1 पॉइंट द्वारा GN⁺ 2024-02-24 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • FedEx का वास्तविक customs और tax payment SMS phishing message जैसे लगभग वही संकेत दिखाता था, और 4,000 से अधिक लोगों वाले एक सर्वे में 87% ने इसे संदिग्ध माना
  • संदेश में छोटा shipment number, तुरंत payment की मांग, अजीब capitalization, currency संकेत का अभाव, और FedEx की जगह bpoint.com.au payment address शामिल था
  • FedEx shipment tracking screen में duty या tax जानकारी देखना मुश्किल था, और BPOINT link में सिर्फ URL parameters बदलने से tracking number, customer name, amount बदल जाते थे
  • customer support routes और phone guidance भी भ्रमित करने वाले थे, लेकिन 3 दिन बाद आए email attachment में Prusa invoice और order, price, shipping information की पुष्टि हुई, जिससे SMS वास्तविक request से मेल खाता निकला
  • scam SMS blocking जैसी technical controls अकेले पर्याप्त नहीं हैं; जब वैध कंपनी के message phishing की सामान्य विशेषताओं जैसे दिखें, तो users के निर्णय मानदंड कमजोर पड़ जाते हैं

जब असली delivery alert phishing जैसा लगे

  • हाल में “parcel deliver नहीं किया जा सकता” प्रकार के SMS phishing संदेश बहुत आ रहे थे, और carrier filter पार करके inbox तक पहुँच रहे थे
  • phishing है या नहीं, यह देखते समय urgency, कुछ छूट जाने का डर, और delivery company से मेल न खाने वाले अजीब URL जैसे संकेत देखे जाते हैं
  • एक वास्तविक FedEx delivery का इंतज़ार करते समय duty और taxes pay करने को कहने वाला SMS आया, और सिर्फ बाहरी रूप देखकर यह तय करना मुश्किल था कि यह असली request है या phishing
  • X poll में 4,000 से अधिक लोगों ने जवाब दिया, और 87% ने इसे “dodgy AF” माना

SMS में मौजूद संदिग्ध संकेत

  • संदेश में FedEx आमतौर पर FedEx की तरह E को capital लिखता है, लेकिन यहाँ अजीब लिखावट और -Exp जैसी string शामिल थी
  • shipment number बहुत छोटा लग रहा था, और नीचे दिए payment request वाले नंबर से वही था
  • urgent जैसा शब्द लोगों को बिना पर्याप्त सोचे कार्रवाई करने के लिए उकसाने वाला social engineering संकेत बनता है
  • Duty और Taxes का capitalization अजीब था, और global shipping company के message में currency या dollar symbol नहीं था
  • payment link न तो FedEx domain था और न ही Australia government domain, बल्कि bpoint.com.au था
  • SMS के अंदर inquiry contact देना, NAB के text messages से links हटाने वाली दिशा के उलट था

सीधे verify करना भी आसान नहीं था

  • संदिग्ध payment request में मूल सलाह यही होती है कि message का link न दबाएँ, बल्कि संबंधित website पर सीधे जाकर verify करें
  • Prusa purchase confirmation mail से shipping information ढूँढकर FedEx website पर गए, लेकिन shipment tracking page में duty या tax से जुड़ा कोई item नहीं मिला
  • SMS के link का अनुसरण करने पर tracking number, customer name, amount को सिर्फ URL parameter बदलकर मनमाने ढंग से बदला जा सकता था
  • अगले दिन उसी sender से एक और SMS आया
    • इस बार shipping number message में शामिल था, और duty व taxes का capitalization सामान्य कर दिया गया था
    • PAY NOW को capital letters में दिखाया गया, और “link” में scheme, domain, path के बिना सिर्फ query string parameters थे, इसलिए उस पर क्लिक करके payment नहीं किया जा सकता था
    • query string parameter names भी सभी capital letters में बदल गए थे, जिससे लगा कि या तो अलग generation process है या process टूट गया है

customer support और अंतिम पुष्टि

  • 1800 number search करने पर Reverse Australia का वह number page ऊपर के results में आया, और comments व search results में message की legitimacy को लेकर भ्रम साफ दिखा
  • SMS के नंबर की बजाय FedEx website के Customer Support route से पुष्टि करने की कोशिश की गई
  • customer support page email communication और sender domain verification पर केंद्रित था, और SMS में दिए नंबर से अलग phone number बता रहा था
  • दिए गए नंबर पर call करके duty और taxes menu में गए, लेकिन कुछ steps बाद keypad input काम नहीं किया और वही message बार-बार दोहराया जाता रहा
    • विकल्प के तौर पर 132610 पर call करने को कहा गया, लेकिन वही number शुरू में dial किया गया था
  • दूसरे menu path से फिर कोशिश करने पर tracking number माँगा गया, फिर website जैसी ही जानकारी दी गई और agent से जुड़ने का option मिला
  • agent ने बताया कि shipment value US$799 है और AU$1,215.97 में convert होने के कारण यह inbound fees के दायरे में आता है, लेकिन SMS amount से यह मेल खाता है या नहीं, इसकी पुष्टि के लिए callback का वादा किया
  • पहले SMS के 3 दिन बाद email आया, और amount, BPOINT address, message — सब SMS से मेल खाते थे
  • email attachment में पूरा Prusa invoice, order number, price, और shipping information थी, जिससे पुष्टि हुई कि SMS वास्तविक request से जुड़ा था

कंपनियों के संदेश कैसे phishing defense को कमजोर बनाते हैं

  • सिर्फ Australia में ही scam losses सालाना AU$3B से अधिक हैं, और global scale पर यह और बड़ा मुद्दा है
  • ACMA ने कहा कि carriers ने 336 million scam SMS block किए, लेकिन जो scam messages block नहीं हुए उनकी संख्या ज्ञात नहीं है
  • सिर्फ technical controls पर्याप्त नहीं हैं, इसलिए लोगों को money request, urgency, अजीब grammar और capitalization, और संदिग्ध URL जैसे patterns से scam पहचानना पड़ता है
  • इस मामले में वैध FedEx message में वही कई scam पहचान संकेत मौजूद थे
  • ऐसे समय में जब AI आधारित scams को पहचानना लगातार कठिन हो रहा है, अगर वैध organizations के messages scammers से अलग न दिखें, तो users की निर्णय क्षमता और कमजोर पड़ जाती है

1 टिप्पणियां

 
GN⁺ 2024-02-24
Hacker News की राय
  • FedEx बड़ी कंपनियों में उन में से है जिनका डिजिटल platform सबसे खराब है और security भी सबसे ढीली मानी जाती है
    मैं 10वीं generation के apartment में शिफ्ट हुआ और FedEx Delivery Manager सेट किया। सिर्फ नया पता डालते ही, बिना किसी verification के, पिछले किरायेदार की delivery instructions तुरंत दिखने लगीं, जिनमें building के private garage का code भी था। कोई चोर भी बिल्कुल यही कर सकता था
    घर बदलने के बाद नया address add करने की कोशिश की, लेकिन site हर बार error दे रही थी। forums खंगालने पर पता चला कि यह theory सही थी कि password में special character होने पर site के कुछ features हमेशा के लिए टूट जाते हैं। password change flow भी broken था, इसलिए आखिर में मेरी पत्नी को कमजोर password के साथ नया account बनाना पड़ा
    कंपनी खुद प्रभावशाली है, लेकिन यह सच में amateur level का है

    • पता नहीं सच में इतनी प्रभावशाली कंपनी है भी या नहीं। कई addresses पर मेरी delivery success rate करीब 50% रही है, और मैं ऐसे लोगों को भी जानता हूं जिन्हें इसी तरह की long-term problems हुई हैं
    • Southern California में मैंने computer order किया था, लेकिन वह Texas, Florida, Maine से होते हुए वापस Northern California आया
      हाल के दो orders तो FedEx के अंदर किसी ने सीधे चोरी कर लिए हों, ऐसा लगा; वे facility में पहुंचे, लेकिन उसके बाद बाहर नहीं निकले। customer support बस विदेश में बैठी माफी मांगने वाली machine है, कुछ solve नहीं कर पाती। पहले मैं FedEx को पसंद करता था, लेकिन service level इतना गिर गया है कि अब जानबूझकर उससे बचता हूं
    • इससे भी गंभीर बात हुई थी। FedEx की free shipping supplies लेने के लिए मैंने shipping account बनाया, लेकिन website के password issue की वजह से account नहीं बन पा रहा था, और शायद मैंने mobile app से bypass किया था क्योंकि वह अलग flow इस्तेमाल करता था
      account बनते ही मुझसे बिल्कुल असंबंधित sender और receiver के हजारों डॉलर के international shipping invoices आने लगे, और registered credit card से automatic payment भी कट गया। card delete करने पर FedEx के मोटे paper bills डाक से आने लगे
      पता चला कि FedEx ने ऐसा setup कर रखा है कि सिर्फ 9-digit account number पता हो तो किसी भी account पर billing की जा सकती है, इसलिए scammers random numbers generate करके यह काम लगातार कर रहे थे। FedEx को परवाह नहीं थी, उन्होंने fraud report लेने से भी मना किया और report के बाद भी अतिरिक्त fraudulent shipments allow किए। आखिरकार card company में chargeback करने के बाद ही उन्होंने account बंद किया, लेकिन अब unsubscribe न हो पाने वाले marketing emails लगातार आते रहते हैं। यह ऐसी company है जिसे किसी को इस्तेमाल नहीं करना चाहिए
    • Spectrum भी कम नहीं है। कुछ साल पहले नया शिफ्ट हुआ एक पड़ोसी नए account application में अपना address टाइप करते समय गलती से मेरा address डाल बैठा, और Spectrum ने बड़ी मेहरबानी से यह निष्कर्ष निकाल लिया कि previous resident account cancel करना चाहता है, और मेरा internet काट दिया
      यानी सिर्फ address जानकर internet पर कहीं से भी धरती पर किसी भी व्यक्ति के खिलाफ denial-of-service attack किया जा सकता है
    • कुछ साल पहले मैंने teenage engineering का OP-1 खरीदा था, लेकिन FedEx ने उसे mailbox के अंदर deliver कर दिया। USPS ने FedEx parcel को mailbox से निकालकर local post office में जब्त कर लिया, और मुझे बिल्कुल inform नहीं किया
      1–2 महीने तक मैं यह सोचकर इंतजार करता रहा कि parcel चोरी हो गया है। फिर USPS से पूछा कि क्या वह शायद उनके पास रखा है, तो वह सच में “undeliverable mail room” में था, और मुझे लंबा lecture सुनना पड़ा कि FedEx ने USPS/government-owned mailbox में parcel डालकर illegal काम किया है
      FedEx को phone करके issue solve कराने की कोशिश की, लेकिन याद है कि या तो उन्होंने phone नहीं उठाया या कहा कि delivery driver से contact करने का कोई तरीका नहीं है। उसके बाद से मैं FedEx से बचता हूं, और UPS से भी बचने लगा हूं क्योंकि उसने eBay से खरीदे दो antique lamps तोड़ दिए थे
  • जब मेरी पत्नी ने home equity line of credit के लिए आवेदन किया, तो बैंक से होने का दावा करने वाले किसी व्यक्ति ने फोन किया और कहा कि चूंकि घर संयुक्त नाम पर है, इसलिए उसे यह पुष्टि करनी है कि क्या मैं loan approve करता हूं
    उसने मेरा नाम पूछा, तो मैंने बता दिया, और फिर Social Security number के आखिरी चार अंक भी बता दिए, लेकिन जैसे ही उसने पूरा Social Security number मांगा, खतरे की घंटी बज गई। मुझे अचानक चिंता हुई कि मैंने अनजान caller को आखिरी चार अंक भी बता दिए। मैंने बैंक की वेबसाइट पर दिए नंबर पर वापस फोन करके पूछा कि क्या मैं पुष्टि कर सकता हूं कि वह सचमुच कर्मचारी है
    वह झुंझला गया और बोला कि उससे जुड़ने वाला नंबर शायद वेबसाइट पर नहीं होगा, और अगर मैंने पूरा Social Security number नहीं दिया तो उसे loan application reject करनी पड़ेगी। जब मैंने कहा कि अगर official बैंक नंबर के ज़रिए दोबारा संपर्क करने का तरीका नहीं है, तो मैं जानकारी नहीं दे सकता, वह गुस्सा होकर फोन काट गया
    बाद में पता चला कि वह सचमुच बैंक कर्मचारी था, और उसने सच में loan application cancel कर दी थी

    • बैंक ने कभी security questions पूछने के लिए फोन किया था। मैंने कहा कि मैं बैंक की वेबसाइट पर दिए नंबर पर वापस फोन करूंगा, तो उन्होंने कहा कि अगर मैं बैंक को फोन करूंगा तो security questions के प्रभारी व्यक्ति तक पहुंचने का कोई तरीका नहीं है, और सिर्फ वे ही मुझे फोन कर सकते हैं
      सच में official नंबर पर फोन करने पर बैंक ने भी इसकी पुष्टि की। मैंने समझाया कि यह खराब security practice है, लेकिन उन्होंने कहा कि caller ID देखकर पुष्टि कर लें कि call बैंक से है। caller ID spoofing समझाने का कोई फायदा नहीं हुआ
    • अगर आपकी उम्र कुछ ज़्यादा है, तो सावधान रहें, क्योंकि Social Security number के आखिरी चार अंक असल में उपयोगी entropy का बड़ा हिस्सा हो सकते हैं
      2011 से पहले, पहले तीन अंक issuing office बताते थे, और बीच के दो अंक, यानी “group number”, सार्वजनिक रूप से ज्ञात क्रम के अनुसार इस्तेमाल होते थे। Social Security Administration समय-समय पर उन highest group numbers की सूची भी जारी करता था जहां तक हर office पहुंचा था
      1986 में tax law में बदलाव के बाद child tax credit पाने के लिए बच्चे का Social Security number ज़रूरी हो गया, जिससे जन्म के समय registration आम हो गया, और ऐसे लोगों के लिए पहले पांच अंकों का अनुमान लगाना बहुत आसान है
    • यह बस बेहद अक्षम और बदतमीज़ loan officer है। आम तौर पर loan officers commission लेते हैं, इसलिए deal close करने और cheque दिलाने की उनकी strong motivation होती है
      ग्राहक को नाराज़ करके मीठा commission नहीं मिल सकता, इसलिए वे आम तौर पर विनम्र होते हैं। आखिरी loan officer जिससे मेरी बात हुई थी, उसने एक साल में $1 billion से ज़्यादा के mortgages close किए थे, और फोन पर भी सचमुच बहुत अच्छा था
      ऐसी स्थिति में वह official bank email address से email भेज सकता था, या बैंक के अपने web app या messaging system का इस्तेमाल करवा सकता था
    • मेरे साथ भी कुछ ऐसा ही हुआ। मैंने एक bank account से दूसरे bank account में काफी बड़ी रकम transfer की, और कुछ मिनट बाद receiving bank के “fraud prevention” नंबर जैसा दिखने वाले नंबर से फोन आया
      फोन उठाते ही सामने वाले की accent बहुत strong थी, जैसी fraud calls में अक्सर सुनने को मिलती है। उसने पूछा कि क्या मैंने हाल में transaction किया है, और फिर कहा कि इस transaction की पुष्टि के लिए मुझे घर का पता और Social Security number जैसी अतिरिक्त personal information देनी होगी। मैंने मना किया तो कहा कि account lock हो जाएगा
      सच में account lock हो गया, और उसे unlock कराने के लिए मुझे branch में खुद जाना पड़ा, साथ ही यह भी साबित करना पड़ा कि जो पैसा मैं transfer करना चाहता था वह सच में दूसरे account में मौजूद है। इसका कोई मतलब नहीं था। account नया भी नहीं था और पहले भी मैंने इन दोनों accounts के बीच transfer किया था, समझ नहीं आया कि वे आखिर किस fraud को रोकना चाह रहे थे
    • मेरे bank terms में लिखा है कि PIN या one-time password जैसी secret information किसी third party को नहीं देनी चाहिए, बैंक कर्मचारियों को भी नहीं
      लेकिन जब मैंने phishing जैसी लगने वाली practices के बारे में पूछा, तो उन्होंने कहा कि यह ठीक है क्योंकि यह एक “legitimate” website है जो पिछले 180 दिनों की transaction history देखने के लिए credentials दर्ज कराती है, credit score calculate करती है और फिर पैसा withdraw करती है। उन्होंने यह भी कहा कि वे German company के साथ स्थिति देखेंगे और जांचेंगे कि कोई बेहतर solution है या नहीं
      klara या klarna नाम का payment provider Germany में काफी popular लगता है, लेकिन मैं यह नहीं समझ सकता कि बैंक security-related terms को एकतरफा कैसे बदल सकता है। बेशक, अगर आप गलत व्यक्ति को secret information दे देते हैं तो वह आपकी गलती है, और अगर Social Security number scammer के हाथ लग जाए तो बैंक को परवाह नहीं होगी
  • कुछ महीने पहले कंपनी के IT सेंटर से मिला ईमेल अब तक मिले किसी भी phishing mail से ज़्यादा संदिग्ध लगा
    वह कंपनी के official domain से बिल्कुल न मिलते-जुलते @itservice.com जैसे generic domain से आया था, और subject था “URGENT: your account is expiring soon”. body में कई links थे, सभी पढ़ने में मुश्किल और कई lines लंबे थे, और कोई भी domain सीधे कंपनी से जुड़ा नहीं था
    link click करने के अलावा कोई समाधान भी नहीं था, और “account settings में जाएँ”, “अपने direct manager से संपर्क करें” जैसे विकल्प भी नहीं थे. लेकिन वह असली email था. संदर्भ के लिए, यह लगभग 1 लाख कर्मचारियों वाली कंपनी है

    • हमारे IT ने भी expire होने वाले m365 password के लिए ठीक यही किया. कंपनी domain इस्तेमाल नहीं किया, बहुत typos थे, और URL किसी अजीब link shortener के पीछे छिपा था
      वही team हर 6 महीने में password बदलना अनिवार्य करती है और पिछले 20 passwords reuse करने से भी रोकती है. ये वे passwords हैं जिन्हें ऐसे systems में दिन में 10–20 बार manually डालना पड़ता है जहाँ password manager सीधे invoke नहीं किया जा सकता. कर्मचारियों की average password strength कैसी होगी, साफ़ अंदाज़ा है
      मेरा मानना है कि IT की अक्षमता का नतीजा audit failure होना चाहिए, और बेहतर तो यह हो कि यह delisting का कारण बने
    • Banks भी ऐसा करती हैं. कोई सामान खरीदने के कुछ ही मिनटों में मुझे bank से आया हुआ दिखने वाला बेहद scammy email मिला. उसमें low-quality GIF था, purchase-verification-users.net/235532/confirm.html जैसी random non-bank website link click करने को कहा गया था, और search करने पर site मिलती भी नहीं थी
      उसी समय एक random number से call आया, जिसमें कुछ purchase details verify करने को कहा गया; खोजने पर वह मेरे bank की website पर मौजूद number नहीं था
      मैंने call काटकर bank को सीधे phone किया, 10 मिनट IVR में भटकने के बाद agent ने confirm किया कि वह number वाकई customers से संपर्क करने के लिए इस्तेमाल होता है. जब पूछा कि website पर दिए numbers की list में वह क्यों नहीं है, तो कहा कि वे अक्सर ऐसे numbers से भी call करते हैं जिन्हें online publish नहीं किया गया है
      जब पूछा कि वह email bank ने भेजा था या नहीं, तो कहा कि अगर sender line में bank लिखा है तो click कर सकते हैं, लेकिन सच में वह email उन्होंने भेजा था या नहीं, इसकी जानकारी नहीं है. मतलब sender line bank न हो तो मत दबाओ, bank हो तो दबा सकते हो
    • उस size की company में IT center को mail client में installed “Report Phishing attempt” button दबाना चाहिए था
      यह थोड़ा sarcastic है, लेकिन उस स्तर की company में अगर phishing report करने का साधन भी नहीं है, तो suspicious email campaign से भी बड़ी समस्या है
    • कंपनी की security training सिखाती है कि मिले हुए email के URL ध्यान से check करो, लेकिन कंपनी का security software incoming emails के सभी URL rewrite कर देता है
      शायद centrally scan करने के उद्देश्य से यह कुछ हद तक reasonable trade-off हो सकता है, लेकिन इससे email की वैधता judge करने की मेरी क्षमता बहुत कम हो जाती है. कम से कम training content तो update करना चाहिए
    • हमारी company hosting और PaaS करती है, और internal messenger पर पहली बार दिखे किसी व्यक्ति ने “कृपया” root के तौर पर कुछ commands चलाकर result भेजने को कहा
      शुरू में मैं चौंक गया और information security check किया, लेकिन पता चला कि वह equipment inventory survey के लिए system info इकट्ठा करने वाला “new hire” था. उसके पास अभी network management tools का access नहीं था, और उसे ठीक से समझ नहीं था कि यूँ ही curl ... | sh चलाना क्यों अच्छा नहीं है, इसलिए उसने सोचा कि लोगों से टुकड़ों में सीधे information ले लेना ठीक रहेगा
      ऐसी चीज़ें सच में होती हैं
  • आज Reddit पर एक post देखा कि एक German bank ने नए terms वाला USB memory डाक से भेजा: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
    यह ऐसा level है जिसे गढ़ा नहीं जा सकता

    • वह comment अच्छा लगा: “Sparkassen group के भीतर कहीं किसी organization में external CyberCyberCyber प्रभारी के तौर पर काम करता हूँ, और मैं guarantee दे सकता हूँ कि bank information security से थोड़ा भी जुड़ा कोई भी व्यक्ति इस marketing idea के बारे में नहीं जानता था”
    • मैं इसे सच मानने से बस इनकार कर दूँगा. psychological defense mechanism के तौर पर
    • EU law में ऐसी documents को “durable medium” पर deliver करने की requirement है
      लगता है कुछ banks या financial institutions इसकी अजीब interpretation करते हैं. जबकि बाकी जगहों पर email attachment भी पर्याप्त लगता है
    • ChatGPT translation के मुताबिक USB के अंदर “terms, prices and services list, conditions” थे, और Sparkasse Bremen AG का notice था कि “1 May 2024 से लागू prices and services list, terms, additional conditions USB memory में देखे जा सकते हैं”
    • कुछ German banks ने कई plans वाली paid storage service भी बना दी
      customers को documents deliver करने की obligation है, लेकिन management उस requirement को अजीब तरह से ले रहा है, और सबसे बेतुके solutions और ideas उन्हें बेचे जा रहे हैं
  • जब मैंने car खरीदी, तो कुछ महीनों बाद email आया कि मैंने insurance coverage साबित नहीं किया है, इसलिए bank-owned न होने वाले domain पर जाकर proof submit करूँ
    email घटिया ढंग से scan किए गए letterhead जैसा दिखता था और सच में suspicious था. कुछ बार मिलने के बाद आखिरकार bank से contact किया तो पता चला कि वह असली था
    मैंने counter staff नहीं, बल्कि अपने desk वाले प्रभारी को समझाने की कोशिश की कि यह situation क्यों खराब है, लेकिन वह समझ नहीं पाया. जल्द ही वह loan चुका दिया और उस bank को छोड़ दिया

    • Mortgage loan में भी ऐसा ही हुआ था. एक अजीब wording वाला letter मिला कि home insurance information update या confirm करनी है, इसलिए किसी site पर जाएँ
      insurance broker को call किया तो पता चला request असली थी. मैंने समझाया कि warning signs के हिसाब से यह letter Nigerian prince scam से बस कुछ ही steps दूर है, लेकिन लगता है कोई बड़ा बदलाव नहीं हुआ
  • लेख अपने-आप में शानदार था, लेकिन पहला SMS इतना भयानक था कि FedEx के लिए प्राप्तकर्ता से यह कहना बेहतर होता कि वह सीमा शुल्क नाइजीरियाई राजकुमार को वायर कर दे
    हालांकि Troy Hunt की सलाह की दिशा से मैं कुछ हद तक सहमत नहीं हूं। मूल धारणा यह होनी चाहिए कि आम तौर पर लोग असली संदेश और phishing संदेश में फर्क नहीं कर सकते। AI की वजह से आगे यह और भी ज्यादा होगा, और ऐसी विशेषताओं के फर्क पर निर्भर रहना घातक खामी है
    इसके बजाय, मिले हुए संदेश में दिए गए बाहरी links या phone numbers पर कभी निर्भर नहीं करना चाहिए। address या phone number खुद खोजकर उस service में login करना चाहिए। कॉल काटो, खोजो, और फिर वापस कॉल करो यह अटल नारा होना चाहिए
    जिम्मेदार संगठनों को घोषणा करनी चाहिए कि वे text messages, emails और calls में कभी links या phone numbers नहीं डालेंगे, और notification messages में बस इतना लिखना चाहिए: “अधिक जानकारी के लिए dashboard में login करके देखें”

    • मुझे नहीं लगता कि Troy Hunt ऐसी ही सलाह दे रहे हैं। लेख की शुरुआत से ही, “लेकिन मैं एक समझदार इंसान हूं, इसलिए नहीं फंसता” जैसे मजाक के साथ वे कहते हैं कि पढ़िए, इंसान URLs के मामले में कमजोर क्यों होते हैं
      साफ है कि वे fraudulent URLs को heuristics से अलग पहचानने के तरीके को लंबे समय में scalable approach नहीं मानते
    • “AI की वजह से और भी ऐसा होगा” वाली बात के लिए तो हालत पहले ही ऐसी है कि और खराब होने की गुंजाइश नहीं बची
      इंसान phishing की पहचान में पहले ही करीब 95% तक असफल होते हैं। लोग भी असली emails, websites, text messages आदि की हूबहू नकल कर सकते हैं, इसलिए AI की जरूरत नहीं है
    • यह जरूरत से ज्यादा बड़ा प्रतिबंध है, और उन users के लिए गैर-मैत्रीपूर्ण है जो technology में सहज नहीं हैं, ध्यान भटका हुआ है, उस दिन बीमार हैं, या बस थोड़े सुस्त हैं
      link डालिए, लेकिन उसे core domain के भीतर रखिए, और छोटा व साफ दिखने वाला बनाइए: https://example.com/contact
      अगर user login नहीं है, तो पहले login flow दिखाइए जिसमें समझाया हो: “अगर आपको हमारी ओर से कोई संदेश मिला है, तो अधिक जानकारी देखने के लिए login करें”, और अगर contact form, phone number, customer support chat हो तो उसे भी शामिल कीजिए
      phishing sites भी कुछ हद तक इसकी नकल कर सकती हैं, लेकिन user को खुद समस्या का समाधान खोजने के लिए मजबूर करने की कोई वजह नहीं है
    • चिंता की कोई बात नहीं। कुछ judges और निर्वाचित अधिकारियों के अनुसार, अगर कोई संदिग्ध message AI से बना है या नहीं, यह जानना हो तो ChatGPT से पूछ लेना चाहिए
  • यह संगठनात्मक अक्षमता का नतीजा तो है, लेकिन किसी बिंदु पर एक व्यक्ति जरूर रहा होगा जिसने उस समस्याग्रस्त SMS template की सामग्री किसी computer system में दर्ज की होगी
    सच में जानना चाहूंगा कि वह व्यक्ति क्या सोच रहा था जब उसने शब्दों को इस तरह जोड़ा। इसे और खराब बनाने के लिए तो ईमानदारी से मेहनत करनी पड़ती

    • वे “शब्द” शायद nested templates थे, इसलिए input stage पर यह समझना मुश्किल रहा होगा कि final result कैसा दिखेगा
      tech field में ऐसे बहुत लोग हैं जो नेक इरादों के साथ, लेकिन सहकर्मियों या reviewers के बिना, कुछ ऐसा काम करते हैं जो अकेले संभालने के लिए थोड़ा जटिल होता है। बड़ी कंपनियों में तो पूरी teams और departments भी इसी हालत में होते हैं
      हो सकता है वह व्यक्ति पूरी तरह अक्षम न हो और team का star engineer ही हो, और बाकी लोगों ने सोचा हो कि वे कुछ योगदान नहीं कर सकते, इसलिए चुप रहे हों। सचमुच अच्छे लोग तो शायद किसी दूसरे floor पर चल रहे शानदार नए project या elite “refactoring team” में निकल गए होंगे, और template updates जैसे काम पर समय नहीं लगाया होगा
    • यह मानने की जरूरत नहीं कि यह एक ही व्यक्ति था
      एक व्यक्ति ने copy लिखी होगी, और दूसरे ने Jira ticket में आंशिक बदलाव मांगे होंगे। लेकिन data type लेखक की request से मेल नहीं खा रहा था, और developer ने झंझट नहीं लेना चाहा, इसलिए बस deploy कर दिया होगा
      या फिर message कई अलग-अलग if statements से बना हो सकता है, और केवल final output customer तक पहुंचता हो। जब पूरा message देखने वाला कोई न हो, और हर कोई अपनी condition के भीतर के छोटे हिस्से ही ठीक कर रहा हो, तो भयानक log messages अक्सर बन जाते हैं
      पहले मैंने ऐसे code पर काम किया था जो किसी error के कारण पर बहुत detailed message बनाता था, लेकिन बाद में पता चला कि उसका अधिकतर हिस्सा customer तक पहुंचता ही नहीं था। पीछे कहीं किसी ने += के बजाय variable को reassign कर दिया था। इससे ढेरों support tickets बच सकते थे
    • कहा तो यह भी जाता है कि scammers बहुत चालाक होते हैं और हमारी psychological कमजोरियों को निशाना बनाने वाली हर technique जानबूझकर इस्तेमाल करते हैं, लेकिन 90% मामलों में लगता है कि उन्हें बस “official लगने वाला” message लिखने को कहा जाता है
      इस template को लिखने वाले काल्पनिक व्यक्ति ने भी शायद वही करने की कोशिश की होगी, इसलिए नतीजा इतना मिलता-जुलता निकला। “urgent” लिखना या “Duty”, “Taxes” को capital letter से शुरू करना भी शायद ज्यादा formal और official दिखने की कोशिश रही होगी, और साफ है कि वह कोई experienced writer नहीं था
    • “अक्षमता” शब्द दिलचस्प है
      अक्षमता और दुर्भावना पर पुरानी कहावत हमें दोनों में से एक चुनने को कहती है, लेकिन असल में दोनों के बीच एक spectrum होता है, और सचेत-अचेत इरादों को समझाने वाले कई dimensions होते हैं — ऐसा मानना ज्यादा सटीक है
      UK के Post Office scandal को देखें तो अक्षमता के ऊपर दुर्भावना, और फिर उसके ऊपर फिर अक्षमता की परतें दिखती हैं। कुछ संगठनों में साफ तौर पर नुकसानदेह रुख को “policy” के रूप में लिख दिया जाता है। अक्सर यह “PR” के तहत आता है, और आगे चलकर दुर्भावना छिपाने और scrutiny से बचने के लिए “AI” का और ज्यादा इस्तेमाल होगा
      ITV drama के आखिरी episode में Alan Bates की भूमिका निभा रहे Toby Jones का अक्षमता और बुराई के बारे में “दोनों एक ही हैं” कहना बहुत प्रभावशाली था। एक बिंदु पर अक्षमता और बुराई के बीच का अंतर खत्म हो जाता है। इस पर गहरी psychological चर्चा यहां सुनी जा सकती है: https://cybershow.uk/episodes.php?id=23
      संबंधित सामग्री: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, Edward Bernays की public relations की परिभाषा security के ठीक उलट deception, manipulation और disinformation का सिद्धांत पेश करती है: https://en.wikipedia.org/wiki/Public_Relations_(book)
  • मेरे FedEx अनुभव से भी यह अच्छी तरह मेल खाता है। पार्सल मिलने के 7 महीने बाद उन्होंने बिल भेजा, और कुछ दिन बाद भुगतान के लिए जरूरी जानकारी के बिना ही एक रिमाइंडर लेटर आ गया
    बकाया बिल खो भी सकता था, लेकिन जरूरी जानकारी छोड़ देना काफी आलसी और बेवकूफी भरा काम है। उन्होंने कहा कि www.fedex.com पर जाकर अकाउंट बनाओ, तो मैंने बना लिया, लेकिन उसे मेरे बिल के बारे में कुछ भी पता नहीं था
    संयोग से मुझे मूल बिल मिल गया, और 7 महीने देर से भेजे गए उस बिल पर बहुत छोटे अक्षरों में “तुरंत भुगतान करें” लिखा था। हमारे देश में आम तौर पर 30 दिन होते हैं, इसलिए बिल में यह अभिव्यक्ति मैंने पहली बार देखी। बेशक, मेरे भुगतान करने के 10 दिन बाद उन्होंने दूसरा रिमाइंडर भी भेज दिया

    • कुछ कंपनियों में यह आम प्रथा है
      Texas की toll roads पर चलें तो मौके पर शुल्क चुकाने के लिए कोई tollgate नहीं होता, और 6–12 महीने बाद डाक से “पांचवीं और अंतिम चेतावनी” वाला बिल आता है। कुछ ऐसा कि 4 डॉलर टोल और 80 डॉलर लेट फीस चुकाओ
      मुझे पूरा यकीन है कि इसे चलाने वालों के Texas state legislature में दोस्त या परिवार वाले होंगे
    • मेरे साथ भी कुछ ऐसा ही हुआ था; पहली खबर यही मिली कि मेरा customs bill collections में भेज दिया गया है
      debt collection से जुड़े डरावने संदेशों की भरमार आई, लेकिन FedEx पार्सल से संबंधित है, इसके अलावा कोई説明 नहीं था
  • बहुत सारी चीजें बाहरी cloud providers को outsource करने से पैदा होने वाली यह असली समस्या है
    पहले कंपनी intranet से आया हो तो ठीक माना जाता था। अब surveys, training, नए trendy projects सब अनजान बाहरी domains से आते हैं, और उनमें कंपनी credentials से login करने को कहा जाता है
    हमारी कंपनी “fake phishing” campaigns चलाती है, phishing emails की पहचान को game जैसा बनाकर लोगों की सतर्कता बनाए रखती है, लेकिन वैध कंपनी कामकाज में इसकी जरूरत नहीं होनी चाहिए

  • अगर कानून का प्रस्ताव रखें, तो अगर किसी कंपनी का electronic notification इतना phishing जैसा दिखे कि कोई reasonable व्यक्ति उसकी वैधता पर संदेह करने का स्पष्ट कारण देखे, तो उसे अनदेखा करने से होने वाले सभी आर्थिक और कानूनी परिणाम sender को भुगतने चाहिए
    यहां “sender” का मतलब electronic notification भेजने वाली तरफ है

    • कानून में जैसे ही “reasonable” जैसा शब्द परिभाषित करने लगते हैं, दलदल शुरू हो जाता है
      कानून में “reasonable” शब्द जितनी बार आता है, हर बार मान कर चलिए कि lawyer fees में 1 अरब डॉलर से ज्यादा या तो पहले ही खर्च हो चुका है या आगे खर्च होगा
    • इसी वजह से मैं भी लगभग मुश्किल में पड़ गया था। ग्राहक नहीं, बल्कि “बैंक” लगातार संदेश भेज रहा था: “urgent, personal information भरकर इस form का जवाब नहीं दिया तो account lock कर देंगे”, और यह काफी scam जैसा दिख रहा था
      बाद में उसी内容 की असली डाक मिली और बैंक को फोन किया, तो पता चला कि पिछले employer से आए pension-related funds रखने वाला account वहीं था
    • इस मामले में परिणाम यह है कि income tax वसूलने वाली Australian government agency को पैसा नहीं मिलता
      तब वह agency FedEx को पार्सल नहीं सौंपती, और आखिरकार आपको पार्सल नहीं मिलता। FedEx को ऐसे notifications बहुत बेहतर बनाने चाहिए, कम से कम एक copywriter तो hire करना चाहिए
    • दरअसल परिणाम पहले से ही sender पर है। compliance न हो तो देश और सामान के प्रकार के हिसाब से पार्सल नष्ट कर दिया जाता है या वापस भेज दिया जाता है
      अफसोस है कि taxes पहले से चुकाने का कोई आसान तरीका नहीं है, और inspection में फंसेंगे या नहीं यह किस्मत पर छोड़ना पड़ता है। अच्छा है कि EU ने यह समस्या सुलझा दी है, इसलिए अजीब surprises लगभग खत्म हो गए हैं। United States और United Kingdom की तरफ को छोड़कर
    • management शायद overreact करके 100-step authentication लागू कर देगा, और Unicode symbols अनिवार्य वाले 30-character passwords मांगेगा