1 poin oleh GN⁺ 2024-02-24 | 1 komentar | Bagikan ke WhatsApp
  • SMS pembayaran bea masuk dan pajak FedEx yang asli menunjukkan sinyal yang hampir sama dengan pesan phishing, sehingga dalam survei yang diikuti lebih dari 4.000 orang, 87% menilainya mencurigakan
  • Pesan tersebut berisi shipment number yang pendek, permintaan pembayaran mendesak, penggunaan huruf besar-kecil yang janggal, tidak adanya penanda mata uang, serta alamat pembayaran bpoint.com.au yang bukan milik FedEx
  • Di layar pelacakan pengiriman FedEx, informasi duty atau tax sulit ditemukan, dan pada tautan BPOINT, hanya dengan mengubah parameter URL, tracking number, customer name, dan amount bisa berubah
  • Jalur dukungan pelanggan dan panduan telepon juga membingungkan, tetapi dari lampiran email yang tiba 3 hari kemudian, invoice Prusa serta informasi pesanan, harga, dan pengiriman dapat dikonfirmasi, dan SMS tersebut cocok dengan permintaan yang sebenarnya
  • Kontrol teknis seperti pemblokiran SMS scam saja tidak cukup; jika pesan perusahaan yang sah menyerupai ciri khas phishing, standar penilaian pengguna akan runtuh

Situasi ketika notifikasi pengiriman asli terlihat seperti phishing

  • Belakangan banyak SMS phishing bertipe “paket tidak dapat dikirim” masuk, dan sebagian lolos dari filter operator hingga tiba di kotak masuk
  • Saat menilai apakah sesuatu phishing, kita biasanya memeriksa sinyal seperti urgensi, rasa takut akan kehilangan kesempatan, dan URL aneh yang tidak cocok dengan perusahaan pengiriman
  • Saat menunggu pengiriman FedEx yang sebenarnya, sebuah SMS yang meminta pembayaran duty dan taxes tiba, dan dari tampilannya saja sulit menentukan apakah itu permintaan asli atau phishing
  • Lebih dari 4.000 orang merespons survei di X, dan 87% menilainya “dodgy AF”

Sinyal mencurigakan di dalam SMS

  • Pesan tersebut memuat penulisan yang janggal dan string seperti -Exp, berbeda dari FedEx yang biasanya menulis FedEx dengan huruf E kapital
  • Shipment number terlihat terlalu pendek, dan sama dengan nomor yang muncul pada permintaan pembayaran di bawahnya
  • Ungkapan urgent berfungsi sebagai sinyal social engineering yang mendorong orang bertindak tanpa berpikir cukup lama
  • Penggunaan huruf besar-kecil pada Duty dan Taxes terasa janggal, dan meski ini pesan dari perusahaan pengiriman global, tidak ada mata uang maupun simbol dolar
  • Tautan pembayaran mengarah ke bpoint.com.au, bukan domain FedEx maupun domain pemerintah Australia
  • Cara menyediakan kontak pertanyaan di dalam SMS berlawanan dengan tren NAB yang menghapus tautan dari pesan teks

Proses yang sulit diverifikasi langsung

  • Saran dasar untuk permintaan pembayaran yang mencurigakan adalah jangan menekan tautan di pesan, tetapi buka langsung situs web terkait dan periksa dari sana
  • Dari email konfirmasi pembelian Prusa, informasi pengiriman dicari lalu situs web FedEx dibuka, tetapi pada halaman pelacakan pengiriman tidak ditemukan item terkait duty atau tax
  • Saat mengikuti tautan di SMS, tracking number, customer name, dan amount dapat diubah sesuka hati hanya dengan mengubah parameter URL
  • Keesokan harinya, SMS lain tiba dari pengirim yang sama
    • Kali ini shipping number disertakan dalam pesan, dan penggunaan huruf besar-kecil pada duty dan taxes sudah berubah menjadi normal
    • PAY NOW ditulis dengan huruf kapital, dan “tautan”-nya hanya berisi parameter query string tanpa scheme, domain, maupun path, sehingga tidak bisa diklik untuk melakukan pembayaran
    • Nama parameter query string juga semuanya berubah menjadi huruf kapital, sehingga tampak seperti ada prosedur pembuatan lain atau prosesnya rusak

Dukungan pelanggan dan konfirmasi akhir

  • Saat mencari nomor 1800, halaman nomor tersebut di Reverse Australia muncul di hasil teratas, dan komentar serta hasil pencarian secara umum menunjukkan kebingungan tentang keabsahan pesan itu
  • Alih-alih menggunakan nomor di dalam SMS, upaya verifikasi dilakukan melalui jalur Customer Support di situs web FedEx
  • Halaman dukungan pelanggan berfokus pada komunikasi email dan verifikasi domain pengirim, serta menampilkan nomor telepon yang berbeda dari nomor di SMS
  • Saat menelepon nomor yang tertera dan masuk ke menu duty dan taxes, setelah beberapa langkah input keypad tidak berfungsi dan pesan yang sama terus berulang
    • Sebagai alternatif, sistem menyarankan menelepon 132610, tetapi nomor itu adalah nomor yang pertama kali dihubungi
  • Setelah mencoba lagi melalui jalur menu lain, sistem meminta tracking number lalu memberikan informasi yang sama seperti situs web, serta menyediakan opsi untuk terhubung ke agen
  • Agen menjelaskan bahwa nilai barang kiriman adalah US$799 dan dikonversi menjadi AU$1,215.97, sehingga terkena inbound fees, tetapi berjanji akan menelepon kembali untuk memastikan apakah jumlahnya cocok dengan SMS
  • Tiga hari setelah SMS pertama, sebuah email tiba, dan jumlah, alamat BPOINT, serta pesannya cocok dengan SMS
  • Lampiran email berisi invoice Prusa lengkap beserta nomor pesanan, harga, dan informasi pengiriman, sehingga terkonfirmasi bahwa SMS tersebut terkait dengan permintaan yang sebenarnya

Pesan perusahaan yang melemahkan pertahanan terhadap phishing

  • Di Australia saja, kerugian akibat scam mencapai lebih dari AU$3B per tahun, dan dalam skala global masalahnya jauh lebih besar
  • ACMA menyatakan bahwa operator telekomunikasi telah memblokir 336 juta SMS scam, tetapi jumlah pesan scam yang tidak terblokir tidak diketahui
  • Karena kontrol teknis saja tidak cukup, manusia harus mengidentifikasi scam dari pola seperti permintaan uang, urgensi, tata bahasa dan kapitalisasi yang janggal, serta URL aneh
  • Dalam kasus ini, pesan FedEx yang sah justru memuat banyak pola identifikasi scam tersebut
  • Di masa ketika scam berbasis AI semakin sulit dikenali, jika pesan dari organisasi sah tidak dapat dibedakan dari scammer, standar penilaian pengguna akan melemah

1 komentar

 
GN⁺ 2024-02-24
Komentar Hacker News
  • FedEx termasuk salah satu perusahaan besar dengan platform digital terburuk dan keamanan paling longgar
    Saat saya pindah ke apartemen generasi ke-10 dan mengatur FedEx Delivery Manager, hanya dengan memasukkan alamat baru, tanpa verifikasi apa pun saya langsung bisa melihat instruksi pengiriman penyewa sebelumnya, termasuk kode garasi pribadi gedung. Pencuri pun bisa melakukan hal yang sama
    Setelah pindah lagi, saya mencoba menambahkan alamat baru, tetapi situsnya selalu error. Setelah menelusuri forum, dugaan bahwa jika kata sandi mengandung karakter khusus maka sebagian fungsi situs akan rusak permanen ternyata benar. Alur penggantian kata sandi pun ikut rusak, sehingga akhirnya istri saya harus membuat akun baru dengan kata sandi yang lebih lemah
    Perusahaannya sendiri memang mengesankan, tetapi ini benar-benar level amatir

    • Saya ragu apakah itu benar-benar perusahaan yang mengesankan. Tingkat keberhasilan pengiriman ke beberapa alamat saya sekitar 50%, dan saya juga kenal orang yang mengalami masalah jangka panjang serupa
    • Saya memesan komputer di Southern California, tetapi paketnya melewati Texas, Florida, Maine, lalu kembali ke Northern California
      Dua pesanan terakhir tampaknya dicuri begitu saja oleh seseorang di dalam FedEx; paket masuk ke fasilitas, tetapi setelah itu tidak pernah keluar lagi. Layanan pelanggan hanyalah mesin permintaan maaf di luar negeri dan tidak bisa menyelesaikan apa pun. Dulu saya lebih suka FedEx, tetapi kualitas layanannya sudah turun begitu rendah sampai saya sengaja menghindarinya
    • Ada juga kejadian yang lebih parah. Saya membuat akun pengiriman untuk mendapatkan perlengkapan pengiriman gratis FedEx, tetapi karena masalah kata sandi di situs web, saya tidak bisa membuat akun, dan sepertinya saya mengakalinya lewat aplikasi seluler yang memakai alur berbeda
      Begitu akun dibuat, saya langsung mendapat tagihan pengiriman internasional senilai ribuan dolar dari pengirim dan penerima yang sama sekali tidak ada hubungannya dengan saya, bahkan kartu kredit yang terdaftar ikut ditagih otomatis. Saat saya menghapus kartu itu, tagihan kertas FedEx yang tebal mulai datang lewat pos
      Ternyata FedEx membiarkan siapa pun menagihkan biaya ke akun mana pun hanya dengan mengetahui nomor akun 9 digit, sehingga para penipu sering membuat nomor acak dan melakukan hal seperti ini. FedEx tidak peduli, menolak laporan penipuan, dan bahkan setelah dilaporkan tetap mengizinkan pengiriman penipuan tambahan. Pada akhirnya, baru setelah saya mengajukan chargeback ke penerbit kartu, mereka menutup akun, tetapi email pemasaran yang sekarang tidak bisa dihentikan terus berdatangan. Ini perusahaan yang tidak seharusnya dipakai siapa pun
    • Spectrum juga tidak kalah parah. Beberapa tahun lalu, tetangga yang baru pindah salah ketik alamat saya saat mengajukan akun baru, lalu Spectrum dengan baik hati menyimpulkan bahwa penghuni sebelumnya ingin menutup akun dan memutus internet saya
      Artinya, hanya dengan mengetahui alamat, siapa pun di internet bisa melakukan serangan denial-of-service terhadap siapa pun di Bumi
    • Beberapa tahun lalu saya membeli OP-1 dari teenage engineering, tetapi FedEx mengirimkannya ke dalam kotak surat. USPS mengambil paket FedEx itu dari kotak surat dan menahannya di kantor pos setempat, tanpa memberi tahu saya sama sekali
      Selama 1–2 bulan saya menunggu sambil mengira paketnya dicuri, lalu saya bertanya ke USPS apakah mungkin mereka menyimpannya. Ternyata paket itu memang ada di “ruang surat tak terkirim”, dan saya mendapat ceramah panjang bahwa FedEx memasukkan paket ke kotak surat milik USPS/pemerintah itu ilegal
      Saya menelepon FedEx untuk meminta penyelesaian, tetapi seingat saya mereka tidak mengangkat telepon atau mengatakan tidak ada cara untuk menghubungi kurirnya. Sejak itu saya menghindari FedEx, dan setelah UPS merusak dua lampu antik yang saya beli di eBay, saya juga jadi menghindari UPS
  • Ketika istri saya mengajukan pinjaman kredit beragunan rumah, seseorang yang mengaku dari bank menelepon dan mengatakan bahwa karena rumah itu atas nama bersama, ia perlu memastikan apakah saya menyetujui pinjaman tersebut.
    Ia menanyakan nama saya, jadi saya memberikannya, lalu saya juga memberikan empat digit terakhir nomor Social Security saya. Namun begitu ia langsung meminta nomor Social Security lengkap, lampu peringatan saya menyala. Saya mendadak merasa khawatir karena sudah memberikan bahkan empat digit terakhir kepada orang asing yang tiba-tiba menelepon, lalu saya menelepon kembali ke nomor yang ada di situs web bank dan bertanya apakah mereka bisa memastikan bahwa orang itu benar-benar pegawai bank.
    Ia kesal dan mengatakan bahwa sepertinya tidak ada nomor di situs web yang bisa menghubungkan ke dirinya, dan kalau saya tidak memberikan nomor Social Security lengkap, ia terpaksa menolak pengajuan pinjaman itu. Ketika saya mengatakan tidak bisa memberikan informasi jika tidak ada cara untuk menghubunginya kembali melalui nomor resmi bank, ia marah lalu menutup telepon.
    Ternyata ia memang pegawai bank sungguhan, dan benar-benar membatalkan pengajuan pinjaman tersebut.

    • Saya pernah ditelepon bank untuk menjawab pertanyaan keamanan. Ketika saya bilang akan menelepon kembali ke nomor di situs web bank, mereka mengatakan kalau saya menelepon bank, tidak ada cara untuk disambungkan ke petugas pertanyaan keamanan, dan satu-satunya cara adalah mereka yang menelepon saya.
      Ketika saya benar-benar menelepon nomor resmi, pihak bank juga mengonfirmasi hal itu. Saya menjelaskan bahwa itu praktik keamanan yang buruk, tetapi mereka bilang cukup lihat nomor penelepon untuk memastikan apakah panggilan itu dari bank. Menjelaskan soal pemalsuan nomor penelepon sama sekali tidak ada gunanya.
    • Jika usia Anda sudah cukup tua, berhati-hatilah, karena empat digit terakhir nomor Social Security pada dasarnya bisa menjadi sebagian besar entropi yang berguna.
      Sebelum 2011, tiga digit pertama menunjukkan kantor penerbit, dan dua digit di tengah, yaitu “nomor grup”, digunakan menurut urutan yang diketahui publik. Social Security Administration juga secara berkala menerbitkan daftar nomor grup tertinggi yang telah dicapai setiap kantor.
      Dengan perubahan undang-undang pajak pada 1986, nomor Social Security anak menjadi diperlukan untuk mendapatkan kredit pajak anak, sehingga pendaftaran saat lahir menjadi umum; untuk orang-orang seperti ini, lima digit pertama sangat mudah diprediksi.
    • Ini hanyalah petugas pinjaman yang sangat tidak kompeten dan kasar. Biasanya petugas pinjaman menerima komisi, jadi mereka punya dorongan kuat untuk menuntaskan transaksi dan menuliskan cek.
      Mereka biasanya ramah, karena membuat pelanggan marah tidak akan menghasilkan komisi yang manis. Petugas pinjaman terakhir yang saya ajak bicara menutup lebih dari 1 miliar dolar kredit pemilikan rumah per tahun, dan sangat ramah bahkan lewat telepon.
      Dalam kasus seperti ini, mereka seharusnya bisa mengirim email dari alamat email resmi bank, atau menggunakan web app maupun sistem pesan milik bank sendiri.
    • Saya pernah mengalami hal serupa. Saya mentransfer jumlah yang cukup besar dari satu rekening bank ke rekening bank lain, lalu beberapa menit kemudian mendapat telepon dari nomor yang tampak seperti nomor “pencegahan penipuan” bank penerima.
      Ketika saya menjawab, lawan bicara memiliki aksen yang sangat kuat seperti yang sering terdengar pada panggilan penipuan, lalu bertanya apakah saya baru saja melakukan transaksi, dan mengatakan bahwa untuk mengonfirmasi transaksi ini saya harus memberikan informasi pribadi tambahan seperti alamat rumah dan nomor Social Security. Ketika saya menolak, ia bilang rekening saya akan dikunci.
      Rekening saya benar-benar dikunci, dan saya harus datang langsung ke cabang untuk membukanya, serta harus membuktikan bahwa uang yang hendak saya transfer memang benar-benar ada di rekening lain. Sama sekali tidak masuk akal. Itu bukan rekening baru, dan saya juga pernah melakukan transfer di antara kedua rekening itu sebelumnya; saya tidak tahu penipuan macam apa yang sebenarnya mereka coba cegah.
    • Dalam ketentuan bank saya tertulis bahwa informasi rahasia seperti PIN atau kata sandi sekali pakai tidak boleh diberikan kepada pihak ketiga, bahkan kepada pegawai bank sekalipun.
      Namun ketika saya menanyakan praktik yang tampak seperti phishing, mereka bilang tidak apa-apa karena itu situs web “legal” yang meminta kredensial untuk melihat riwayat transaksi 180 hari terakhir, menghitung skor kredit, lalu menarik uang. Mereka juga bilang akan meninjau situasinya bersama perusahaan Jerman dan melihat apakah ada solusi yang lebih baik.
      Penyedia pembayaran bernama klara atau klarna tampaknya cukup populer di Jerman, tetapi saya tidak mengerti bagaimana bank bisa mengubah ketentuan terkait keamanan secara sepihak. Tentu saja, jika Anda memberikan informasi rahasia kepada orang yang salah, itu salah Anda, dan bank juga mungkin tidak akan peduli jika nomor Social Security Anda jatuh ke tangan penipu.
  • Beberapa bulan lalu, email yang saya terima dari pusat TI perusahaan terlihat lebih mencurigakan daripada email phishing mana pun yang pernah saya terima
    Email itu datang dari domain umum seperti @itservice.com yang sama sekali tidak mirip dengan domain resmi perusahaan, dan subjeknya “URGENT: your account is expiring soon”. Di badan email ada beberapa tautan, semuanya sulit dibaca dan panjang sampai beberapa baris, dan tidak ada satu pun domain yang langsung terkait dengan perusahaan
    Tidak ada cara penyelesaian selain mengeklik tautan, juga tidak ada alternatif seperti “buka pengaturan akun” atau “hubungi atasan langsung”. Tapi ternyata itu email sungguhan. Sebagai catatan, ini perusahaan dengan sekitar 100 ribu karyawan

    • TI kami juga melakukan hal yang sama untuk kata sandi m365 yang akan kedaluwarsa. Mereka tidak memakai domain perusahaan, ada banyak salah ketik, dan URL-nya disamarkan lewat pemendek tautan yang aneh
      Tim yang sama memaksa perubahan kata sandi setiap 6 bulan dan juga melarang penggunaan ulang 20 kata sandi terakhir. Ini kata sandi yang harus diketik manual 10–20 kali sehari ke sistem yang tidak bisa memanggil pengelola kata sandi secara langsung. Sudah jelas seperti apa rata-rata kekuatan kata sandi karyawan
      Menurut saya, ketidakmampuan TI seharusnya berujung pada kegagalan audit, dan lebih bagus lagi menjadi alasan delisting
    • Bank juga melakukan hal seperti ini. Beberapa menit setelah membeli sesuatu, saya menerima email yang terlihat seolah-olah dari bank dan sangat mirip penipuan. Ada GIF berkualitas rendah, meminta saya mengeklik tautan ke situs web acak non-bank seperti purchase-verification-users.net/235532/confirm.html, dan situs itu tidak muncul saat dicari
      Pada saat yang sama, ada telepon dari nomor acak yang ingin mengonfirmasi beberapa detail pembelian, dan setelah saya cek, nomor itu bukan nomor yang ada di situs web bank saya
      Saya menutup telepon lalu menelepon bank langsung. Setelah 10 menit tersesat di mesin penjawab otomatis, petugas memastikan bahwa nomor itu memang nomor yang mereka pakai untuk menghubungi nasabah. Ketika saya bertanya kenapa nomor itu tidak ada di daftar nomor yang dipasang di situs web, mereka bilang mereka sering menelepon dari nomor yang tidak dipublikasikan online
      Ketika saya bertanya apakah email itu dikirim oleh bank, mereka bilang kalau baris pengirimnya tertulis bank, boleh diklik, tetapi mereka tidak punya informasi apakah email itu benar-benar mereka kirim. Intinya, kalau baris pengirimnya bukan bank jangan ditekan, kalau bank boleh ditekan
    • Untuk perusahaan sebesar itu, seharusnya pusat TI menekan tombol “Report Phishing attempt” yang mereka pasang di klien email
      Memang ini agak sarkastis, tetapi kalau perusahaan sebesar itu bahkan tidak punya sarana pelaporan phishing, itu masalah yang lebih serius daripada kampanye email mencurigakan
    • Pelatihan keamanan perusahaan mengajarkan agar kita memeriksa URL dalam email yang diterima dengan cermat, tetapi perangkat lunak keamanan perusahaan menulis ulang semua URL di email masuk
      Mungkin kalau tujuannya pemeriksaan terpusat, itu kompromi yang cukup masuk akal, tetapi hal ini sangat menurunkan kemampuan saya menilai keabsahan sebuah email. Setidaknya materi pelatihannya perlu diperbarui
    • Perusahaan kami bergerak di hosting dan PaaS, dan seseorang yang baru pertama kali saya lihat di messenger internal meminta saya “tolong” menjalankan beberapa perintah sebagai root dan mengirimkan hasilnya
      Awalnya saya kaget dan melakukan pemeriksaan keamanan informasi, tetapi ternyata itu seorang “karyawan baru” yang harus mengumpulkan informasi sistem untuk inventaris perangkat. Ia belum punya akses ke alat manajemen jaringan, dan karena tidak begitu paham mengapa menjalankan curl ... | sh secara sembarangan itu tidak baik, ia mengira tidak apa-apa kalau meminta informasi sepotong-sepotong langsung dari orang-orang
      Hal seperti ini benar-benar terjadi
  • Hari ini saya melihat posting Reddit bahwa sebuah bank Jerman mengirim USB flash drive berisi syarat dan ketentuan baru lewat pos: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
    Ini sudah di level yang tidak bisa dikarang-karang

    • Saya suka komentarnya: “Saya bekerja sebagai penanggung jawab eksternal CyberCyberCyber di suatu organisasi dalam grup Sparkassen, dan saya bisa menjamin bahwa tidak ada seorang pun yang sedikit saja terkait dengan keamanan informasi bank pernah mendengar ide pemasaran ini”
    • Saya memilih menolak percaya bahwa ini nyata. Sebagai mekanisme pertahanan psikologis
    • Hukum UE mensyaratkan dokumen seperti ini disampaikan melalui “media yang tahan lama
      Tampaknya beberapa bank atau lembaga keuangan menafsirkannya dengan aneh. Padahal di tempat lain lampiran email pun tampaknya sudah cukup
    • Menurut terjemahan ChatGPT, isi USB itu adalah “syarat dan ketentuan, daftar harga dan layanan, ketentuan”, dan merupakan pemberitahuan dari Sparkasse Bremen AG bahwa “daftar harga dan layanan, syarat dan ketentuan, serta ketentuan tambahan yang berlaku mulai 1 Mei 2024 dapat dilihat di USB flash drive”
    • Sebagian bank Jerman juga membuat layanan penyimpanan berbayar dengan beberapa paket tarif
      Mereka punya kewajiban menyampaikan dokumen kepada nasabah, tetapi manajemen tampaknya menangkap persyaratan itu secara aneh, dan solusi serta ide paling konyol dijual kepada mereka
  • Beberapa bulan setelah membeli mobil, saya menerima email yang mengatakan bahwa saya belum membuktikan kepemilikan asuransi, jadi saya harus mengunjungi domain yang bukan milik bank dan menyerahkan buktinya
    Email itu terlihat seperti kop surat yang dipindai secara asal-asalan dan benar-benar mencurigakan. Setelah menerimanya beberapa kali, akhirnya saya menghubungi bank dan ternyata itu sungguhan
    Saya mencoba menjelaskan kepada petugas yang punya meja sendiri, bukan teller, mengapa situasi ini buruk, tetapi ia tidak mengerti. Tak lama kemudian saya melunasi pinjaman itu dan meninggalkan bank tersebut

    • Saya pernah mengalami hal serupa pada KPR. Saya menerima surat dengan redaksi aneh yang meminta saya membuka suatu situs untuk memperbarui atau mengonfirmasi informasi asuransi rumah
      Saya menelepon broker asuransi, dan ternyata permintaan itu memang benar. Saya menjelaskan bahwa dari segala macam sinyal peringatan, surat ini hanya terpaut beberapa langkah dari penipuan pangeran Nigeria, tetapi sepertinya tidak ada perubahan besar
  • Tulisannya sendiri sangat bagus, tetapi SMS pertama begitu mengerikan sampai-sampai FedEx mungkin lebih baik memberi tahu penerimanya untuk mentransfer bea masuk ke pangeran Nigeria.
    Namun, saya tidak sepenuhnya setuju dengan arah rekomendasi Troy Hunt. Premis dasarnya seharusnya bahwa manusia pada umumnya tidak bisa membedakan pesan asli dan pesan phishing. Karena AI, ke depannya ini akan makin benar, dan bergantung pada pembedaan ciri-ciri semacam itu adalah cacat fatal.
    Sebagai gantinya, jangan pernah mengandalkan tautan eksternal atau nomor telepon di dalam pesan yang diterima. Anda harus mencari sendiri alamat atau nomor teleponnya lalu login ke layanan tersebut. Tutup, cari, lalu telepon lagi harus menjadi semboyan mutlak.
    Organisasi yang bertanggung jawab seharusnya menyatakan bahwa mereka tidak akan pernah memasukkan tautan atau nomor telepon dalam SMS, email, atau panggilan, dan dalam pesan notifikasi cukup menulis sesuatu seperti “Untuk detail selengkapnya, silakan login ke dasbor Anda.”

    • Sepertinya bukan itu yang disarankan Troy Hunt. Sejak awal tulisannya, dengan lelucon “tapi saya manusia pintar jadi tidak akan tertipu”, ia meminta kita membaca mengapa manusia lemah terhadap URL.
      Jelas ia memandang pembedaan URL penipuan lewat heuristik bukan pendekatan yang dapat diskalakan dalam jangka panjang.
    • Pernyataan “karena AI akan makin begitu” sebenarnya sudah sampai titik hampir tidak ada ruang lagi untuk menjadi lebih buruk.
      Manusia sudah gagal sekitar 95% dalam mengidentifikasi phishing. Orang juga sudah bisa mereplikasi email, situs web, SMS, dan sebagainya secara akurat, jadi AI tidak diperlukan.
    • Ini pembatasan yang lebih besar daripada yang diperlukan, dan tidak ramah bagi pengguna yang kurang akrab dengan teknologi, sedang terdistraksi, sedang sakit hari itu, atau memang agak lamban.
      Masukkan saja tautan, tetapi pastikan berada di domain inti, pendek, dan mudah terlihat: https://example.com/contact
      Jika pengguna belum login, tampilkan dulu alur login yang menjelaskan, “Jika Anda menerima pesan dari kami, silakan login untuk melihat detailnya,” lalu sertakan juga formulir kontak, nomor telepon, dan chat dukungan pelanggan jika ada.
      Situs phishing juga bisa meniru sampai batas tertentu, tetapi itu bukan alasan untuk memaksa pengguna mencari sendiri cara menyelesaikan masalah.
    • Tidak perlu khawatir. Menurut beberapa hakim dan pejabat terpilih, kita cukup bertanya kepada ChatGPT apakah SMS yang mencurigakan itu dibuat oleh AI.
  • Ini memang hasil ketidakcakapan organisasi, tetapi pada suatu titik pasti ada satu orang yang memasukkan isi templat SMS bermasalah itu ke suatu sistem komputer.
    Saya benar-benar penasaran apa yang orang itu pikirkan sampai merangkai kata-kata seperti ini. Untuk membuatnya lebih buruk, rasanya harus benar-benar berusaha.

    • “Kata-kata” itu mungkin merupakan templat bertingkat, sehingga pada tahap input sulit memahami seperti apa hasil akhirnya nanti.
      Di bidang teknologi, ada banyak orang yang berniat baik tetapi mengerjakan sesuatu yang sedikit terlalu rumit untuk dikerjakan sendirian, tanpa rekan atau peninjau. Di perusahaan besar, bahkan ada tim dan departemen penuh yang berada dalam kondisi seperti ini.
      Orang itu mungkin tidak sepenuhnya tidak kompeten dan bisa saja merupakan engineer bintang di timnya, sementara yang lain memilih diam karena merasa tidak punya kontribusi. Orang-orang yang benar-benar hebat kemungkinan sudah pindah ke proyek baru yang keren di lantai lain atau ke “tim refactoring” elite, dan tidak menghabiskan waktu untuk pekerjaan seperti memperbarui templat.
    • Tidak perlu berasumsi bahwa itu dilakukan oleh satu orang.
      Satu orang mungkin menulis teksnya, lalu orang lain meminta perubahan parsial lewat tiket Jira. Namun tipe datanya tidak cocok dengan yang diminta penulis, dan developer tidak mau repot menanganinya sehingga langsung merilisnya.
      Atau pesannya mungkin tersusun dari beberapa pernyataan if yang terpisah, dan hanya keluaran akhirnya yang dikirim ke pelanggan. Jika tidak ada orang yang melihat pesan secara keseluruhan, dan masing-masing hanya memperbaiki bagian kecil di dalam kondisi mereka sendiri, pesan log yang mengerikan sering muncul.
      Dulu saya pernah menangani kode yang menghasilkan pesan sangat detail tentang mengapa suatu error terjadi, tetapi belakangan ternyata sebagian besar tidak pernah sampai ke pelanggan. Penyebabnya, seseorang di bagian belakang menetapkan ulang variabel alih-alih memakai +=. Padahal itu bisa menghindarkan banyak sekali tiket dukungan.
    • Ada juga yang mengatakan bahwa para penipu sangat pintar dan sengaja memakai semua teknik yang menusuk kelemahan psikologis kita, tetapi 90% rasanya mereka hanya diminta menulis pesan yang “terdengar resmi”.
      Orang hipotetis yang menulis templat ini mungkin berusaha melakukan hal yang sama, sehingga hasilnya menjadi begitu mirip. Pemakaian “urgent” atau huruf kapital di awal “Duty” dan “Taxes” tampaknya juga lahir dari upaya agar terlihat lebih formal dan resmi, dan jelas penulisnya bukan orang yang terampil.
    • Kata “ketidakcakapan” menarik.
      Pepatah lama tentang ketidakcakapan dan niat jahat meminta kita memilih salah satu, tetapi sebenarnya lebih tepat melihatnya sebagai spektrum di antara keduanya, dengan berbagai dimensi yang menjelaskan niat sadar maupun tidak sadar.
      Jika melihat skandal Post Office di Inggris, kita bisa melihat niat jahat bertumpuk di atas ketidakcakapan, lalu ketidakcakapan lagi di atasnya. Di beberapa organisasi, posisi yang jelas-jelas merugikan bahkan ditulis sebagai “kebijakan”. Sering kali ini masuk di bawah “PR”, dan ke depan “AI” akan makin banyak digunakan untuk menyembunyikan niat jahat dan menghindari peninjauan.
      Adegan dalam episode terakhir drama ITV ketika Toby Jones, yang memerankan Alan Bates, berkata tentang ketidakcakapan dan kejahatan bahwa “keduanya adalah hal yang sama” terasa kuat. Pada titik tertentu, perbedaan antara ketidakcakapan dan kejahatan menghilang. Pembahasan psikologis yang lebih mendalam bisa didengar di sini: https://cybershow.uk/episodes.php?id=23
      Materi terkait: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, definisi hubungan masyarakat Edward Bernays menyajikan kredo penipuan, manipulasi, dan disinformasi yang bertolak belakang dengan keamanan: https://en.wikipedia.org/wiki/Public_Relations_(book)
  • Ini juga sangat sesuai dengan pengalaman saya dengan FedEx. Mereka mengirim tagihan 7 bulan setelah paket diterima, lalu beberapa hari kemudian datang surat peringatan tanpa informasi yang diperlukan untuk membayar
    Tagihan yang belum dibayar bisa saja hilang, tetapi menghilangkan informasi yang diperlukan itu cukup malas dan bodoh. Mereka menyuruh saya membuka www.fedex.com dan membuat akun, jadi saya membuatnya, tetapi akun itu sama sekali tidak tahu apa pun tentang tagihan saya
    Secara kebetulan saya menemukan tagihan aslinya, dan pada tagihan yang dikirim terlambat 7 bulan itu tertulis “bayar segera” dengan huruf yang sangat kecil. Di negara kami biasanya 30 hari, jadi itu pertama kalinya saya melihat ungkapan seperti itu di tagihan. Tentu saja, 10 hari setelah saya membayar, mereka juga mengirim surat peringatan kedua

    • Ini praktik umum di sebagian perusahaan
      Jika Anda berkendara di jalan tol berbayar di Texas, tidak ada gerbang tol di lokasi untuk membayar, lalu 6–12 bulan kemudian Anda menerima tagihan lewat pos yang berbunyi “peringatan kelima dan terakhir”. Isinya kira-kira meminta Anda membayar tarif tol 4 dolar dan denda keterlambatan 80 dolar
      Saya yakin orang-orang yang mengoperasikan ini punya teman atau keluarga di badan legislatif Texas
    • Saya juga mengalami hal serupa; kabar pertama yang saya dengar adalah tagihan bea masuk saya sudah dialihkan ke penagihan utang
      Banyak sekali pesan menakutkan tentang penagihan utang, tetapi tidak ada penjelasan apa pun selain bahwa itu terkait paket FedEx
  • Ini masalah nyata yang muncul karena banyak hal dialihdayakan ke penyedia cloud eksternal
    Dulu, kalau sesuatu datang dari intranet perusahaan, itu aman. Sekarang survei, pelatihan, dan proyek tren baru semuanya datang dari domain eksternal yang tidak jelas, lalu meminta kita login dengan kredensial perusahaan
    Perusahaan kami menjalankan kampanye “phishing palsu” untuk membuat pengenalan email phishing seperti permainan dan menjaga kewaspadaan, tetapi pekerjaan perusahaan yang sah seharusnya tidak perlu seperti ini

  • Kalau mengusulkan undang-undang, jika notifikasi elektronik dari perusahaan terlihat seperti phishing sampai-sampai ada alasan jelas bagi orang yang wajar untuk meragukan keabsahannya, maka semua konsekuensi finansial dan hukum akibat mengabaikannya harus ditanggung pengirim
    Di sini “pengirim” berarti pihak yang mengirim notifikasi elektronik tersebut

    • Begitu undang-undang mulai mendefinisikan istilah seperti “wajar”, itu langsung menjadi rawa
      Setiap kali kata “wajar” muncul sekali dalam undang-undang, anggap saja lebih dari 1 miliar dolar sudah atau akan dihabiskan untuk biaya pengacara
    • Saya juga nyaris kena masalah karena hal itu. Sebuah “bank” yang bukan nasabah saya terus mengirim pesan, “mendesak, isi data pribadi dan balas formulir ini atau akun Anda akan kami kunci,” dan itu tampak sangat seperti penipuan
      Belakangan saya menerima surat fisik dengan isi yang sama dan menelepon bank itu; ternyata ada rekening di sana yang menyimpan dana terkait pensiun dari mantan pemberi kerja saya
    • Dalam kasus ini, akibatnya adalah badan pemerintah Australia yang memungut pajak penghasilan tidak menerima uang
      Maka badan itu tidak akan menyerahkan paket kepada FedEx, dan akhirnya Anda tidak menerima paket. FedEx harus membuat notifikasi seperti ini jauh lebih baik, setidaknya mempekerjakan copywriter
    • Sebenarnya akibatnya sudah ada pada pengirim. Jika tidak dipatuhi, tergantung negara dan jenis barang, paket akan dimusnahkan atau dikembalikan
      Sayangnya tidak ada cara mudah untuk membayar pajak di muka, dan apakah terkena pemeriksaan diserahkan pada keberuntungan. Untungnya EU sudah merapikan masalah ini sehingga hampir tidak ada kejutan aneh lagi. Kecuali untuk United States dan United Kingdom
    • Manajemen sepertinya akan bereaksi berlebihan dengan menerapkan autentikasi 100 langkah dan mewajibkan kata sandi 30 karakter yang harus memakai simbol Unicode