thế nào
      Trong giới công nghệ có rất nhiều người thiện chí nhưng làm một việc hơi phức tạp nếu làm một mình mà không có đồng nghiệp hay người review. Ở các tập đoàn lớn, thậm chí có cả nhóm và phòng ban rơi vào trạng thái như vậy
      Người đó có thể không hoàn toàn bất tài, thậm chí là kỹ sư ngôi sao của nhóm, còn những người khác im lặng vì nghĩ mình chẳng có gì để đóng góp. Những người thật sự giỏi hẳn đã chuyển sang các dự án mới hoành tráng ở tầng khác hoặc một “đội refactoring” tinh hoa nào đó, chứ không dành thời gian cho việc như cập nhật template
    • Không cần giả định là chỉ có một người
      Một người có thể đã viết câu chữ, rồi người khác yêu cầu sửa một phần trong ticket Jira. Nhưng kiểu dữ liệu lại không khớp với điều người viết yêu cầu, và lập trình viên không muốn xử lý nên cứ deploy luôn
      Hoặc thông điệp có thể được cấu thành từ nhiều câu lệnh if tách rời nhau, và chỉ đầu ra cuối cùng mới được gửi đến khách hàng. Khi không có ai xem toàn bộ thông điệp, mỗi người chỉ sửa một mẩu nhỏ trong điều kiện của mình, những log message kinh khủng rất hay xuất hiện
      Trước đây tôi từng xử lý đoạn code tạo ra thông báo rất chi tiết về lý do một lỗi xảy ra, nhưng sau đó phát hiện phần lớn nội dung đó không được gửi cho khách hàng. Vì ở phía sau có ai đó gán lại biến thay vì dùng +=. Lẽ ra đã có thể tránh được vô số ticket hỗ trợ
    • Người ta cũng nói những kẻ lừa đảo rất thông minh và cố ý dùng mọi kỹ thuật đánh vào điểm yếu tâm lý của chúng ta, nhưng 90% tôi nghĩ chỉ là chúng được chỉ đạo viết một thông điệp “nghe có vẻ chính thức”
      Người giả định đã viết template này có lẽ cũng cố làm y như vậy, nên kết quả mới giống đến thế. Việc dùng “urgent” hoặc viết hoa chữ cái đầu của “Duty”, “Taxes” dường như cũng là nỗ lực để trông trang trọng và chính thức hơn, và rõ ràng đó không phải là một người viết thành thạo
    • Từ “kém năng lực” khá thú vị
      Câu ngạn ngữ cũ về sự kém năng lực và ác ý buộc ta chọn một trong hai, nhưng thực tế chính xác hơn là nên nhìn nhận có một phổ nằm giữa hai điều đó, cùng nhiều chiều giải thích ý định có ý thức và vô thức
      Nhìn vào bê bối Post Office ở Anh, ta có thể thấy ác ý chồng lên kém năng lực, rồi lại thêm kém năng lực chồng lên trên. Ở một số tổ chức, những lập trường rõ ràng gây hại còn được viết thành “chính sách”. Thường thì chúng nằm dưới nhãn “PR”, và trong tương lai “AI” sẽ được dùng nhiều hơn để che giấu ác ý và né tránh thẩm tra
      Cảnh Toby Jones trong vai Alan Bates nói về sự kém năng lực và cái ác ở tập cuối phim truyền hình ITV rằng “hai thứ đó là một” thật sự gây ấn tượng mạnh. Đến một lúc nào đó, khác biệt giữa kém năng lực và cái ác biến mất. Có thể nghe thảo luận tâm lý học sâu hơn tại đây: https://cybershow.uk/episodes.php?id=23
      Tài liệu liên quan: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, định nghĩa về quan hệ công chúng của Edward Bernays đưa ra một tín điều về lừa dối, thao túng và thông tin sai lệch, hoàn toàn trái ngược với bảo mật: https://en.wikipedia.org/wiki/Public_Relations_(book)
  • Cũng khớp với trải nghiệm của tôi với FedEx. Họ gửi hóa đơn 7 tháng sau khi tôi nhận bưu kiện, rồi vài ngày sau lại gửi thư nhắc nợ nhưng không có thông tin cần thiết để thanh toán
    Hóa đơn chưa thanh toán có thể đã bị thất lạc, nhưng bỏ sót thông tin cần thiết thì khá lười biếng và ngớ ngẩn. Họ bảo tôi vào www.fedex.com và tạo tài khoản, tôi đã tạo, nhưng tài khoản đó chẳng biết gì về hóa đơn của tôi
    Tình cờ tôi tìm thấy hóa đơn gốc, và trên cái hóa đơn gửi trễ 7 tháng đó có dòng “thanh toán ngay” in chữ rất nhỏ. Ở nước tôi thường là 30 ngày, nên đây là lần đầu tôi thấy cách ghi như vậy trên hóa đơn. Tất nhiên, 10 ngày sau khi tôi đã thanh toán, họ vẫn gửi thư nhắc nợ thứ hai

    • Ở một số doanh nghiệp, đây là thông lệ phổ biến
      Nếu bạn lái xe trên đường thu phí ở Texas, sẽ không có trạm thu phí nào tại chỗ để trả tiền; 6–12 tháng sau bạn nhận được qua bưu điện một hóa đơn ghi “cảnh báo lần thứ năm và cũng là cuối cùng”. Kiểu như yêu cầu trả 4 đô la phí đường bộ và 80 đô la phí trễ hạn
      Tôi chắc rằng những người vận hành việc này có bạn bè hoặc người nhà trong cơ quan lập pháp bang Texas
    • Tôi cũng gặp chuyện tương tự: tin đầu tiên tôi nghe được là hóa đơn thuế hải quan của tôi đã bị chuyển sang thu hồi nợ
      Tôi nhận cả đống tin nhắn đáng sợ về việc thu hồi nợ, nhưng ngoài việc nói nó liên quan đến một bưu kiện FedEx thì chẳng có giải thích nào khác
  • Đây là một vấn đề thật sự phát sinh khi quá nhiều thứ bị thuê ngoài cho các nhà cung cấp đám mây bên ngoài
    Trước đây, nếu thứ gì đó đến từ intranet của công ty thì còn ổn. Giờ thì khảo sát, đào tạo, các dự án theo trào lưu mới đều đến từ những tên miền bên ngoài không rõ danh tính, rồi yêu cầu đăng nhập bằng thông tin xác thực của công ty
    Công ty chúng tôi vận hành các chiến dịch “phishing giả” để biến việc nhận biết email phishing thành một kiểu trò chơi và giữ cho mọi người luôn cảnh giác, nhưng công việc hợp pháp của công ty không nên cần đến chuyện như vậy

  • Nếu đề xuất một điều luật, thì khi thông báo điện tử của một công ty trông giống phishing đến mức một người hợp lý có lý do rõ ràng để nghi ngờ tính chính đáng của nó, mọi hậu quả tài chính và pháp lý phát sinh từ việc bỏ qua thông báo đó phải do bên gửi chịu
    Ở đây, “bên gửi” nghĩa là phía đã gửi thông báo điện tử

    • Một khi luật bắt đầu định nghĩa những từ như “hợp lý” thì sẽ thành vũng lầy
      Cứ mỗi lần từ “hợp lý” xuất hiện trong luật, bạn có thể xem như hơn 1 tỷ đô la đã, hoặc sẽ, được chi cho phí luật sư
    • Tôi cũng suýt gặp rắc rối vì chuyện đó. Một “ngân hàng” mà tôi không phải khách hàng liên tục gửi tin nhắn kiểu “khẩn cấp, nếu không điền thông tin cá nhân và phản hồi biểu mẫu này thì chúng tôi sẽ khóa tài khoản”, trông khá giống lừa đảo
      Sau đó tôi nhận được thư giấy thật với nội dung tương tự và gọi cho ngân hàng, thì hóa ra ở đó có một tài khoản đang giữ khoản tiền hưu trí từ chủ lao động trước đây của tôi
    • Trong trường hợp này, hậu quả là cơ quan chính phủ Úc thu thuế thu nhập không nhận được tiền
      Khi đó cơ quan này sẽ không giao bưu kiện cho FedEx, và cuối cùng bạn không nhận được bưu kiện. FedEx cần làm các thông báo kiểu này tốt hơn nhiều, tối thiểu cũng nên thuê một copywriter
    • Thực ra hậu quả vốn đã nằm ở phía bên gửi. Nếu không tuân thủ, tùy theo quốc gia và loại hàng hóa, bưu kiện sẽ bị tiêu hủy hoặc hoàn trả
      Điều đáng tiếc là không có cách dễ dàng để nộp thuế trước, và việc có bị kiểm tra hay không thì phải phó mặc cho may rủi. May là EU đã xử lý vấn đề này nên gần như không còn những bất ngờ kỳ quặc nữa. Trừ phía United States và United Kingdom
    • Ban lãnh đạo có lẽ sẽ phản ứng quá đà bằng cách triển khai xác thực 100 bước và yêu cầu mật khẩu 30 ký tự bắt buộc có ký hiệu Unicode