1 puan yazan GN⁺ 2024-02-24 | 1 yorum | WhatsApp'ta paylaş
  • Gerçek bir FedEx gümrük vergisi ve vergi ödeme SMS’i, kimlik avı mesajlarıyla neredeyse aynı sinyalleri gösterdi; 4.000’den fazla kişinin katıldığı ankette %87’si şüpheli olduğuna karar verdi
  • Mesajda kısa bir shipment number, acil ödeme talebi, tuhaf büyük/küçük harf kullanımı, para birimi bilgisinin olmaması ve FedEx’e ait olmayan bpoint.com.au ödeme adresi bir aradaydı
  • FedEx gönderi takip ekranında duty veya tax bilgilerini kontrol etmek zordu; BPOINT bağlantısında ise yalnızca URL parametreleri değiştirilerek tracking number, customer name ve amount değiştirilebiliyordu
  • Müşteri desteği kanalları ve telefon yönlendirmeleri de kafa karıştırıcıydı; ancak 3 gün sonra gelen e-posta ekinde Prusa faturası ile sipariş, fiyat ve gönderi bilgileri doğrulanınca SMS’in gerçek taleple eşleştiği anlaşıldı
  • Dolandırıcılık SMS’lerini engelleme gibi teknik kontroller tek başına yeterli değil; meşru şirket mesajları kimlik avının tipik özelliklerine benzediğinde kullanıcıların karar ölçütleri çöker

Gerçek bir teslimat bildiriminin kimlik avı gibi göründüğü durum

  • Son dönemde “paketinizi teslim edemiyoruz” türünde çok sayıda SMS kimlik avı geldi ve bunlar operatör filtrelerini aşarak gelen kutusuna kadar ulaştı
  • Kimlik avı olup olmadığını değerlendirirken aciliyet, bir şeyi kaçırma kaygısı ve kargo şirketiyle uyuşmayan garip URL gibi sinyallere bakılıyor
  • Gerçek bir FedEx teslimatı beklenirken duty ve taxes ödenmesini isteyen bir SMS geldi; yalnızca dış görünüşüne bakarak bunun gerçek bir talep mi yoksa kimlik avı mı olduğuna karar vermek zordu
  • X anketine 4.000’den fazla kişi yanıt verdi ve %87’si “dodgy AF” olarak değerlendirdi

SMS’teki şüpheli sinyaller

  • Mesajda, FedEx’in normalde FedEx şeklinde E harfini büyük yazmasından farklı olarak tuhaf bir yazım ve -Exp gibi bir ifade yer alıyordu
  • shipment number çok kısa görünüyordu ve aşağıdaki ödeme talebinde görünen numarayla aynıydı
  • urgent ifadesi, insanların yeterince düşünmeden harekete geçmesini sağlayan bir sosyal mühendislik sinyali gibi işliyordu
  • Duty ve Taxes için büyük/küçük harf kullanımı tuhaftı; küresel bir kargo şirketinin mesajı olmasına rağmen para birimi veya dolar işareti yoktu
  • Ödeme bağlantısı ne FedEx alan adındaydı ne de Avustralya hükümetine ait bir alan adında; bpoint.com.au idi
  • SMS içinde iletişim bilgisi verilmesi, NAB’nin kısa mesajlardan bağlantıları kaldırma yaklaşımının tersiydi

Doğrudan doğrulaması da zor olan süreç

  • Şüpheli ödeme taleplerinde temel öneri, mesajdaki bağlantıya tıklamadan ilgili web sitesine doğrudan gidip kontrol etmektir
  • Prusa satın alma onay e-postasından gönderi bilgileri bulunup FedEx web sitesine gidildi, ancak gönderi takip sayfasında duty veya tax ile ilgili bir alan bulunamadı
  • SMS’teki bağlantı takip edildiğinde tracking number, customer name ve amount değerleri yalnızca URL parametreleri değiştirilerek keyfi biçimde düzenlenebiliyordu
  • Ertesi gün aynı göndericiden başka bir SMS daha geldi
    • Bu kez shipping number mesaja eklenmişti ve duty ile taxes için büyük/küçük harf kullanımı normale dönmüştü
    • PAY NOW büyük harflerle gösteriliyordu ve “bağlantı”, scheme, domain ve path olmadan yalnızca query string parametrelerinden oluştuğu için tıklanıp ödeme yapılamıyordu
    • query string parametre adları da tamamen büyük harfe dönmüştü; bu da farklı bir üretim süreci olduğu ya da sürecin bozulduğu izlenimini veriyordu

Müşteri desteği ve nihai doğrulama

  • 1800 numarası aratıldığında üst sonuçlarda Reverse Australia’daki ilgili numara sayfası çıktı; yorumlar ve genel arama sonuçları, mesajın meşruiyeti konusunda kafa karışıklığını gösteriyordu
  • SMS’teki numara yerine FedEx web sitesindeki Customer Support yolu üzerinden doğrulama denenmişti
  • Müşteri destek sayfası e-posta iletişimi ve gönderici alan adını doğrulamaya odaklanıyor, SMS’teki numaradan farklı bir telefon numarası veriyordu
  • Verilen numara aranıp duty ve taxes menüsüne girildi, ancak birkaç adımdan sonra tuş takımı girişi çalışmadığı için aynı mesaj tekrarlandı
    • Alternatif olarak 132610’u arama yönlendirmesi çıktı, fakat bu numara zaten ilk aranan numaraydı
  • Başka bir menü yolu tekrar denendiğinde tracking number istendi, ardından web sitesiyle aynı bilgiler verildi ve müşteri temsilcisine bağlanma seçeneği sunuldu
  • Temsilci, gönderinin değerinin US$799 olduğunu ve AU$1.215,97 olarak dönüştürüldüğü için inbound fees kapsamına girdiğini söyledi; ancak bunun SMS’teki tutarla eşleşip eşleşmediği için geri arama sözü verdi
  • İlk SMS’ten 3 gün sonra bir e-posta geldi; tutar, BPOINT adresi ve mesaj SMS ile eşleşiyordu
  • E-posta ekinde Prusa faturasının tamamı ile sipariş numarası, fiyat ve gönderi bilgileri vardı; böylece SMS’in gerçek taleple bağlantılı olduğu doğrulandı

Kimlik avı savunmasını zayıflatan şirket mesajları

  • Yalnızca Avustralya’da dolandırıcılık kaynaklı kayıplar yılda AU$3B’nin üzerinde; küresel ölçekte sorun daha da büyük
  • ACMA, operatörlerin 336 milyon dolandırıcılık SMS’ini engellediğini açıkladı; ancak engellenmeyen dolandırıcılık mesajlarının sayısı bilinmiyor
  • Teknik kontroller tek başına yeterli olmadığı için insanlar para talepleri, aciliyet, tuhaf dil bilgisi ve büyük/küçük harf kullanımı, garip URL’ler gibi kalıplarla dolandırıcılığı ayırt etmek zorunda
  • Bu örnekte meşru FedEx mesajı, tam da bu dolandırıcılık ayırt etme kalıplarının çoğunu içeriyordu
  • Yapay zeka tabanlı dolandırıcılıkların giderek daha zor ayırt edildiği bir dönemde, meşru kuruluşların mesajları dolandırıcılardan ayırt edilemiyorsa kullanıcıların karar ölçütleri zayıflar

1 yorum

 
GN⁺ 2024-02-24
Hacker News yorumları
  • FedEx, büyük şirketler arasında dijital platformu en kötü, güvenliği de en gevşek olanlardan biri
    10. nesil bir apartmana taşınıp FedEx Delivery Manager’ı kurduğumda, sadece yeni adresi girmiştim; hiçbir doğrulama olmadan önceki kiracının teslimat talimatları hemen göründü ve bunların içinde binanın özel garaj kodu bile vardı. Bir hırsız da aynısını yapabilirdi
    Taşındıktan sonra yeni adres eklemeye çalıştım ama site her seferinde hata verdi; forumları karıştırınca, parolada özel karakter varsa sitenin bazı işlevlerinin kalıcı olarak bozulduğu varsayımının doğru olduğunu gördüm. Parola değiştirme akışı bile bozuktu; sonunda eşim daha zayıf bir parolayla yeni hesap açmak zorunda kaldı
    Şirketin kendisi etkileyici ama bu gerçekten amatör işi

    • Gerçekten etkileyici bir şirket mi, emin değilim. Birkaç adreste teslimat başarı oranım yaklaşık %50 oldu; benzer uzun vadeli sorunlar yaşayan birini de tanıyorum
    • Güney Kaliforniya’da bir bilgisayar sipariş ettim; Texas, Florida, Maine üzerinden geçip tekrar Kuzey Kaliforniya’ya geldi
      Son iki siparişim ise FedEx içinde biri tarafından düpedüz çalınmış gibiydi; tesislere girdi ama sonrasında dışarı çıkmadı. Müşteri hizmetleri, yurt dışındaki bir özür makinesinden ibaret ve hiçbir şeyi çözemiyor. Eskiden FedEx’i tercih ederdim ama hizmet seviyesi o kadar düştü ki artık özellikle kaçınıyorum
    • Daha da ciddi bir şey de yaşandı. FedEx’in ücretsiz gönderi malzemelerini almak için bir gönderi hesabı oluşturmaya çalıştım; web sitesindeki parola sorunu yüzünden hesap açamadım, sanırım farklı bir akış kullanan mobil uygulamayla bunu aşmıştım
      Hesabı açar açmaz, benimle hiç ilgisi olmayan gönderici ve alıcılar için binlerce dolarlık uluslararası gönderi faturaları gelmeye başladı; kayıtlı kredi kartımdan otomatik ödeme bile alındı. Kartı silince bu kez postayla kalın FedEx kâğıt faturaları gelmeye başladı
      Meğer FedEx, 9 haneli hesap numarasını bilen herkesin herhangi bir hesaba fatura yazabilmesine izin veriyormuş; dolandırıcılar da rastgele numaralar üretip bunu sürekli yapabiliyormuş. FedEx umursamadı, dolandırıcılık bildirimini de reddetti ve bildirimden sonra bile ek sahte gönderilere izin verdi. En sonunda kredi kartı şirketine chargeback açınca hesabı kapattılar ama artık abonelikten çıkamadığım pazarlama e-postaları gelmeye devam ediyor. Kimsenin kullanmaması gereken bir şirket
    • Spectrum da ondan aşağı kalır değil. Birkaç yıl önce yeni taşınan komşum yeni hesap başvurusunda adresi yanlışlıkla benim adresim olarak yazmıştı; Spectrum da önceki sakinin hesabını kapatmak istediğini nazikçe varsayıp benim internetimi kesti
      Yani sadece adresini bilerek, dünyanın herhangi bir yerindeki herhangi bir kişiye internet üzerinden hizmet reddi saldırısı yapılabiliyor
    • Birkaç yıl önce teenage engineering’in OP-1’ini almıştım; FedEx bunu posta kutusunun içine teslim etmişti. USPS, FedEx paketini posta kutusundan çıkarıp yerel postanede alıkoymuş ve bana hiç haber vermemişti
      1-2 ay boyunca paketin çalındığını düşünerek bekledikten sonra USPS’e, acaba ellerinde mi diye sordum; gerçekten de “teslim edilemeyen posta odasında”ymış ve FedEx’in paketi USPS/devlet mülkiyetindeki posta kutusuna koymasının yasa dışı olduğuna dair uzun uzun nutuk dinledim
      FedEx’i arayıp çözüm istemeye çalıştım ama hatırladığım kadarıyla ya telefona çıkmadılar ya da kuryeye ulaşmanın bir yolu olmadığını söylediler. O zamandan beri FedEx’ten kaçınıyorum; UPS’ten de eBay’den aldığım iki antika lambayı mahvettikten sonra kaçınır oldum
  • Eşim konut teminatlı kredi başvurusu yaptığında, bankadan aradığını söyleyen biri telefon etti; ev ortak mülkiyet olduğu için krediyi onaylayıp onaylamadığımı doğrulaması gerektiğini söyledi.
    Adımı sordu, söyledim; ardından sosyal güvenlik numaramın son dört hanesini de verdim ama hemen tüm sosyal güvenlik numarasını isteyince alarm zilleri çalmaya başladı. Birdenbire arayan bir yabancıya son dört haneyi bile vermiş olmaktan huzursuz oldum ve bankanın web sitesindeki numarayı arayıp onun gerçekten çalışan olup olmadığını doğrulayabilir miyim diye sordum.
    Sinirlendi; kendisine bağlanan numaranın muhtemelen web sitesinde bulunmadığını, tüm sosyal güvenlik numarasını vermezsem kredi başvurusunu reddetmek zorunda kalacağını söyledi. Resmî banka numarası üzerinden tekrar iletişime geçmenin bir yolu yoksa bilgi veremeyeceğimi söyleyince öfkelendi ve telefonu kapattı.
    Meğer gerçekten banka çalışanıymış ve kredi başvurusunu gerçekten iptal etmiş.

    • Bankanın güvenlik soruları sormak için aradığı olmuştu. Bankanın web sitesindeki numaradan geri arayacağımı söyleyince, bankayı aradığımda güvenlik soruları sorumlusuna bağlanmanın bir yolu olmadığını, bunun yalnızca onların beni aramasıyla mümkün olduğunu söylediler.
      Gerçekten de resmî numarayı aradığımda banka bunu doğruladı. Bunun kötü bir güvenlik uygulaması olduğunu anlattım ama arayan numaraya bakıp aramanın bankadan gelip gelmediğini doğrulamamın yeterli olduğunu söylediler. Arayan numara sahteciliğini anlatmanın hiçbir faydası olmadı.
    • Yaşınız belli bir seviyenin üzerindeyse, sosyal güvenlik numaranızın son dört hanesi fiilen işe yarar entropinin büyük kısmı olabilir; bu yüzden dikkatli olmak gerekir.
      2011’den önce ilk üç hane numarayı veren ofisi gösteriyordu, ortadaki iki hane olan “grup numarası” ise kamuya açık biçimde bilinen bir sıraya göre kullanılıyordu. Sosyal Güvenlik İdaresi de her ofisin ulaştığı en yüksek grup numarası listesini düzenli olarak yayımlıyordu.
      1986’daki vergi kanunu değişikliğiyle çocuk vergi kredisinden yararlanmak için çocuğun sosyal güvenlik numarası gerekli hâle gelince doğumda kayıt yaygınlaştı; bu kişiler için ilk beş haneyi tahmin etmek çok kolaydır.
    • Bu, basitçe aşırı derecede beceriksiz ve kaba bir kredi yetkilisi. Normalde kredi yetkilileri komisyon aldığı için işlemi sonuçlandırıp çeki yazdırma motivasyonları yüksektir.
      Müşteriyi kızdırarak o tatlı komisyonu alamayacakları için genelde nazik olurlar. Son görüştüğüm kredi yetkilisi yılda 1 milyar dolardan fazla konut kredisi kapatıyordu ve telefonda gerçekten çok nazikti.
      Böyle bir durumda resmî banka e-posta adresinden e-posta göndermesini ya da bankanın kendi web uygulamasını veya mesajlaşma sistemini kullanmasını sağlayabilirdi.
    • Benzer bir şey yaşamıştım. Bir banka hesabından başka bir banka hesabına epey büyük bir tutar aktarmıştım; birkaç dakika sonra alıcı bankanın “dolandırıcılık önleme” numarası gibi görünen bir yerden telefon geldi.
      Açtığımda karşı taraf, dolandırıcılık aramalarında sık duyulan çok belirgin bir aksanla konuşuyordu; yakın zamanda işlem yapıp yapmadığımı sordu, sonra bu işlemi doğrulamak için ev adresi ve sosyal güvenlik numarası gibi ek kişisel bilgiler vermemi istedi. Reddedince hesabımın kilitleneceğini söyledi.
      Gerçekten de hesap kilitlendi; kilidi açmak için şubeye bizzat gitmem gerekti ve aktarmaya çalıştığım paranın diğer hesapta gerçekten bulunduğunu da kanıtlamak zorunda kaldım. Hiç mantıklı değil. Yeni bir hesap da değildi, daha önce de iki hesap arasında transfer yapmıştım; tam olarak hangi dolandırıcılığı engellemeye çalıştıklarını anlamadım.
    • Bankamın şartlarında, PIN veya tek kullanımlık parola gibi gizli bilgileri üçüncü taraflara vermemem gerektiği, banka çalışanlarına bile vermemem gerektiği yazıyor.
      Ama kimlik avı gibi görünen uygulamalar hakkında soru sorduğumda, son 180 günlük işlem geçmişini görmek için kimlik bilgilerini alan, kredi puanını hesaplayan ve sonra para çeken “meşru” bir web sitesi olduğu için sorun olmadığını söylediler. Alman şirketiyle durumu inceleyip daha iyi bir çözüm olup olmadığına bakacaklarını da söylediler.
      klara mı klarna mı denen ödeme sağlayıcısı Almanya’da epey popüler gibi görünüyor, ama bankanın güvenlikle ilgili şartları tek taraflı değiştirmesini anlayamıyorum. Elbette gizli bilgileri yanlış kişiye verirseniz bu sizin hatanız olur; sosyal güvenlik numaranız dolandırıcıların eline geçse bile banka bunu umursamayacaktır.
  • Birkaç ay önce şirketin BT merkezinden aldığım bir e-posta, o güne kadar aldığım tüm phishing e-postalarından daha şüpheliydi.
    Şirketin resmi alan adıyla hiç benzemeyen @itservice.com gibi genel bir alan adından gelmişti; konu satırı “URGENT: your account is expiring soon” idi. Gövdede birden fazla bağlantı vardı; hepsi okunması zor, birkaç satıra yayılan uzun bağlantılardı ve hiçbiri şirketle doğrudan ilişkili bir alan adına gitmiyordu.
    Bağlantıya tıklamak dışında çözüm yolu da yoktu; “hesap ayarlarına git”, “birinci derece yöneticinize danışın” gibi alternatifler de yoktu. Ama gerçek e-postaymış. Bu arada şirketin çalışan sayısı yaklaşık 100 bin.

    • Bizim BT de süresi dolmak üzere olan m365 parolası için aynısını yaptı. Şirket alan adını kullanmadı, yazım hataları çoktu ve URL tuhaf bir bağlantı kısaltıcıyla gizlenmişti.
      Aynı ekip 6 ayda bir parola değişimini zorunlu kılıyor ve son 20 parolanın yeniden kullanılmasını da engelliyor. Bunlar, parola yöneticisini doğrudan çağıramayan sistemlere günde 10–20 kez elle girilmesi gereken parolalar. Çalışanların ortalama parola gücünün ne olacağı belli.
      BT yetersizliğinin denetimden kalmaya yol açması gerektiğini, hatta daha iyisi borsadan çıkarılma gerekçesi sayılması gerektiğini düşünüyorum.
    • Bankalar da böyle şeyler yapıyor. Bir şey satın aldıktan birkaç dakika sonra bankadan gelmiş gibi görünen, son derece dolandırıcılık kokan bir e-posta aldım. Düşük kaliteli bir GIF içeriyordu, purchase-verification-users.net/235532/confirm.html gibi rastgele, banka dışı bir web sitesi bağlantısına tıklamamı istiyordu ve aratınca site bulunmuyordu.
      Aynı anda rastgele bir numaradan telefon geldi ve birkaç alışveriş kaydını doğrulamak istediler; araştırınca bunun bankamın web sitesindeki numaralardan biri olmadığını gördüm.
      Kapattım ve bankayı doğrudan aradım; 10 dakika otomatik yanıt sisteminde dolaştıktan sonra müşteri temsilcisi, o numaranın gerçekten müşterilerle iletişim kurmak için kullanılan bir numara olduğunu doğruladı. Web sitesindeki numara listesinde neden olmadığını sorunca, internette yayımlamadıkları numaralardan da sık sık aradıklarını söylediler.
      O e-postayı bankanın gönderip göndermediğini sorunca, gönderen satırında banka yazıyorsa tıklayabileceğimi, ancak o e-postayı gerçekten gönderip göndermediklerine dair bilgileri olmadığını söylediler. Yani gönderen satırı banka değilse basma, bankaysa basabilirsin gibi bir yaklaşım.
    • O ölçekteki bir şirkette, BT merkezinin posta istemcisine kurduğu “Report Phishing attempt” düğmesine basmak gerekirdi.
      Biraz iğneleyici bir söz bu, ama o büyüklükte bir şirkette phishing bildirme aracı bile yoksa, şüpheli e-posta kampanyasından daha ciddi bir sorun var demektir.
    • Şirket güvenlik eğitimi, gelen e-postalardaki URL’leri dikkatle kontrol etmeyi öğretiyor; ama şirket güvenlik yazılımı gelen e-postalardaki tüm URL’leri yeniden yazıyor.
      Muhtemelen merkezi olarak denetlemek amaçlanıyorsa bir ölçüde makul bir taviz olabilir, ama e-postanın meşruiyetini değerlendirme becerimi ciddi biçimde azaltıyor. En azından eğitim içeriği güncellenmeli.
    • Şirketimiz hosting ve PaaS işi yapıyor; dahili mesajlaşmada daha önce hiç görmediğim biri, root olarak birkaç komut çalıştırıp sonuçları göndermemi “lütfen” istedi.
      Başta şok olup bilgi güvenliği kontrolü yaptım; meğer ekipman envanteri için sistem bilgisi toplaması gereken bir “yeni çalışan”mış. Henüz ağ yönetim araçlarına erişimi yokmuş ve gelişigüzel curl ... | sh çalıştırmanın neden iyi olmadığını pek bilmediği için, insanlardan parça parça bilgileri doğrudan almanın sorun olmayacağını düşünmüş.
      Böyle şeyler gerçekten yaşanıyor.
  • Bugün Reddit’te, bir Alman bankasının yeni şartları içeren bir USB bellek gönderdiğine dair bir gönderi gördüm: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
    Uydurulamayacak seviyede.

    • Şu yorum hoşuma gitti: “Sparkassen grubunda bir yerlerde dış CyberCyberCyber sorumlusu olarak çalışıyorum; banka bilgi güvenliğiyle azıcık ilgisi olan hiç kimsenin bu pazarlama fikrini duymamış olduğuna garanti verebilirim.”
    • Bunun gerçek olduğuna inanmayı düpedüz reddedeceğim. Psikolojik savunma mekanizması olarak.
    • AB hukukunda bu tür belgelerin “dayanıklı ortam” üzerinden iletilmesi gerektiğine dair bir gereklilik var.
      Bazı bankalar ya da finans kuruluşları bunu tuhaf yorumluyor gibi. Başka yerlerde e-posta eki de yeterli görünüyor oysa.
    • ChatGPT çevirisine göre USB’nin içinde “şartlar, fiyat ve hizmet listesi, koşullar” yer alıyordu; Sparkasse Bremen AG’nin açıklamasında da “1 Mayıs 2024’ten itibaren geçerli fiyat ve hizmet listesi, şartlar ve ek koşullar USB bellekte görülebilir” deniyordu.
    • Bazı Alman bankaları, birden fazla tarifesi olan ücretli depolama hizmetleri de oluşturdu.
      Müşterilere belge iletme yükümlülükleri var; yönetim bu gereksinimi tuhaf biçimde yorumluyor ve en saçma çözümlerle fikirler onlara satılıyor.
  • Bir araba aldığımda, birkaç ay sonra sigorta yaptırdığımı kanıtlamadığım için bankaya ait olmayan bir alan adına gidip kanıt sunmamı isteyen bir e-posta aldım.
    E-posta, kötü taranmış antetli kâğıt gibi görünüyordu ve gerçekten çok şüpheliydi. Birkaç kez geldikten sonra sonunda bankayla iletişime geçtim; gerçekmiş.
    Gişe çalışanı değil de kendi masası olan ilgili görevliye bu durumun neden kötü olduğunu anlatmaya çalıştım ama anlamadı. Kısa süre sonra o krediyi kapatıp o bankadan ayrıldım.

    • Konut kredisinde de benzer bir şey yaşadım. Konut sigortası bilgilerimi güncellemem ya da doğrulamam gerektiğini söyleyen, tuhaf ifadeler içeren ve bir siteye gitmemi isteyen bir mektup aldım.
      Sigorta aracımı aradım; gerçekten geçerli bir talepti. Bu mektubun tüm uyarı işaretleri açısından bakıldığında Nijeryalı prens dolandırıcılığından yalnızca birkaç adım ötede olduğunu anlattım, ama pek bir şey değişmedi sanırım.
  • Yazının kendisi harikaydı ama ilk SMS o kadar berbattı ki, FedEx’in alıcıya gümrük vergisini Nijeryalı bir prense havale etmesini söylemesi neredeyse daha iyi olurdu.
    Yine de Troy Hunt’ın önerdiği yöne kısmen katılmıyorum. Temel varsayım, insanların genelde gerçek mesajlarla kimlik avı mesajlarını ayırt edemediği olmalı. Yapay zeka yüzünden ileride bu daha da böyle olacak; bu tür özellikleri ayırt etmeye bel bağlamak ölümcül bir kusur.
    Bunun yerine, aldığınız mesajdaki harici bağlantılara veya telefon numaralarına asla güvenmemelisiniz. Adresi ya da telefon numarasını kendiniz bulup ilgili servise giriş yapmalısınız. Kapat, araştır, tekrar ara mutlak bir slogan haline gelmeli.
    Sorumlu kuruluşlar SMS’lere, e-postalara ve telefon aramalarına asla bağlantı ya da telefon numarası koymayacaklarını ilan etmeli; bildirim mesajlarında da en fazla “Ayrıntılar için panonuza giriş yapın” gibi bir ifade yer almalı.

    • Troy Hunt’ın bunu önerdiğini sanmıyorum. Yazının başından itibaren, “Ama ben zeki bir insanım, kanmam” şakasıyla birlikte insanların URL’ler konusunda neden zayıf olduğunu okumamızı söylüyor.
      Sahte URL’leri sezgisel yöntemlerle ayırt etmenin uzun vadede ölçeklenebilir bir yaklaşım olmadığını açıkça düşünüyor.
    • “Yapay zeka yüzünden daha da böyle olacak” sözü, zaten daha kötüleşecek yer kalmamış gibi bir durum için söyleniyor.
      İnsanlar kimlik avını tespit etmekte zaten yaklaşık %95 oranında başarısız oluyor. İnsanlar da gerçek e-postaları, web sitelerini, SMS’leri vb. zaten birebir kopyalayabiliyor; yapay zekaya gerek yok.
    • Bu, gerekenden daha büyük bir kısıtlama ve teknolojiye alışkın olmayan, dikkati dağınık, o gün hasta olan ya da sadece biraz dalgın kullanıcılara karşı kullanıcı dostu değil.
      Bağlantı koyun ama ana alan adına ait olsun; kısa ve kolay fark edilir yapın: https://example.com/contact
      Kullanıcı oturum açmamışsa, önce “Bizden bir mesaj aldıysanız ayrıntıları görmek için lütfen giriş yapın” diye açıklayan bir giriş akışı gösterin; iletişim formu, telefon numarası, müşteri destek sohbeti varsa onları da ekleyin.
      Kimlik avı siteleri de bunu bir ölçüde taklit edebilir, ama kullanıcıyı sorunu nasıl çözeceğini kendi başına bulmaya zorlamak için bir neden yok.
    • Endişeye gerek yok. Bazı hâkimlere ve seçilmiş kamu görevlilerine göre, şüpheli bir SMS’in yapay zekayla oluşturulup oluşturulmadığını ChatGPT’ye sormak yeterli.
  • Bu elbette kurumsal beceriksizliğin sonucu, ama bir noktada söz konusu SMS şablonunun içeriğini bir bilgisayar sistemine girmiş olan tek bir kişi de vardı.
    O kişinin bu kelimeleri böyle yan yana getirirken ne düşündüğünü gerçekten merak ediyorum. Daha kötü yapmak için içtenlikle çaba göstermesi gerekirdi.

    • O “kelimeler” muhtemelen iç içe geçmiş şablonlardı; bu yüzden giriş aşamasında nihai sonucun nasıl görüneceğini anlamak zor olmuş olabilir.
      Teknoloji alanında iyi niyetli olup da tek başına yürütmek için biraz karmaşık kalan işleri, yanında iş arkadaşı ya da inceleyen biri olmadan yapan çok insan var. Büyük şirketlerde bu durumda olan tüm ekipler ve departmanlar bile var.
      O kişi tamamen beceriksiz olmayıp ekibin yıldız mühendisi de olabilir; diğerleri ise katkıda bulunacak bir şeyleri olmadığını düşünüp susmuş olabilir. Gerçekten iyi olanlar ise başka kattaki havalı yeni projelere ya da elit “refactoring team”e geçmiş, şablon güncelleme gibi işlere zaman ayırmamış olurdu.
    • Bunun tek bir kişi olduğunu varsaymaya gerek yok.
      Bir kişi metni yazmış, başka biri Jira biletinde kısmi değişiklikler istemiş olabilir. Ama veri tipi yazarın istediğiyle uyuşmamıştır; geliştirici de uğraşmak istemediği için olduğu gibi yayına almıştır.
      Ya da mesaj, birbirinden ayrı birkaç if ifadesinden oluşuyor ve müşteriye yalnızca nihai çıktı iletiliyor olabilir. Mesajın tamamını gören kimse olmadan, herkes kendi koşulunun içindeki küçük parçayı değiştirirse sık sık berbat log mesajları ortaya çıkar.
      Bir zamanlar belirli bir hatanın neden oluştuğunu çok ayrıntılı anlatan mesajlar üreten bir kodla uğraşmıştım; sonradan baktığımda bunların çoğunun müşteriye hiç iletilmediğini gördüm. Çünkü arkada biri += yerine değişkeni yeniden atamıştı. Sayısız destek talebi önlenebilirdi.
    • Dolandırıcıların çok zeki olduğu ve psikolojik zayıflıklarımızı hedef alan tüm teknikleri bilerek kullandığı da söylenir, ama bence %90’ında sadece “resmî gibi görünen” mesajlar yazmaları isteniyor.
      Bu şablonu yazan varsayımsal kişi de aynı şeyi yapmaya çalışmış, bu yüzden sonuç bu kadar benzer olmuş olabilir. “urgent” kullanması ya da “Duty”, “Taxes” sözcüklerini büyük harfle başlatması da daha ciddi ve resmî görünme çabasından çıkmış gibi; belli ki deneyimli bir yazar değilmiş.
    • “Beceriksizlik” kelimesi ilginç.
      Beceriksizlik ve kötülük hakkındaki eski özdeyiş ikisinden birini seçtirir, ama gerçekte ikisi arasında bir spektrum olduğunu ve bilinçli/bilinçsiz niyetleri açıklayan çeşitli boyutlar bulunduğunu düşünmek daha doğru.
      Birleşik Krallık’taki Post Office skandalına bakarsanız, beceriksizliğin üzerine kötülüğün, onun üzerine de yeniden beceriksizliğin yığıldığını görebilirsiniz. Bazı kuruluşlarda açıkça zararlı bir tutum “politika” olarak yazıya dökülebiliyor. Bu genellikle “PR” başlığı altına girer; gelecekte ise kötülüğü gizlemek ve denetimden kaçmak için “AI” daha çok kullanılacak.
      ITV dizisinin son bölümünde Alan Bates’i canlandıran Toby Jones’un beceriksizlik ve kötülük hakkında “ikisi aynı şeydir” dediği sahne çok çarpıcıydı. Bir noktadan sonra beceriksizlik ile kötülük arasındaki fark kaybolur. Daha derin psikolojik tartışmayı burada dinleyebilirsiniz: https://cybershow.uk/episodes.php?id=23
      İlgili kaynaklar: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, Edward Bernays’in halkla ilişkiler tanımı güvenliğin tam karşıtı olan aldatma, manipülasyon ve dezenformasyon ilkelerini ortaya koyar: https://en.wikipedia.org/wiki/Public_Relations_(book).
  • Benim FedEx deneyimimle de çok örtüşüyor. Paketi aldıktan 7 ay sonra fatura gönderdiler; birkaç gün sonra da ödeme için gerekli bilgileri bile içermeyen bir ihtar mektubu geldi.
    Ödenmemiş fatura kaybolmuş olabilir, ama gerekli bilgileri atlamak epey tembelce ve aptalca. www.fedex.com’a gidip hesap oluşturmamı söylediler, ben de oluşturdum; ama hesabım faturam hakkında hiçbir şey bilmiyordu.
    Tesadüfen asıl faturayı buldum; 7 ay gecikmeli gönderdikleri o faturada çok küçük harflerle “derhal ödeyin” yazıyordu. Bizim ülkede genelde 30 gün olduğu için bir faturada ilk kez gördüğüm bir ifadeydi. Tabii ödemeyi yaptıktan 10 gün sonra ikinci ihtar mektubunu da gönderdiler.

    • Bazı şirketlerde yaygın bir uygulama.
      Texas’ta ücretli yoldan geçerseniz, orada ödeme yapabileceğiniz gişeler yok; 6–12 ay sonra postayla “beşinci ve son uyarı” yazan bir fatura geliyor. 4 dolar geçiş ücreti ve 80 dolar gecikme ücreti ödemeniz isteniyor.
      Bunu işletenlerin arkasında Texas eyalet meclisinde arkadaşları ya da aileleri olduğuna eminim.
    • Bende de benzeri oldu; ilk duyduğum şey gümrük vergisi faturamın tahsilata devredildiğiydi.
      Borç tahsiliyle ilgili bir sürü korkutucu mesaj geldi, ama bunun bir FedEx paketiyle ilgili olduğu dışında hiçbir açıklama yoktu.
  • Pek çok şeyin dış bulut sağlayıcılarına outsource edilmesiyle ortaya çıkan gerçek bir sorun bu.
    Eskiden şirket intranetinden gelen şeyler sorun olmazdı. Şimdi anketler, eğitimler, yeni moda projeler hep kimliği belirsiz dış domain’lerden geliyor ve şirket kimlik bilgilerinizle giriş yapmanız isteniyor.
    Şirketimiz “sahte phishing” kampanyaları yürütüp phishing e-postalarını tanımayı oyunlaştırarak refleksleri canlı tutuyor; ama meşru şirket işleri için buna gerek olmamalı.

  • Bir yasa önerisi yapacak olursak: Bir şirketin elektronik bildirimi, makul bir kişinin meşruiyetinden şüphe etmesi için açık nedenler olacak kadar phishing gibi görünüyorsa, onu yok saymanın tüm mali ve hukuki sonuçlarını gönderen üstlenmeli.
    Burada “gönderen”, elektronik bildirimi gönderen taraf anlamına geliyor.

    • Yasada “makul” gibi ifadeleri tanımladığınız anda bataklığa girersiniz.
      Hukuk metinlerinde “makul” kelimesi her geçtiğinde, avukat ücretleri için 1 milyar dolardan fazla paranın ya çoktan harcandığını ya da ileride harcanacağını varsayabilirsiniz.
    • Ben de bu yüzden neredeyse zor durumda kalıyordum. Müşterisi olmadığım bir “banka”, sürekli “acil, kişisel bilgilerinizi yazıp bu formu yanıtlamazsanız hesabınızı kilitleyeceğiz” mesajları gönderiyordu; epey dolandırıcılık gibi görünüyordu.
      Sonradan aynı içerikte gerçek bir posta alınca bankayı aradım; önceki işverenimden gelen emeklilikle ilgili fonları tutan bir hesabım oradaymış.
    • Bu durumda sonuç, gelir vergisi toplayan Avustralya kamu kurumunun parasını alamaması.
      O zaman kurum paketi FedEx’e teslim etmez ve sonunda paketinizi alamazsınız. FedEx bu tür bildirimleri çok daha iyi yapmalı; en azından bir metin yazarı işe almalı.
    • Aslında sonuç zaten gönderene yansıyor. Uymazsanız, ülkeye ve ürün türüne bağlı olarak paket imha ediliyor ya da geri gönderiliyor.
      Vergileri önceden ödemenin kolay bir yolunun olmaması ve denetime takılıp takılmayacağınızın şansa kalması üzücü. EU’nun bu meseleyi toparlayıp tuhaf surprises’ları neredeyse ortadan kaldırması iyi oldu. United States ve United Kingdom tarafı hariç.
    • Yönetim muhtemelen aşırı tepki verip 100 aşamalı kimlik doğrulama getirecek ve Unicode sembolü zorunlu olan 30 karakterlik parolalar isteyecek.