FedEx का असली payment SMS phishing जैसा क्यों दिखा
(troyhunt.com)- FedEx का वास्तविक customs और tax payment SMS phishing message जैसे लगभग वही संकेत दिखाता था, और 4,000 से अधिक लोगों वाले एक सर्वे में 87% ने इसे संदिग्ध माना
- संदेश में छोटा shipment number, तुरंत payment की मांग, अजीब capitalization, currency संकेत का अभाव, और FedEx की जगह
bpoint.com.aupayment address शामिल था - FedEx shipment tracking screen में duty या tax जानकारी देखना मुश्किल था, और BPOINT link में सिर्फ URL parameters बदलने से tracking number, customer name, amount बदल जाते थे
- customer support routes और phone guidance भी भ्रमित करने वाले थे, लेकिन 3 दिन बाद आए email attachment में Prusa invoice और order, price, shipping information की पुष्टि हुई, जिससे SMS वास्तविक request से मेल खाता निकला
- scam SMS blocking जैसी technical controls अकेले पर्याप्त नहीं हैं; जब वैध कंपनी के message phishing की सामान्य विशेषताओं जैसे दिखें, तो users के निर्णय मानदंड कमजोर पड़ जाते हैं
जब असली delivery alert phishing जैसा लगे
- हाल में “parcel deliver नहीं किया जा सकता” प्रकार के SMS phishing संदेश बहुत आ रहे थे, और carrier filter पार करके inbox तक पहुँच रहे थे
- phishing है या नहीं, यह देखते समय urgency, कुछ छूट जाने का डर, और delivery company से मेल न खाने वाले अजीब URL जैसे संकेत देखे जाते हैं
- एक वास्तविक FedEx delivery का इंतज़ार करते समय duty और taxes pay करने को कहने वाला SMS आया, और सिर्फ बाहरी रूप देखकर यह तय करना मुश्किल था कि यह असली request है या phishing
- X poll में 4,000 से अधिक लोगों ने जवाब दिया, और 87% ने इसे “dodgy AF” माना
SMS में मौजूद संदिग्ध संकेत
- संदेश में FedEx आमतौर पर
FedExकी तरहEको capital लिखता है, लेकिन यहाँ अजीब लिखावट और-Expजैसी string शामिल थी - shipment number बहुत छोटा लग रहा था, और नीचे दिए payment request वाले नंबर से वही था
urgentजैसा शब्द लोगों को बिना पर्याप्त सोचे कार्रवाई करने के लिए उकसाने वाला social engineering संकेत बनता हैDutyऔरTaxesका capitalization अजीब था, और global shipping company के message में currency या dollar symbol नहीं था- payment link न तो FedEx domain था और न ही Australia government domain, बल्कि
bpoint.com.auथा - SMS के अंदर inquiry contact देना, NAB के text messages से links हटाने वाली दिशा के उलट था
सीधे verify करना भी आसान नहीं था
- संदिग्ध payment request में मूल सलाह यही होती है कि message का link न दबाएँ, बल्कि संबंधित website पर सीधे जाकर verify करें
- Prusa purchase confirmation mail से shipping information ढूँढकर FedEx website पर गए, लेकिन shipment tracking page में duty या tax से जुड़ा कोई item नहीं मिला
- SMS के link का अनुसरण करने पर tracking number, customer name, amount को सिर्फ URL parameter बदलकर मनमाने ढंग से बदला जा सकता था
- यह browser DOM edit या traffic intercept किए बिना, केवल query string parameter बदलकर संभव था
- यह व्यवहार phishing site जैसा दिखता था, लेकिन BPOINT वास्तव में Commonwealth Bank द्वारा दिया जाने वाला payment gateway था
- अगले दिन उसी sender से एक और SMS आया
- इस बार shipping number message में शामिल था, और duty व taxes का capitalization सामान्य कर दिया गया था
PAY NOWको capital letters में दिखाया गया, और “link” में scheme, domain, path के बिना सिर्फ query string parameters थे, इसलिए उस पर क्लिक करके payment नहीं किया जा सकता था- query string parameter names भी सभी capital letters में बदल गए थे, जिससे लगा कि या तो अलग generation process है या process टूट गया है
customer support और अंतिम पुष्टि
- 1800 number search करने पर Reverse Australia का वह number page ऊपर के results में आया, और comments व search results में message की legitimacy को लेकर भ्रम साफ दिखा
- SMS के नंबर की बजाय FedEx website के Customer Support route से पुष्टि करने की कोशिश की गई
- customer support page email communication और sender domain verification पर केंद्रित था, और SMS में दिए नंबर से अलग phone number बता रहा था
- दिए गए नंबर पर call करके duty और taxes menu में गए, लेकिन कुछ steps बाद keypad input काम नहीं किया और वही message बार-बार दोहराया जाता रहा
- विकल्प के तौर पर 132610 पर call करने को कहा गया, लेकिन वही number शुरू में dial किया गया था
- दूसरे menu path से फिर कोशिश करने पर tracking number माँगा गया, फिर website जैसी ही जानकारी दी गई और agent से जुड़ने का option मिला
- agent ने बताया कि shipment value US$799 है और AU$1,215.97 में convert होने के कारण यह inbound fees के दायरे में आता है, लेकिन SMS amount से यह मेल खाता है या नहीं, इसकी पुष्टि के लिए callback का वादा किया
- पहले SMS के 3 दिन बाद email आया, और amount, BPOINT address, message — सब SMS से मेल खाते थे
- email attachment में पूरा Prusa invoice, order number, price, और shipping information थी, जिससे पुष्टि हुई कि SMS वास्तविक request से जुड़ा था
कंपनियों के संदेश कैसे phishing defense को कमजोर बनाते हैं
- सिर्फ Australia में ही scam losses सालाना AU$3B से अधिक हैं, और global scale पर यह और बड़ा मुद्दा है
- ACMA ने कहा कि carriers ने 336 million scam SMS block किए, लेकिन जो scam messages block नहीं हुए उनकी संख्या ज्ञात नहीं है
- सिर्फ technical controls पर्याप्त नहीं हैं, इसलिए लोगों को money request, urgency, अजीब grammar और capitalization, और संदिग्ध URL जैसे patterns से scam पहचानना पड़ता है
- इस मामले में वैध FedEx message में वही कई scam पहचान संकेत मौजूद थे
- ऐसे समय में जब AI आधारित scams को पहचानना लगातार कठिन हो रहा है, अगर वैध organizations के messages scammers से अलग न दिखें, तो users की निर्णय क्षमता और कमजोर पड़ जाती है
1 टिप्पणियां
Hacker News की राय
FedEx बड़ी कंपनियों में उन में से है जिनका डिजिटल platform सबसे खराब है और security भी सबसे ढीली मानी जाती है
मैं 10वीं generation के apartment में शिफ्ट हुआ और FedEx Delivery Manager सेट किया। सिर्फ नया पता डालते ही, बिना किसी verification के, पिछले किरायेदार की delivery instructions तुरंत दिखने लगीं, जिनमें building के private garage का code भी था। कोई चोर भी बिल्कुल यही कर सकता था
घर बदलने के बाद नया address add करने की कोशिश की, लेकिन site हर बार error दे रही थी। forums खंगालने पर पता चला कि यह theory सही थी कि password में special character होने पर site के कुछ features हमेशा के लिए टूट जाते हैं। password change flow भी broken था, इसलिए आखिर में मेरी पत्नी को कमजोर password के साथ नया account बनाना पड़ा
कंपनी खुद प्रभावशाली है, लेकिन यह सच में amateur level का है
हाल के दो orders तो FedEx के अंदर किसी ने सीधे चोरी कर लिए हों, ऐसा लगा; वे facility में पहुंचे, लेकिन उसके बाद बाहर नहीं निकले। customer support बस विदेश में बैठी माफी मांगने वाली machine है, कुछ solve नहीं कर पाती। पहले मैं FedEx को पसंद करता था, लेकिन service level इतना गिर गया है कि अब जानबूझकर उससे बचता हूं
account बनते ही मुझसे बिल्कुल असंबंधित sender और receiver के हजारों डॉलर के international shipping invoices आने लगे, और registered credit card से automatic payment भी कट गया। card delete करने पर FedEx के मोटे paper bills डाक से आने लगे
पता चला कि FedEx ने ऐसा setup कर रखा है कि सिर्फ 9-digit account number पता हो तो किसी भी account पर billing की जा सकती है, इसलिए scammers random numbers generate करके यह काम लगातार कर रहे थे। FedEx को परवाह नहीं थी, उन्होंने fraud report लेने से भी मना किया और report के बाद भी अतिरिक्त fraudulent shipments allow किए। आखिरकार card company में chargeback करने के बाद ही उन्होंने account बंद किया, लेकिन अब unsubscribe न हो पाने वाले marketing emails लगातार आते रहते हैं। यह ऐसी company है जिसे किसी को इस्तेमाल नहीं करना चाहिए
यानी सिर्फ address जानकर internet पर कहीं से भी धरती पर किसी भी व्यक्ति के खिलाफ denial-of-service attack किया जा सकता है
1–2 महीने तक मैं यह सोचकर इंतजार करता रहा कि parcel चोरी हो गया है। फिर USPS से पूछा कि क्या वह शायद उनके पास रखा है, तो वह सच में “undeliverable mail room” में था, और मुझे लंबा lecture सुनना पड़ा कि FedEx ने USPS/government-owned mailbox में parcel डालकर illegal काम किया है
FedEx को phone करके issue solve कराने की कोशिश की, लेकिन याद है कि या तो उन्होंने phone नहीं उठाया या कहा कि delivery driver से contact करने का कोई तरीका नहीं है। उसके बाद से मैं FedEx से बचता हूं, और UPS से भी बचने लगा हूं क्योंकि उसने eBay से खरीदे दो antique lamps तोड़ दिए थे
जब मेरी पत्नी ने home equity line of credit के लिए आवेदन किया, तो बैंक से होने का दावा करने वाले किसी व्यक्ति ने फोन किया और कहा कि चूंकि घर संयुक्त नाम पर है, इसलिए उसे यह पुष्टि करनी है कि क्या मैं loan approve करता हूं
उसने मेरा नाम पूछा, तो मैंने बता दिया, और फिर Social Security number के आखिरी चार अंक भी बता दिए, लेकिन जैसे ही उसने पूरा Social Security number मांगा, खतरे की घंटी बज गई। मुझे अचानक चिंता हुई कि मैंने अनजान caller को आखिरी चार अंक भी बता दिए। मैंने बैंक की वेबसाइट पर दिए नंबर पर वापस फोन करके पूछा कि क्या मैं पुष्टि कर सकता हूं कि वह सचमुच कर्मचारी है
वह झुंझला गया और बोला कि उससे जुड़ने वाला नंबर शायद वेबसाइट पर नहीं होगा, और अगर मैंने पूरा Social Security number नहीं दिया तो उसे loan application reject करनी पड़ेगी। जब मैंने कहा कि अगर official बैंक नंबर के ज़रिए दोबारा संपर्क करने का तरीका नहीं है, तो मैं जानकारी नहीं दे सकता, वह गुस्सा होकर फोन काट गया
बाद में पता चला कि वह सचमुच बैंक कर्मचारी था, और उसने सच में loan application cancel कर दी थी
सच में official नंबर पर फोन करने पर बैंक ने भी इसकी पुष्टि की। मैंने समझाया कि यह खराब security practice है, लेकिन उन्होंने कहा कि caller ID देखकर पुष्टि कर लें कि call बैंक से है। caller ID spoofing समझाने का कोई फायदा नहीं हुआ
2011 से पहले, पहले तीन अंक issuing office बताते थे, और बीच के दो अंक, यानी “group number”, सार्वजनिक रूप से ज्ञात क्रम के अनुसार इस्तेमाल होते थे। Social Security Administration समय-समय पर उन highest group numbers की सूची भी जारी करता था जहां तक हर office पहुंचा था
1986 में tax law में बदलाव के बाद child tax credit पाने के लिए बच्चे का Social Security number ज़रूरी हो गया, जिससे जन्म के समय registration आम हो गया, और ऐसे लोगों के लिए पहले पांच अंकों का अनुमान लगाना बहुत आसान है
ग्राहक को नाराज़ करके मीठा commission नहीं मिल सकता, इसलिए वे आम तौर पर विनम्र होते हैं। आखिरी loan officer जिससे मेरी बात हुई थी, उसने एक साल में $1 billion से ज़्यादा के mortgages close किए थे, और फोन पर भी सचमुच बहुत अच्छा था
ऐसी स्थिति में वह official bank email address से email भेज सकता था, या बैंक के अपने web app या messaging system का इस्तेमाल करवा सकता था
फोन उठाते ही सामने वाले की accent बहुत strong थी, जैसी fraud calls में अक्सर सुनने को मिलती है। उसने पूछा कि क्या मैंने हाल में transaction किया है, और फिर कहा कि इस transaction की पुष्टि के लिए मुझे घर का पता और Social Security number जैसी अतिरिक्त personal information देनी होगी। मैंने मना किया तो कहा कि account lock हो जाएगा
सच में account lock हो गया, और उसे unlock कराने के लिए मुझे branch में खुद जाना पड़ा, साथ ही यह भी साबित करना पड़ा कि जो पैसा मैं transfer करना चाहता था वह सच में दूसरे account में मौजूद है। इसका कोई मतलब नहीं था। account नया भी नहीं था और पहले भी मैंने इन दोनों accounts के बीच transfer किया था, समझ नहीं आया कि वे आखिर किस fraud को रोकना चाह रहे थे
लेकिन जब मैंने phishing जैसी लगने वाली practices के बारे में पूछा, तो उन्होंने कहा कि यह ठीक है क्योंकि यह एक “legitimate” website है जो पिछले 180 दिनों की transaction history देखने के लिए credentials दर्ज कराती है, credit score calculate करती है और फिर पैसा withdraw करती है। उन्होंने यह भी कहा कि वे German company के साथ स्थिति देखेंगे और जांचेंगे कि कोई बेहतर solution है या नहीं
klara या klarna नाम का payment provider Germany में काफी popular लगता है, लेकिन मैं यह नहीं समझ सकता कि बैंक security-related terms को एकतरफा कैसे बदल सकता है। बेशक, अगर आप गलत व्यक्ति को secret information दे देते हैं तो वह आपकी गलती है, और अगर Social Security number scammer के हाथ लग जाए तो बैंक को परवाह नहीं होगी
कुछ महीने पहले कंपनी के IT सेंटर से मिला ईमेल अब तक मिले किसी भी phishing mail से ज़्यादा संदिग्ध लगा
वह कंपनी के official domain से बिल्कुल न मिलते-जुलते
@itservice.comजैसे generic domain से आया था, और subject था “URGENT: your account is expiring soon”. body में कई links थे, सभी पढ़ने में मुश्किल और कई lines लंबे थे, और कोई भी domain सीधे कंपनी से जुड़ा नहीं थाlink click करने के अलावा कोई समाधान भी नहीं था, और “account settings में जाएँ”, “अपने direct manager से संपर्क करें” जैसे विकल्प भी नहीं थे. लेकिन वह असली email था. संदर्भ के लिए, यह लगभग 1 लाख कर्मचारियों वाली कंपनी है
वही team हर 6 महीने में password बदलना अनिवार्य करती है और पिछले 20 passwords reuse करने से भी रोकती है. ये वे passwords हैं जिन्हें ऐसे systems में दिन में 10–20 बार manually डालना पड़ता है जहाँ password manager सीधे invoke नहीं किया जा सकता. कर्मचारियों की average password strength कैसी होगी, साफ़ अंदाज़ा है
मेरा मानना है कि IT की अक्षमता का नतीजा audit failure होना चाहिए, और बेहतर तो यह हो कि यह delisting का कारण बने
purchase-verification-users.net/235532/confirm.htmlजैसी random non-bank website link click करने को कहा गया था, और search करने पर site मिलती भी नहीं थीउसी समय एक random number से call आया, जिसमें कुछ purchase details verify करने को कहा गया; खोजने पर वह मेरे bank की website पर मौजूद number नहीं था
मैंने call काटकर bank को सीधे phone किया, 10 मिनट IVR में भटकने के बाद agent ने confirm किया कि वह number वाकई customers से संपर्क करने के लिए इस्तेमाल होता है. जब पूछा कि website पर दिए numbers की list में वह क्यों नहीं है, तो कहा कि वे अक्सर ऐसे numbers से भी call करते हैं जिन्हें online publish नहीं किया गया है
जब पूछा कि वह email bank ने भेजा था या नहीं, तो कहा कि अगर sender line में bank लिखा है तो click कर सकते हैं, लेकिन सच में वह email उन्होंने भेजा था या नहीं, इसकी जानकारी नहीं है. मतलब sender line bank न हो तो मत दबाओ, bank हो तो दबा सकते हो
यह थोड़ा sarcastic है, लेकिन उस स्तर की company में अगर phishing report करने का साधन भी नहीं है, तो suspicious email campaign से भी बड़ी समस्या है
शायद centrally scan करने के उद्देश्य से यह कुछ हद तक reasonable trade-off हो सकता है, लेकिन इससे email की वैधता judge करने की मेरी क्षमता बहुत कम हो जाती है. कम से कम training content तो update करना चाहिए
शुरू में मैं चौंक गया और information security check किया, लेकिन पता चला कि वह equipment inventory survey के लिए system info इकट्ठा करने वाला “new hire” था. उसके पास अभी network management tools का access नहीं था, और उसे ठीक से समझ नहीं था कि यूँ ही
curl ... | shचलाना क्यों अच्छा नहीं है, इसलिए उसने सोचा कि लोगों से टुकड़ों में सीधे information ले लेना ठीक रहेगाऐसी चीज़ें सच में होती हैं
आज Reddit पर एक post देखा कि एक German bank ने नए terms वाला USB memory डाक से भेजा: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
यह ऐसा level है जिसे गढ़ा नहीं जा सकता
लगता है कुछ banks या financial institutions इसकी अजीब interpretation करते हैं. जबकि बाकी जगहों पर email attachment भी पर्याप्त लगता है
customers को documents deliver करने की obligation है, लेकिन management उस requirement को अजीब तरह से ले रहा है, और सबसे बेतुके solutions और ideas उन्हें बेचे जा रहे हैं
जब मैंने car खरीदी, तो कुछ महीनों बाद email आया कि मैंने insurance coverage साबित नहीं किया है, इसलिए bank-owned न होने वाले domain पर जाकर proof submit करूँ
email घटिया ढंग से scan किए गए letterhead जैसा दिखता था और सच में suspicious था. कुछ बार मिलने के बाद आखिरकार bank से contact किया तो पता चला कि वह असली था
मैंने counter staff नहीं, बल्कि अपने desk वाले प्रभारी को समझाने की कोशिश की कि यह situation क्यों खराब है, लेकिन वह समझ नहीं पाया. जल्द ही वह loan चुका दिया और उस bank को छोड़ दिया
insurance broker को call किया तो पता चला request असली थी. मैंने समझाया कि warning signs के हिसाब से यह letter Nigerian prince scam से बस कुछ ही steps दूर है, लेकिन लगता है कोई बड़ा बदलाव नहीं हुआ
लेख अपने-आप में शानदार था, लेकिन पहला SMS इतना भयानक था कि FedEx के लिए प्राप्तकर्ता से यह कहना बेहतर होता कि वह सीमा शुल्क नाइजीरियाई राजकुमार को वायर कर दे
हालांकि Troy Hunt की सलाह की दिशा से मैं कुछ हद तक सहमत नहीं हूं। मूल धारणा यह होनी चाहिए कि आम तौर पर लोग असली संदेश और phishing संदेश में फर्क नहीं कर सकते। AI की वजह से आगे यह और भी ज्यादा होगा, और ऐसी विशेषताओं के फर्क पर निर्भर रहना घातक खामी है
इसके बजाय, मिले हुए संदेश में दिए गए बाहरी links या phone numbers पर कभी निर्भर नहीं करना चाहिए। address या phone number खुद खोजकर उस service में login करना चाहिए। कॉल काटो, खोजो, और फिर वापस कॉल करो यह अटल नारा होना चाहिए
जिम्मेदार संगठनों को घोषणा करनी चाहिए कि वे text messages, emails और calls में कभी links या phone numbers नहीं डालेंगे, और notification messages में बस इतना लिखना चाहिए: “अधिक जानकारी के लिए dashboard में login करके देखें”
साफ है कि वे fraudulent URLs को heuristics से अलग पहचानने के तरीके को लंबे समय में scalable approach नहीं मानते
इंसान phishing की पहचान में पहले ही करीब 95% तक असफल होते हैं। लोग भी असली emails, websites, text messages आदि की हूबहू नकल कर सकते हैं, इसलिए AI की जरूरत नहीं है
link डालिए, लेकिन उसे core domain के भीतर रखिए, और छोटा व साफ दिखने वाला बनाइए: https://example.com/contact
अगर user login नहीं है, तो पहले login flow दिखाइए जिसमें समझाया हो: “अगर आपको हमारी ओर से कोई संदेश मिला है, तो अधिक जानकारी देखने के लिए login करें”, और अगर contact form, phone number, customer support chat हो तो उसे भी शामिल कीजिए
phishing sites भी कुछ हद तक इसकी नकल कर सकती हैं, लेकिन user को खुद समस्या का समाधान खोजने के लिए मजबूर करने की कोई वजह नहीं है
यह संगठनात्मक अक्षमता का नतीजा तो है, लेकिन किसी बिंदु पर एक व्यक्ति जरूर रहा होगा जिसने उस समस्याग्रस्त SMS template की सामग्री किसी computer system में दर्ज की होगी
सच में जानना चाहूंगा कि वह व्यक्ति क्या सोच रहा था जब उसने शब्दों को इस तरह जोड़ा। इसे और खराब बनाने के लिए तो ईमानदारी से मेहनत करनी पड़ती
tech field में ऐसे बहुत लोग हैं जो नेक इरादों के साथ, लेकिन सहकर्मियों या reviewers के बिना, कुछ ऐसा काम करते हैं जो अकेले संभालने के लिए थोड़ा जटिल होता है। बड़ी कंपनियों में तो पूरी teams और departments भी इसी हालत में होते हैं
हो सकता है वह व्यक्ति पूरी तरह अक्षम न हो और team का star engineer ही हो, और बाकी लोगों ने सोचा हो कि वे कुछ योगदान नहीं कर सकते, इसलिए चुप रहे हों। सचमुच अच्छे लोग तो शायद किसी दूसरे floor पर चल रहे शानदार नए project या elite “refactoring team” में निकल गए होंगे, और template updates जैसे काम पर समय नहीं लगाया होगा
एक व्यक्ति ने copy लिखी होगी, और दूसरे ने Jira ticket में आंशिक बदलाव मांगे होंगे। लेकिन data type लेखक की request से मेल नहीं खा रहा था, और developer ने झंझट नहीं लेना चाहा, इसलिए बस deploy कर दिया होगा
या फिर message कई अलग-अलग
ifstatements से बना हो सकता है, और केवल final output customer तक पहुंचता हो। जब पूरा message देखने वाला कोई न हो, और हर कोई अपनी condition के भीतर के छोटे हिस्से ही ठीक कर रहा हो, तो भयानक log messages अक्सर बन जाते हैंपहले मैंने ऐसे code पर काम किया था जो किसी error के कारण पर बहुत detailed message बनाता था, लेकिन बाद में पता चला कि उसका अधिकतर हिस्सा customer तक पहुंचता ही नहीं था। पीछे कहीं किसी ने
+=के बजाय variable को reassign कर दिया था। इससे ढेरों support tickets बच सकते थेइस template को लिखने वाले काल्पनिक व्यक्ति ने भी शायद वही करने की कोशिश की होगी, इसलिए नतीजा इतना मिलता-जुलता निकला। “urgent” लिखना या “Duty”, “Taxes” को capital letter से शुरू करना भी शायद ज्यादा formal और official दिखने की कोशिश रही होगी, और साफ है कि वह कोई experienced writer नहीं था
अक्षमता और दुर्भावना पर पुरानी कहावत हमें दोनों में से एक चुनने को कहती है, लेकिन असल में दोनों के बीच एक spectrum होता है, और सचेत-अचेत इरादों को समझाने वाले कई dimensions होते हैं — ऐसा मानना ज्यादा सटीक है
UK के Post Office scandal को देखें तो अक्षमता के ऊपर दुर्भावना, और फिर उसके ऊपर फिर अक्षमता की परतें दिखती हैं। कुछ संगठनों में साफ तौर पर नुकसानदेह रुख को “policy” के रूप में लिख दिया जाता है। अक्सर यह “PR” के तहत आता है, और आगे चलकर दुर्भावना छिपाने और scrutiny से बचने के लिए “AI” का और ज्यादा इस्तेमाल होगा
ITV drama के आखिरी episode में Alan Bates की भूमिका निभा रहे Toby Jones का अक्षमता और बुराई के बारे में “दोनों एक ही हैं” कहना बहुत प्रभावशाली था। एक बिंदु पर अक्षमता और बुराई के बीच का अंतर खत्म हो जाता है। इस पर गहरी psychological चर्चा यहां सुनी जा सकती है: https://cybershow.uk/episodes.php?id=23
संबंधित सामग्री: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, Edward Bernays की public relations की परिभाषा security के ठीक उलट deception, manipulation और disinformation का सिद्धांत पेश करती है: https://en.wikipedia.org/wiki/Public_Relations_(book)
मेरे FedEx अनुभव से भी यह अच्छी तरह मेल खाता है। पार्सल मिलने के 7 महीने बाद उन्होंने बिल भेजा, और कुछ दिन बाद भुगतान के लिए जरूरी जानकारी के बिना ही एक रिमाइंडर लेटर आ गया
बकाया बिल खो भी सकता था, लेकिन जरूरी जानकारी छोड़ देना काफी आलसी और बेवकूफी भरा काम है। उन्होंने कहा कि www.fedex.com पर जाकर अकाउंट बनाओ, तो मैंने बना लिया, लेकिन उसे मेरे बिल के बारे में कुछ भी पता नहीं था
संयोग से मुझे मूल बिल मिल गया, और 7 महीने देर से भेजे गए उस बिल पर बहुत छोटे अक्षरों में “तुरंत भुगतान करें” लिखा था। हमारे देश में आम तौर पर 30 दिन होते हैं, इसलिए बिल में यह अभिव्यक्ति मैंने पहली बार देखी। बेशक, मेरे भुगतान करने के 10 दिन बाद उन्होंने दूसरा रिमाइंडर भी भेज दिया
Texas की toll roads पर चलें तो मौके पर शुल्क चुकाने के लिए कोई tollgate नहीं होता, और 6–12 महीने बाद डाक से “पांचवीं और अंतिम चेतावनी” वाला बिल आता है। कुछ ऐसा कि 4 डॉलर टोल और 80 डॉलर लेट फीस चुकाओ
मुझे पूरा यकीन है कि इसे चलाने वालों के Texas state legislature में दोस्त या परिवार वाले होंगे
debt collection से जुड़े डरावने संदेशों की भरमार आई, लेकिन FedEx पार्सल से संबंधित है, इसके अलावा कोई説明 नहीं था
बहुत सारी चीजें बाहरी cloud providers को outsource करने से पैदा होने वाली यह असली समस्या है
पहले कंपनी intranet से आया हो तो ठीक माना जाता था। अब surveys, training, नए trendy projects सब अनजान बाहरी domains से आते हैं, और उनमें कंपनी credentials से login करने को कहा जाता है
हमारी कंपनी “fake phishing” campaigns चलाती है, phishing emails की पहचान को game जैसा बनाकर लोगों की सतर्कता बनाए रखती है, लेकिन वैध कंपनी कामकाज में इसकी जरूरत नहीं होनी चाहिए
अगर कानून का प्रस्ताव रखें, तो अगर किसी कंपनी का electronic notification इतना phishing जैसा दिखे कि कोई reasonable व्यक्ति उसकी वैधता पर संदेह करने का स्पष्ट कारण देखे, तो उसे अनदेखा करने से होने वाले सभी आर्थिक और कानूनी परिणाम sender को भुगतने चाहिए
यहां “sender” का मतलब electronic notification भेजने वाली तरफ है
कानून में “reasonable” शब्द जितनी बार आता है, हर बार मान कर चलिए कि lawyer fees में 1 अरब डॉलर से ज्यादा या तो पहले ही खर्च हो चुका है या आगे खर्च होगा
बाद में उसी内容 की असली डाक मिली और बैंक को फोन किया, तो पता चला कि पिछले employer से आए pension-related funds रखने वाला account वहीं था
तब वह agency FedEx को पार्सल नहीं सौंपती, और आखिरकार आपको पार्सल नहीं मिलता। FedEx को ऐसे notifications बहुत बेहतर बनाने चाहिए, कम से कम एक copywriter तो hire करना चाहिए
अफसोस है कि taxes पहले से चुकाने का कोई आसान तरीका नहीं है, और inspection में फंसेंगे या नहीं यह किस्मत पर छोड़ना पड़ता है। अच्छा है कि EU ने यह समस्या सुलझा दी है, इसलिए अजीब surprises लगभग खत्म हो गए हैं। United States और United Kingdom की तरफ को छोड़कर