- Gerçek bir FedEx gümrük vergisi ve vergi ödeme SMS’i, kimlik avı mesajlarıyla neredeyse aynı sinyalleri gösterdi; 4.000’den fazla kişinin katıldığı ankette %87’si şüpheli olduğuna karar verdi
- Mesajda kısa bir shipment number, acil ödeme talebi, tuhaf büyük/küçük harf kullanımı, para birimi bilgisinin olmaması ve FedEx’e ait olmayan
bpoint.com.auödeme adresi bir aradaydı - FedEx gönderi takip ekranında duty veya tax bilgilerini kontrol etmek zordu; BPOINT bağlantısında ise yalnızca URL parametreleri değiştirilerek tracking number, customer name ve amount değiştirilebiliyordu
- Müşteri desteği kanalları ve telefon yönlendirmeleri de kafa karıştırıcıydı; ancak 3 gün sonra gelen e-posta ekinde Prusa faturası ile sipariş, fiyat ve gönderi bilgileri doğrulanınca SMS’in gerçek taleple eşleştiği anlaşıldı
- Dolandırıcılık SMS’lerini engelleme gibi teknik kontroller tek başına yeterli değil; meşru şirket mesajları kimlik avının tipik özelliklerine benzediğinde kullanıcıların karar ölçütleri çöker
Gerçek bir teslimat bildiriminin kimlik avı gibi göründüğü durum
- Son dönemde “paketinizi teslim edemiyoruz” türünde çok sayıda SMS kimlik avı geldi ve bunlar operatör filtrelerini aşarak gelen kutusuna kadar ulaştı
- Kimlik avı olup olmadığını değerlendirirken aciliyet, bir şeyi kaçırma kaygısı ve kargo şirketiyle uyuşmayan garip URL gibi sinyallere bakılıyor
- Gerçek bir FedEx teslimatı beklenirken duty ve taxes ödenmesini isteyen bir SMS geldi; yalnızca dış görünüşüne bakarak bunun gerçek bir talep mi yoksa kimlik avı mı olduğuna karar vermek zordu
- X anketine 4.000’den fazla kişi yanıt verdi ve %87’si “dodgy AF” olarak değerlendirdi
SMS’teki şüpheli sinyaller
- Mesajda, FedEx’in normalde
FedExşeklindeEharfini büyük yazmasından farklı olarak tuhaf bir yazım ve-Expgibi bir ifade yer alıyordu - shipment number çok kısa görünüyordu ve aşağıdaki ödeme talebinde görünen numarayla aynıydı
urgentifadesi, insanların yeterince düşünmeden harekete geçmesini sağlayan bir sosyal mühendislik sinyali gibi işliyorduDutyveTaxesiçin büyük/küçük harf kullanımı tuhaftı; küresel bir kargo şirketinin mesajı olmasına rağmen para birimi veya dolar işareti yoktu- Ödeme bağlantısı ne FedEx alan adındaydı ne de Avustralya hükümetine ait bir alan adında;
bpoint.com.auidi - SMS içinde iletişim bilgisi verilmesi, NAB’nin kısa mesajlardan bağlantıları kaldırma yaklaşımının tersiydi
Doğrudan doğrulaması da zor olan süreç
- Şüpheli ödeme taleplerinde temel öneri, mesajdaki bağlantıya tıklamadan ilgili web sitesine doğrudan gidip kontrol etmektir
- Prusa satın alma onay e-postasından gönderi bilgileri bulunup FedEx web sitesine gidildi, ancak gönderi takip sayfasında duty veya tax ile ilgili bir alan bulunamadı
- SMS’teki bağlantı takip edildiğinde tracking number, customer name ve amount değerleri yalnızca URL parametreleri değiştirilerek keyfi biçimde düzenlenebiliyordu
- Tarayıcı DOM’unu değiştirmeden veya trafiği araya girip yakalamadan, sadece query string parametrelerini değiştirerek mümkündü
- Bu davranış bir kimlik avı sitesi gibi görünüyordu; ancak BPOINT, Commonwealth Bank tarafından sağlanan bir ödeme ağ geçidiydi
- Ertesi gün aynı göndericiden başka bir SMS daha geldi
- Bu kez shipping number mesaja eklenmişti ve duty ile taxes için büyük/küçük harf kullanımı normale dönmüştü
PAY NOWbüyük harflerle gösteriliyordu ve “bağlantı”, scheme, domain ve path olmadan yalnızca query string parametrelerinden oluştuğu için tıklanıp ödeme yapılamıyordu- query string parametre adları da tamamen büyük harfe dönmüştü; bu da farklı bir üretim süreci olduğu ya da sürecin bozulduğu izlenimini veriyordu
Müşteri desteği ve nihai doğrulama
- 1800 numarası aratıldığında üst sonuçlarda Reverse Australia’daki ilgili numara sayfası çıktı; yorumlar ve genel arama sonuçları, mesajın meşruiyeti konusunda kafa karışıklığını gösteriyordu
- SMS’teki numara yerine FedEx web sitesindeki Customer Support yolu üzerinden doğrulama denenmişti
- Müşteri destek sayfası e-posta iletişimi ve gönderici alan adını doğrulamaya odaklanıyor, SMS’teki numaradan farklı bir telefon numarası veriyordu
- Verilen numara aranıp duty ve taxes menüsüne girildi, ancak birkaç adımdan sonra tuş takımı girişi çalışmadığı için aynı mesaj tekrarlandı
- Alternatif olarak 132610’u arama yönlendirmesi çıktı, fakat bu numara zaten ilk aranan numaraydı
- Başka bir menü yolu tekrar denendiğinde tracking number istendi, ardından web sitesiyle aynı bilgiler verildi ve müşteri temsilcisine bağlanma seçeneği sunuldu
- Temsilci, gönderinin değerinin US$799 olduğunu ve AU$1.215,97 olarak dönüştürüldüğü için inbound fees kapsamına girdiğini söyledi; ancak bunun SMS’teki tutarla eşleşip eşleşmediği için geri arama sözü verdi
- İlk SMS’ten 3 gün sonra bir e-posta geldi; tutar, BPOINT adresi ve mesaj SMS ile eşleşiyordu
- E-posta ekinde Prusa faturasının tamamı ile sipariş numarası, fiyat ve gönderi bilgileri vardı; böylece SMS’in gerçek taleple bağlantılı olduğu doğrulandı
Kimlik avı savunmasını zayıflatan şirket mesajları
- Yalnızca Avustralya’da dolandırıcılık kaynaklı kayıplar yılda AU$3B’nin üzerinde; küresel ölçekte sorun daha da büyük
- ACMA, operatörlerin 336 milyon dolandırıcılık SMS’ini engellediğini açıkladı; ancak engellenmeyen dolandırıcılık mesajlarının sayısı bilinmiyor
- Teknik kontroller tek başına yeterli olmadığı için insanlar para talepleri, aciliyet, tuhaf dil bilgisi ve büyük/küçük harf kullanımı, garip URL’ler gibi kalıplarla dolandırıcılığı ayırt etmek zorunda
- Bu örnekte meşru FedEx mesajı, tam da bu dolandırıcılık ayırt etme kalıplarının çoğunu içeriyordu
- Yapay zeka tabanlı dolandırıcılıkların giderek daha zor ayırt edildiği bir dönemde, meşru kuruluşların mesajları dolandırıcılardan ayırt edilemiyorsa kullanıcıların karar ölçütleri zayıflar
1 yorum
Hacker News yorumları
FedEx, büyük şirketler arasında dijital platformu en kötü, güvenliği de en gevşek olanlardan biri
10. nesil bir apartmana taşınıp FedEx Delivery Manager’ı kurduğumda, sadece yeni adresi girmiştim; hiçbir doğrulama olmadan önceki kiracının teslimat talimatları hemen göründü ve bunların içinde binanın özel garaj kodu bile vardı. Bir hırsız da aynısını yapabilirdi
Taşındıktan sonra yeni adres eklemeye çalıştım ama site her seferinde hata verdi; forumları karıştırınca, parolada özel karakter varsa sitenin bazı işlevlerinin kalıcı olarak bozulduğu varsayımının doğru olduğunu gördüm. Parola değiştirme akışı bile bozuktu; sonunda eşim daha zayıf bir parolayla yeni hesap açmak zorunda kaldı
Şirketin kendisi etkileyici ama bu gerçekten amatör işi
Son iki siparişim ise FedEx içinde biri tarafından düpedüz çalınmış gibiydi; tesislere girdi ama sonrasında dışarı çıkmadı. Müşteri hizmetleri, yurt dışındaki bir özür makinesinden ibaret ve hiçbir şeyi çözemiyor. Eskiden FedEx’i tercih ederdim ama hizmet seviyesi o kadar düştü ki artık özellikle kaçınıyorum
Hesabı açar açmaz, benimle hiç ilgisi olmayan gönderici ve alıcılar için binlerce dolarlık uluslararası gönderi faturaları gelmeye başladı; kayıtlı kredi kartımdan otomatik ödeme bile alındı. Kartı silince bu kez postayla kalın FedEx kâğıt faturaları gelmeye başladı
Meğer FedEx, 9 haneli hesap numarasını bilen herkesin herhangi bir hesaba fatura yazabilmesine izin veriyormuş; dolandırıcılar da rastgele numaralar üretip bunu sürekli yapabiliyormuş. FedEx umursamadı, dolandırıcılık bildirimini de reddetti ve bildirimden sonra bile ek sahte gönderilere izin verdi. En sonunda kredi kartı şirketine chargeback açınca hesabı kapattılar ama artık abonelikten çıkamadığım pazarlama e-postaları gelmeye devam ediyor. Kimsenin kullanmaması gereken bir şirket
Yani sadece adresini bilerek, dünyanın herhangi bir yerindeki herhangi bir kişiye internet üzerinden hizmet reddi saldırısı yapılabiliyor
1-2 ay boyunca paketin çalındığını düşünerek bekledikten sonra USPS’e, acaba ellerinde mi diye sordum; gerçekten de “teslim edilemeyen posta odasında”ymış ve FedEx’in paketi USPS/devlet mülkiyetindeki posta kutusuna koymasının yasa dışı olduğuna dair uzun uzun nutuk dinledim
FedEx’i arayıp çözüm istemeye çalıştım ama hatırladığım kadarıyla ya telefona çıkmadılar ya da kuryeye ulaşmanın bir yolu olmadığını söylediler. O zamandan beri FedEx’ten kaçınıyorum; UPS’ten de eBay’den aldığım iki antika lambayı mahvettikten sonra kaçınır oldum
Eşim konut teminatlı kredi başvurusu yaptığında, bankadan aradığını söyleyen biri telefon etti; ev ortak mülkiyet olduğu için krediyi onaylayıp onaylamadığımı doğrulaması gerektiğini söyledi.
Adımı sordu, söyledim; ardından sosyal güvenlik numaramın son dört hanesini de verdim ama hemen tüm sosyal güvenlik numarasını isteyince alarm zilleri çalmaya başladı. Birdenbire arayan bir yabancıya son dört haneyi bile vermiş olmaktan huzursuz oldum ve bankanın web sitesindeki numarayı arayıp onun gerçekten çalışan olup olmadığını doğrulayabilir miyim diye sordum.
Sinirlendi; kendisine bağlanan numaranın muhtemelen web sitesinde bulunmadığını, tüm sosyal güvenlik numarasını vermezsem kredi başvurusunu reddetmek zorunda kalacağını söyledi. Resmî banka numarası üzerinden tekrar iletişime geçmenin bir yolu yoksa bilgi veremeyeceğimi söyleyince öfkelendi ve telefonu kapattı.
Meğer gerçekten banka çalışanıymış ve kredi başvurusunu gerçekten iptal etmiş.
Gerçekten de resmî numarayı aradığımda banka bunu doğruladı. Bunun kötü bir güvenlik uygulaması olduğunu anlattım ama arayan numaraya bakıp aramanın bankadan gelip gelmediğini doğrulamamın yeterli olduğunu söylediler. Arayan numara sahteciliğini anlatmanın hiçbir faydası olmadı.
2011’den önce ilk üç hane numarayı veren ofisi gösteriyordu, ortadaki iki hane olan “grup numarası” ise kamuya açık biçimde bilinen bir sıraya göre kullanılıyordu. Sosyal Güvenlik İdaresi de her ofisin ulaştığı en yüksek grup numarası listesini düzenli olarak yayımlıyordu.
1986’daki vergi kanunu değişikliğiyle çocuk vergi kredisinden yararlanmak için çocuğun sosyal güvenlik numarası gerekli hâle gelince doğumda kayıt yaygınlaştı; bu kişiler için ilk beş haneyi tahmin etmek çok kolaydır.
Müşteriyi kızdırarak o tatlı komisyonu alamayacakları için genelde nazik olurlar. Son görüştüğüm kredi yetkilisi yılda 1 milyar dolardan fazla konut kredisi kapatıyordu ve telefonda gerçekten çok nazikti.
Böyle bir durumda resmî banka e-posta adresinden e-posta göndermesini ya da bankanın kendi web uygulamasını veya mesajlaşma sistemini kullanmasını sağlayabilirdi.
Açtığımda karşı taraf, dolandırıcılık aramalarında sık duyulan çok belirgin bir aksanla konuşuyordu; yakın zamanda işlem yapıp yapmadığımı sordu, sonra bu işlemi doğrulamak için ev adresi ve sosyal güvenlik numarası gibi ek kişisel bilgiler vermemi istedi. Reddedince hesabımın kilitleneceğini söyledi.
Gerçekten de hesap kilitlendi; kilidi açmak için şubeye bizzat gitmem gerekti ve aktarmaya çalıştığım paranın diğer hesapta gerçekten bulunduğunu da kanıtlamak zorunda kaldım. Hiç mantıklı değil. Yeni bir hesap da değildi, daha önce de iki hesap arasında transfer yapmıştım; tam olarak hangi dolandırıcılığı engellemeye çalıştıklarını anlamadım.
Ama kimlik avı gibi görünen uygulamalar hakkında soru sorduğumda, son 180 günlük işlem geçmişini görmek için kimlik bilgilerini alan, kredi puanını hesaplayan ve sonra para çeken “meşru” bir web sitesi olduğu için sorun olmadığını söylediler. Alman şirketiyle durumu inceleyip daha iyi bir çözüm olup olmadığına bakacaklarını da söylediler.
klara mı klarna mı denen ödeme sağlayıcısı Almanya’da epey popüler gibi görünüyor, ama bankanın güvenlikle ilgili şartları tek taraflı değiştirmesini anlayamıyorum. Elbette gizli bilgileri yanlış kişiye verirseniz bu sizin hatanız olur; sosyal güvenlik numaranız dolandırıcıların eline geçse bile banka bunu umursamayacaktır.
Birkaç ay önce şirketin BT merkezinden aldığım bir e-posta, o güne kadar aldığım tüm phishing e-postalarından daha şüpheliydi.
Şirketin resmi alan adıyla hiç benzemeyen
@itservice.comgibi genel bir alan adından gelmişti; konu satırı “URGENT: your account is expiring soon” idi. Gövdede birden fazla bağlantı vardı; hepsi okunması zor, birkaç satıra yayılan uzun bağlantılardı ve hiçbiri şirketle doğrudan ilişkili bir alan adına gitmiyordu.Bağlantıya tıklamak dışında çözüm yolu da yoktu; “hesap ayarlarına git”, “birinci derece yöneticinize danışın” gibi alternatifler de yoktu. Ama gerçek e-postaymış. Bu arada şirketin çalışan sayısı yaklaşık 100 bin.
Aynı ekip 6 ayda bir parola değişimini zorunlu kılıyor ve son 20 parolanın yeniden kullanılmasını da engelliyor. Bunlar, parola yöneticisini doğrudan çağıramayan sistemlere günde 10–20 kez elle girilmesi gereken parolalar. Çalışanların ortalama parola gücünün ne olacağı belli.
BT yetersizliğinin denetimden kalmaya yol açması gerektiğini, hatta daha iyisi borsadan çıkarılma gerekçesi sayılması gerektiğini düşünüyorum.
purchase-verification-users.net/235532/confirm.htmlgibi rastgele, banka dışı bir web sitesi bağlantısına tıklamamı istiyordu ve aratınca site bulunmuyordu.Aynı anda rastgele bir numaradan telefon geldi ve birkaç alışveriş kaydını doğrulamak istediler; araştırınca bunun bankamın web sitesindeki numaralardan biri olmadığını gördüm.
Kapattım ve bankayı doğrudan aradım; 10 dakika otomatik yanıt sisteminde dolaştıktan sonra müşteri temsilcisi, o numaranın gerçekten müşterilerle iletişim kurmak için kullanılan bir numara olduğunu doğruladı. Web sitesindeki numara listesinde neden olmadığını sorunca, internette yayımlamadıkları numaralardan da sık sık aradıklarını söylediler.
O e-postayı bankanın gönderip göndermediğini sorunca, gönderen satırında banka yazıyorsa tıklayabileceğimi, ancak o e-postayı gerçekten gönderip göndermediklerine dair bilgileri olmadığını söylediler. Yani gönderen satırı banka değilse basma, bankaysa basabilirsin gibi bir yaklaşım.
Biraz iğneleyici bir söz bu, ama o büyüklükte bir şirkette phishing bildirme aracı bile yoksa, şüpheli e-posta kampanyasından daha ciddi bir sorun var demektir.
Muhtemelen merkezi olarak denetlemek amaçlanıyorsa bir ölçüde makul bir taviz olabilir, ama e-postanın meşruiyetini değerlendirme becerimi ciddi biçimde azaltıyor. En azından eğitim içeriği güncellenmeli.
Başta şok olup bilgi güvenliği kontrolü yaptım; meğer ekipman envanteri için sistem bilgisi toplaması gereken bir “yeni çalışan”mış. Henüz ağ yönetim araçlarına erişimi yokmuş ve gelişigüzel
curl ... | shçalıştırmanın neden iyi olmadığını pek bilmediği için, insanlardan parça parça bilgileri doğrudan almanın sorun olmayacağını düşünmüş.Böyle şeyler gerçekten yaşanıyor.
Bugün Reddit’te, bir Alman bankasının yeni şartları içeren bir USB bellek gönderdiğine dair bir gönderi gördüm: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
Uydurulamayacak seviyede.
Bazı bankalar ya da finans kuruluşları bunu tuhaf yorumluyor gibi. Başka yerlerde e-posta eki de yeterli görünüyor oysa.
Müşterilere belge iletme yükümlülükleri var; yönetim bu gereksinimi tuhaf biçimde yorumluyor ve en saçma çözümlerle fikirler onlara satılıyor.
Bir araba aldığımda, birkaç ay sonra sigorta yaptırdığımı kanıtlamadığım için bankaya ait olmayan bir alan adına gidip kanıt sunmamı isteyen bir e-posta aldım.
E-posta, kötü taranmış antetli kâğıt gibi görünüyordu ve gerçekten çok şüpheliydi. Birkaç kez geldikten sonra sonunda bankayla iletişime geçtim; gerçekmiş.
Gişe çalışanı değil de kendi masası olan ilgili görevliye bu durumun neden kötü olduğunu anlatmaya çalıştım ama anlamadı. Kısa süre sonra o krediyi kapatıp o bankadan ayrıldım.
Sigorta aracımı aradım; gerçekten geçerli bir talepti. Bu mektubun tüm uyarı işaretleri açısından bakıldığında Nijeryalı prens dolandırıcılığından yalnızca birkaç adım ötede olduğunu anlattım, ama pek bir şey değişmedi sanırım.
Yazının kendisi harikaydı ama ilk SMS o kadar berbattı ki, FedEx’in alıcıya gümrük vergisini Nijeryalı bir prense havale etmesini söylemesi neredeyse daha iyi olurdu.
Yine de Troy Hunt’ın önerdiği yöne kısmen katılmıyorum. Temel varsayım, insanların genelde gerçek mesajlarla kimlik avı mesajlarını ayırt edemediği olmalı. Yapay zeka yüzünden ileride bu daha da böyle olacak; bu tür özellikleri ayırt etmeye bel bağlamak ölümcül bir kusur.
Bunun yerine, aldığınız mesajdaki harici bağlantılara veya telefon numaralarına asla güvenmemelisiniz. Adresi ya da telefon numarasını kendiniz bulup ilgili servise giriş yapmalısınız. Kapat, araştır, tekrar ara mutlak bir slogan haline gelmeli.
Sorumlu kuruluşlar SMS’lere, e-postalara ve telefon aramalarına asla bağlantı ya da telefon numarası koymayacaklarını ilan etmeli; bildirim mesajlarında da en fazla “Ayrıntılar için panonuza giriş yapın” gibi bir ifade yer almalı.
Sahte URL’leri sezgisel yöntemlerle ayırt etmenin uzun vadede ölçeklenebilir bir yaklaşım olmadığını açıkça düşünüyor.
İnsanlar kimlik avını tespit etmekte zaten yaklaşık %95 oranında başarısız oluyor. İnsanlar da gerçek e-postaları, web sitelerini, SMS’leri vb. zaten birebir kopyalayabiliyor; yapay zekaya gerek yok.
Bağlantı koyun ama ana alan adına ait olsun; kısa ve kolay fark edilir yapın: https://example.com/contact
Kullanıcı oturum açmamışsa, önce “Bizden bir mesaj aldıysanız ayrıntıları görmek için lütfen giriş yapın” diye açıklayan bir giriş akışı gösterin; iletişim formu, telefon numarası, müşteri destek sohbeti varsa onları da ekleyin.
Kimlik avı siteleri de bunu bir ölçüde taklit edebilir, ama kullanıcıyı sorunu nasıl çözeceğini kendi başına bulmaya zorlamak için bir neden yok.
Bu elbette kurumsal beceriksizliğin sonucu, ama bir noktada söz konusu SMS şablonunun içeriğini bir bilgisayar sistemine girmiş olan tek bir kişi de vardı.
O kişinin bu kelimeleri böyle yan yana getirirken ne düşündüğünü gerçekten merak ediyorum. Daha kötü yapmak için içtenlikle çaba göstermesi gerekirdi.
Teknoloji alanında iyi niyetli olup da tek başına yürütmek için biraz karmaşık kalan işleri, yanında iş arkadaşı ya da inceleyen biri olmadan yapan çok insan var. Büyük şirketlerde bu durumda olan tüm ekipler ve departmanlar bile var.
O kişi tamamen beceriksiz olmayıp ekibin yıldız mühendisi de olabilir; diğerleri ise katkıda bulunacak bir şeyleri olmadığını düşünüp susmuş olabilir. Gerçekten iyi olanlar ise başka kattaki havalı yeni projelere ya da elit “refactoring team”e geçmiş, şablon güncelleme gibi işlere zaman ayırmamış olurdu.
Bir kişi metni yazmış, başka biri Jira biletinde kısmi değişiklikler istemiş olabilir. Ama veri tipi yazarın istediğiyle uyuşmamıştır; geliştirici de uğraşmak istemediği için olduğu gibi yayına almıştır.
Ya da mesaj, birbirinden ayrı birkaç
ififadesinden oluşuyor ve müşteriye yalnızca nihai çıktı iletiliyor olabilir. Mesajın tamamını gören kimse olmadan, herkes kendi koşulunun içindeki küçük parçayı değiştirirse sık sık berbat log mesajları ortaya çıkar.Bir zamanlar belirli bir hatanın neden oluştuğunu çok ayrıntılı anlatan mesajlar üreten bir kodla uğraşmıştım; sonradan baktığımda bunların çoğunun müşteriye hiç iletilmediğini gördüm. Çünkü arkada biri
+=yerine değişkeni yeniden atamıştı. Sayısız destek talebi önlenebilirdi.Bu şablonu yazan varsayımsal kişi de aynı şeyi yapmaya çalışmış, bu yüzden sonuç bu kadar benzer olmuş olabilir. “urgent” kullanması ya da “Duty”, “Taxes” sözcüklerini büyük harfle başlatması da daha ciddi ve resmî görünme çabasından çıkmış gibi; belli ki deneyimli bir yazar değilmiş.
Beceriksizlik ve kötülük hakkındaki eski özdeyiş ikisinden birini seçtirir, ama gerçekte ikisi arasında bir spektrum olduğunu ve bilinçli/bilinçsiz niyetleri açıklayan çeşitli boyutlar bulunduğunu düşünmek daha doğru.
Birleşik Krallık’taki Post Office skandalına bakarsanız, beceriksizliğin üzerine kötülüğün, onun üzerine de yeniden beceriksizliğin yığıldığını görebilirsiniz. Bazı kuruluşlarda açıkça zararlı bir tutum “politika” olarak yazıya dökülebiliyor. Bu genellikle “PR” başlığı altına girer; gelecekte ise kötülüğü gizlemek ve denetimden kaçmak için “AI” daha çok kullanılacak.
ITV dizisinin son bölümünde Alan Bates’i canlandıran Toby Jones’un beceriksizlik ve kötülük hakkında “ikisi aynı şeydir” dediği sahne çok çarpıcıydı. Bir noktadan sonra beceriksizlik ile kötülük arasındaki fark kaybolur. Daha derin psikolojik tartışmayı burada dinleyebilirsiniz: https://cybershow.uk/episodes.php?id=23
İlgili kaynaklar: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, Edward Bernays’in halkla ilişkiler tanımı güvenliğin tam karşıtı olan aldatma, manipülasyon ve dezenformasyon ilkelerini ortaya koyar: https://en.wikipedia.org/wiki/Public_Relations_(book).
Benim FedEx deneyimimle de çok örtüşüyor. Paketi aldıktan 7 ay sonra fatura gönderdiler; birkaç gün sonra da ödeme için gerekli bilgileri bile içermeyen bir ihtar mektubu geldi.
Ödenmemiş fatura kaybolmuş olabilir, ama gerekli bilgileri atlamak epey tembelce ve aptalca. www.fedex.com’a gidip hesap oluşturmamı söylediler, ben de oluşturdum; ama hesabım faturam hakkında hiçbir şey bilmiyordu.
Tesadüfen asıl faturayı buldum; 7 ay gecikmeli gönderdikleri o faturada çok küçük harflerle “derhal ödeyin” yazıyordu. Bizim ülkede genelde 30 gün olduğu için bir faturada ilk kez gördüğüm bir ifadeydi. Tabii ödemeyi yaptıktan 10 gün sonra ikinci ihtar mektubunu da gönderdiler.
Texas’ta ücretli yoldan geçerseniz, orada ödeme yapabileceğiniz gişeler yok; 6–12 ay sonra postayla “beşinci ve son uyarı” yazan bir fatura geliyor. 4 dolar geçiş ücreti ve 80 dolar gecikme ücreti ödemeniz isteniyor.
Bunu işletenlerin arkasında Texas eyalet meclisinde arkadaşları ya da aileleri olduğuna eminim.
Borç tahsiliyle ilgili bir sürü korkutucu mesaj geldi, ama bunun bir FedEx paketiyle ilgili olduğu dışında hiçbir açıklama yoktu.
Pek çok şeyin dış bulut sağlayıcılarına outsource edilmesiyle ortaya çıkan gerçek bir sorun bu.
Eskiden şirket intranetinden gelen şeyler sorun olmazdı. Şimdi anketler, eğitimler, yeni moda projeler hep kimliği belirsiz dış domain’lerden geliyor ve şirket kimlik bilgilerinizle giriş yapmanız isteniyor.
Şirketimiz “sahte phishing” kampanyaları yürütüp phishing e-postalarını tanımayı oyunlaştırarak refleksleri canlı tutuyor; ama meşru şirket işleri için buna gerek olmamalı.
Bir yasa önerisi yapacak olursak: Bir şirketin elektronik bildirimi, makul bir kişinin meşruiyetinden şüphe etmesi için açık nedenler olacak kadar phishing gibi görünüyorsa, onu yok saymanın tüm mali ve hukuki sonuçlarını gönderen üstlenmeli.
Burada “gönderen”, elektronik bildirimi gönderen taraf anlamına geliyor.
Hukuk metinlerinde “makul” kelimesi her geçtiğinde, avukat ücretleri için 1 milyar dolardan fazla paranın ya çoktan harcandığını ya da ileride harcanacağını varsayabilirsiniz.
Sonradan aynı içerikte gerçek bir posta alınca bankayı aradım; önceki işverenimden gelen emeklilikle ilgili fonları tutan bir hesabım oradaymış.
O zaman kurum paketi FedEx’e teslim etmez ve sonunda paketinizi alamazsınız. FedEx bu tür bildirimleri çok daha iyi yapmalı; en azından bir metin yazarı işe almalı.
Vergileri önceden ödemenin kolay bir yolunun olmaması ve denetime takılıp takılmayacağınızın şansa kalması üzücü. EU’nun bu meseleyi toparlayıp tuhaf surprises’ları neredeyse ortadan kaldırması iyi oldu. United States ve United Kingdom tarafı hariç.