1 pontos por GN⁺ 2024-02-24 | 1 comentários | Compartilhar no WhatsApp
  • Um SMS real de cobrança de tarifas alfandegárias e impostos da FedEx exibia praticamente os mesmos sinais de uma mensagem de phishing, e em uma enquete com mais de 4.000 participantes, 87% consideraram a mensagem suspeita
  • A mensagem incluía um shipment number curto, pedido urgente de pagamento, uso estranho de maiúsculas e minúsculas, ausência de indicação de moeda e um endereço de pagamento bpoint.com.au, não da FedEx
  • Na tela de rastreamento de entregas da FedEx, era difícil confirmar informações sobre duty ou tax, e no link da BPOINT bastava alterar parâmetros da URL para mudar tracking number, customer name e amount
  • Os canais de suporte e o atendimento por telefone também geraram confusão, mas um anexo de e-mail recebido 3 dias depois confirmou fatura da Prusa e dados de pedido, preço e envio, mostrando que o SMS correspondia a uma solicitação real
  • Controles técnicos como bloqueio de SMS de golpe não bastam; quando mensagens de empresas legítimas se parecem com características típicas de phishing, o critério de julgamento do usuário se desfaz

Quando um aviso de entrega real parece phishing

  • Recentemente chegaram muitas tentativas de phishing por SMS do tipo “não foi possível entregar seu pacote”, e elas passaram pelos filtros da operadora até a caixa de entrada
  • Ao avaliar se algo é phishing, costuma-se observar sinais como urgência, medo de perder algo e URLs estranhas que não combinam com a transportadora
  • Enquanto aguardava uma entrega real da FedEx, chegou um SMS pedindo pagamento de duty e taxes, e só pela aparência era difícil decidir se era uma solicitação legítima ou phishing
  • Mais de 4.000 pessoas responderam a uma enquete no X, e 87% julgaram a mensagem “dodgy AF”

Sinais suspeitos presentes no SMS

  • A mensagem trazia uma grafia estranha e uma sequência como -Exp, diferente do padrão da FedEx, que normalmente escreve FedEx com E maiúsculo
  • O shipment number parecia curto demais e era o mesmo número mostrado no pedido de pagamento abaixo
  • A palavra urgent funcionava como um sinal de engenharia social, levando a pessoa a agir sem pensar o suficiente
  • O uso de maiúsculas e minúsculas em Duty e Taxes era estranho, e apesar de ser uma mensagem de uma transportadora global, não havia moeda nem símbolo de dólar
  • O link de pagamento não usava nem um domínio da FedEx nem um domínio do governo australiano, mas sim bpoint.com.au
  • Oferecer um contato de atendimento dentro do próprio SMS ia na direção oposta ao movimento do NAB de remover links de mensagens de texto

Um processo difícil até para verificar manualmente

  • O conselho básico para pedidos de pagamento suspeitos é não clicar no link da mensagem e acessar diretamente o site correspondente para conferir
  • A partir do e-mail de confirmação de compra da Prusa, foi possível localizar os dados de envio e abrir o site da FedEx, mas a página de rastreamento não mostrava nenhum item relacionado a duty ou tax
  • Ao seguir o link do SMS, era possível alterar arbitrariamente tracking number, customer name e amount apenas mudando parâmetros da URL
    • Isso podia ser feito só alterando parâmetros da query string, sem modificar o DOM do navegador nem interceptar tráfego
    • O comportamento parecia o de um site de phishing, mas a BPOINT era um gateway de pagamento da Commonwealth Bank
  • No dia seguinte, chegou outro SMS do mesmo remetente
    • Desta vez, o shipping number estava incluído na mensagem, e o uso de maiúsculas e minúsculas em duty e taxes havia sido corrigido
    • PAY NOW aparecia em maiúsculas, e o “link” continha apenas parâmetros de query string, sem scheme, domain ou path, então não era possível clicar para pagar
    • Os nomes dos parâmetros da query string também passaram a ficar todos em maiúsculas, dando a impressão de outro processo de geração ou de um fluxo quebrado

Suporte ao cliente e confirmação final

  • Ao pesquisar o número 1800, a página correspondente no Reverse Australia apareceu entre os primeiros resultados, e os comentários e resultados de busca em geral mostravam confusão sobre a legitimidade da mensagem
  • Em vez de usar o número presente no SMS, a verificação foi tentada pelo caminho de Customer Support no site da FedEx
  • A página de suporte focava em comunicação por e-mail e verificação do domínio do remetente, e informava um telefone diferente do número presente no SMS
  • Ao ligar para o número indicado e entrar no menu de duty e taxes, depois de algumas etapas a entrada pelo teclado não funcionava, e a mesma mensagem se repetia
    • Como alternativa, foi orientado ligar para 132610, mas esse era o mesmo número para o qual a ligação já havia sido feita
  • Tentando novamente por outro caminho no menu, o sistema pediu o tracking number, informou os mesmos dados do site e ofereceu a opção de falar com um atendente
  • O atendente explicou que o valor da remessa era de US$799 e havia sido convertido para AU$1.215,97, enquadrando-se em inbound fees, mas prometeu retornar para confirmar se batia com o valor do SMS
  • Três dias após o primeiro SMS, chegou um e-mail, e o valor, o endereço da BPOINT e a mensagem coincidiam com o SMS
  • O anexo do e-mail trazia a fatura completa da Prusa, além de número do pedido, preço e informações de envio, confirmando que o SMS estava ligado a uma solicitação real

Mensagens corporativas que enfraquecem a defesa contra phishing

  • Só na Austrália, as perdas anuais com golpes passam de AU$3B, e em escala global o problema é ainda maior
  • A ACMA informou que as operadoras bloquearam 336 milhões de SMS de golpe, mas não se sabe quantas mensagens de golpe não foram bloqueadas
  • Como controles técnicos sozinhos não bastam, as pessoas precisam identificar golpes por padrões como pedido de dinheiro, urgência, gramática e uso de maiúsculas/minúsculas estranhos e URLs suspeitas
  • Neste caso, uma mensagem legítima da FedEx continha justamente vários desses padrões de identificação de golpe
  • Em um momento em que golpes com IA ficam cada vez mais difíceis de detectar, se as mensagens de organizações legítimas não se distinguem das de golpistas, o critério de julgamento do usuário fica enfraquecido

1 comentários

 
GN⁺ 2024-02-24
Comentários do Hacker News
  • A FedEx está entre as grandes empresas com a pior plataforma digital e uma das seguranças mais frouxas
    Quando me mudei para um prédio relativamente novo e configurei o FedEx Delivery Manager, bastou inserir o novo endereço para que, sem qualquer verificação, aparecessem imediatamente as instruções de entrega do antigo morador, incluindo até o código da garagem privativa do prédio. Um ladrão poderia ter feito exatamente a mesma coisa
    Depois que me mudei de novo, tentei adicionar o novo endereço, mas o site dava erro toda vez, e ao fuçar os fóruns descobri que provavelmente era verdade a hipótese de que, se a senha tiver caracteres especiais, algumas funções do site quebram permanentemente. Até o fluxo de troca de senha estava quebrado, então no fim minha esposa teve que criar uma conta nova com uma senha mais fraca
    A empresa em si é impressionante, mas isso aí é realmente nível amador

    • Não sei se é uma empresa tão impressionante assim. Minha taxa de sucesso de entregas em vários endereços foi de cerca de 50%, e conheço outras pessoas com problemas parecidos de longa data
    • Pedi um computador no sul da Califórnia, e ele passou por Texas, Flórida e Maine antes de voltar para o norte da Califórnia
      Nos dois pedidos mais recentes, parece que alguém dentro da FedEx simplesmente roubou os pacotes; eles entraram na instalação e depois nunca mais saíram. O atendimento ao cliente é só uma máquina de pedir desculpas no exterior e não resolve nada. Antes eu preferia a FedEx, mas o nível do serviço caiu tanto que hoje faço questão de evitar
    • Houve coisa ainda pior. Criei uma conta de envio da FedEx para receber suprimentos gratuitos de remessa, mas por causa do problema de senha no site eu não conseguia criar a conta, então acho que acabei contornando isso pelo app móvel, que provavelmente usa outro fluxo
      Assim que a conta foi criada, começaram a chegar cobranças de remessas internacionais de milhares de dólares entre remetentes e destinatários sem qualquer relação comigo, e ainda eram debitadas automaticamente do cartão de crédito cadastrado. Quando removi o cartão, começaram a chegar pelo correio aquelas faturas grossas em papel da FedEx
      Descobri então que a FedEx permite cobrar em qualquer conta só sabendo o número da conta de 9 dígitos, então golpistas geram números aleatórios e fazem isso o tempo todo. A FedEx não se importou, recusou registrar como fraude e, mesmo depois da denúncia, ainda permitiu mais remessas fraudulentas. Só fecharam a conta depois que fiz chargeback pela operadora do cartão, mas os e-mails de marketing dos quais agora nem dá para cancelar a inscrição continuam chegando. É uma empresa que ninguém deveria usar
    • A Spectrum também não fica muito atrás. Há alguns anos, um vizinho novo que estava se mudando errou meu endereço ao pedir uma conta nova, e a Spectrum gentilmente concluiu que o morador anterior queria cancelar a conta e cortou minha internet
      Na prática, basta saber um endereço para fazer um ataque de negação de serviço contra qualquer pessoa do planeta, de qualquer lugar com internet
    • Alguns anos atrás comprei um OP-1 da teenage engineering, e a FedEx entregou dentro da caixa de correio. O USPS retirou o pacote da FedEx da caixa, apreendeu e levou para a agência local, sem me avisar de forma alguma
      Passei 1 ou 2 meses achando que o pacote tinha sido roubado, até perguntar ao USPS se por acaso ele estava guardado lá; de fato estava na “sala de correspondência não entregável”, e ainda levei um sermão de que é ilegal a FedEx colocar pacote em caixa de correio, que é propriedade do USPS/governo
      Tentei ligar para a FedEx para pedir que resolvessem, mas, pelo que lembro, ou não atenderam, ou disseram que não havia como contatar o entregador. Desde então evito a FedEx, e também passei a evitar a UPS depois que quebraram duas luminárias antigas que comprei no eBay
  • Quando minha esposa solicitou um empréstimo com garantia hipotecária, alguém dizendo ser do banco ligou dizendo que, como a casa estava em nome conjunto, precisava confirmar se eu aprovava o empréstimo
    Perguntou meu nome e eu informei; em seguida, também passei os últimos quatro dígitos do meu número de seguridade social, mas quando imediatamente pediu o número completo, o alerta disparou. Fiquei preocupado por ter fornecido até mesmo os últimos quatro dígitos para um desconhecido que ligou do nada e liguei de volta para o número no site do banco para perguntar se eu podia confirmar se ele era realmente um funcionário
    Ele ficou irritado, disse que provavelmente não haveria no site um número que me conectasse a ele e que, se eu não fornecesse o número completo da seguridade social, não teria escolha a não ser rejeitar a solicitação do empréstimo. Quando respondi que não poderia fornecer a informação se não houvesse uma forma de retornar o contato pelo número oficial do banco, ele ficou bravo e desligou
    No fim, descobri que ele era mesmo um funcionário do banco e realmente cancelou o pedido de empréstimo

    • Houve uma vez em que o banco me ligou para fazer perguntas de segurança. Quando eu disse que ligaria de volta para o número no site do banco, responderam que, se eu ligasse para o banco, não haveria como me transferirem para o responsável pelas perguntas de segurança e que o único jeito era eles me ligarem
      De fato, quando liguei para o número oficial, o banco confirmou isso. Expliquei que era uma prática de segurança ruim, mas disseram que bastava olhar o identificador de chamadas para confirmar que a ligação vinha do banco. Explicar spoofing de identificador de chamadas não adiantou em nada
    • Se você já tem certa idade, os últimos quatro dígitos do número de seguridade social podem representar praticamente a maior parte da entropia útil, então é preciso ter cuidado
      Antes de 2011, os três primeiros dígitos indicavam o escritório emissor, e os dois do meio, o “número de grupo”, eram usados segundo uma sequência publicamente conhecida. A Administração da Seguridade Social também publicava periodicamente a lista dos maiores números de grupo alcançados por cada escritório
      Com a mudança na legislação tributária em 1986, passou a ser necessário o número de seguridade social da criança para receber o crédito tributário por dependente, então o registro ao nascer se tornou comum; para essas pessoas, é muito fácil prever os cinco primeiros dígitos
    • Isso é só um agente de empréstimo extremamente incompetente e grosseiro. Normalmente, agentes de empréstimo recebem comissão, então têm forte incentivo para fechar o negócio e emitir o cheque
      Se irritarem o cliente, não vão receber a doce comissão, então em geral são gentis. O último agente de empréstimo com quem falei fechava mais de US$ 1 bilhão em hipotecas por ano e era realmente muito simpático até por telefone
      Num caso desses, ele poderia ter pedido para enviar um e-mail de um endereço oficial do banco, ou usar o próprio webapp ou sistema de mensagens do banco
    • Passei por algo parecido. Transferi uma quantia considerável de uma conta bancária para outra, e alguns minutos depois recebi uma ligação de um número que parecia ser o de “prevenção a fraudes” do banco de destino
      Quando atendi, a pessoa tinha um sotaque muito forte, bem típico de chamadas golpistas, perguntou se eu havia feito uma transação recente e disse que, para confirmar essa transação, eu precisava fornecer mais dados pessoais, como endereço residencial e número de seguridade social. Quando me recusei, disseram que a conta seria bloqueada
      E a conta realmente foi bloqueada; tive que ir pessoalmente à agência para desbloqueá-la e ainda provar que o dinheiro que eu pretendia transferir realmente existia na outra conta. Não faz sentido nenhum. Não era uma conta nova, e eu já havia feito transferências entre as duas contas antes; não faço ideia de que fraude estavam tentando impedir
    • Nos termos do meu banco, está escrito que informações secretas como PIN ou senha de uso único não devem ser fornecidas a terceiros, nem mesmo a funcionários do banco
      Mas, quando questionei essas práticas que pareciam phishing, me disseram que estava tudo bem porque era um site “legítimo” que recebe suas credenciais para ver o histórico de transações dos últimos 180 dias, calcula sua pontuação de crédito e depois saca o dinheiro. Também disseram que iriam analisar a situação com a empresa alemã para ver se existia uma solução melhor
      Parece que um provedor de pagamento chamado klara ou klarna é bastante popular na Alemanha, mas não consigo entender como um banco pode simplesmente mudar unilateralmente seus termos relacionados à segurança. Claro, se você der informações secretas para a pessoa errada, a culpa é sua, e mesmo que seu número de seguridade social vá parar nas mãos de golpistas, o banco não vai se importar
  • Há alguns meses, um e-mail recebido do centro de TI da empresa parecia mais suspeito do que qualquer phishing que eu já tinha recebido
    Veio de um domínio genérico tipo @itservice.com, que não se parecia em nada com o domínio oficial da empresa, e o assunto era “URGENT: your account is expiring soon”. No corpo havia vários links, todos difíceis de ler e longos, quebrados em várias linhas, e nenhum deles usava um domínio claramente ligado à empresa
    Também não havia nenhuma forma de resolver o problema sem clicar no link, nem alternativas como “ir para as configurações da conta” ou “falar com seu gerente direto”. Só que era um e-mail real. Para referência, é uma empresa com cerca de 100 mil funcionários

    • O nosso TI fez exatamente a mesma coisa com a senha do m365 prestes a expirar. Não usou o domínio da empresa, tinha vários erros de digitação e a URL estava escondida atrás de um encurtador de link esquisito
      O mesmo time exige troca de senha a cada 6 meses e também bloqueia a reutilização das 20 senhas mais recentes. São senhas que precisam ser digitadas manualmente de 10 a 20 vezes por dia em sistemas que não conseguem chamar diretamente o gerenciador de senhas. Dá para imaginar qual deve ser a força média das senhas dos funcionários
      Incompetência de TI deveria levar a reprovação em auditoria e, melhor ainda, virar motivo para deslistagem da bolsa
    • Banco também faz isso. Alguns minutos depois de comprar uma coisa, recebi um e-mail extremamente golpista, aparentemente vindo do banco. Tinha um GIF de baixíssima qualidade e mandava clicar num link de um site aleatório e não bancário como purchase-verification-users.net/235532/confirm.html; procurando no Google, o site nem aparecia
      Ao mesmo tempo, recebi uma ligação de um número aleatório pedindo para confirmar alguns detalhes da compra, e quando fui verificar, não era um número listado no site do meu banco
      Desliguei e liguei diretamente para o banco; depois de 10 minutos perdido na URA, uma atendente confirmou que aquele número era de fato usado para entrar em contato com clientes. Quando perguntei por que ele não aparecia na lista de números no site, ela disse que eles frequentemente ligam de números que não divulgam online
      Quando perguntei se o e-mail tinha sido enviado pelo banco, ela respondeu que, se na linha do remetente constasse o nome do banco, então podia clicar, mas não tinha como saber se aquele e-mail específico realmente tinha sido enviado por eles. Era basicamente: se não for o banco na linha do remetente, não clique; se for, pode clicar
    • Numa empresa desse porte, o centro de TI deveria ter apertado o botão de “Report Phishing attempt” que eles instalaram no cliente de e-mail
      É meio sarcástico, mas se uma empresa desse tamanho nem tem um meio de reportar phishing, então existe um problema mais grave do que uma campanha de e-mails suspeitos
    • O treinamento de segurança da empresa ensina a verificar cuidadosamente as URLs dos e-mails recebidos, mas o software de segurança da empresa reescreve todas as URLs dos e-mails que entram
      Se a intenção é inspecionar tudo centralmente, talvez até seja um meio-termo razoável, mas isso reduz muito minha capacidade de julgar a legitimidade de um e-mail. No mínimo, o conteúdo do treinamento deveria ser atualizado
    • Nossa empresa trabalha com hospedagem e PaaS, e uma pessoa que eu nunca tinha visto no mensageiro interno pediu, “por favor”, para eu executar alguns comandos como root e mandar o resultado
      No começo fiquei chocado e fiz uma checagem de segurança da informação, mas descobri que era um “novato” que precisava coletar informações dos sistemas para um inventário de equipamentos. Ele ainda não tinha acesso às ferramentas de administração de rede e não entendia muito bem por que não era uma boa ideia sair executando curl ... | sh, então achou que pedir os dados manualmente, em pedaços, para as pessoas seria aceitável
      Esse tipo de coisa realmente acontece
  • Hoje vi um post no Reddit dizendo que um banco alemão enviou pelo correio um pendrive USB com os novos termos e condições: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
    É um nível que parece impossível de inventar

    • Gostei deste comentário: “Trabalho como responsável externo de CyberCyberCyber em alguma parte da organização do grupo Sparkassen, e posso garantir que ninguém minimamente envolvido com segurança da informação bancária jamais ouviu falar dessa ideia de marketing”
    • Eu simplesmente me recusaria a acreditar que isso é real. Como mecanismo de defesa psicológica
    • A legislação da UE exige que documentos assim sejam entregues em um “meio durável
      Alguns bancos ou instituições financeiras parecem interpretar isso de um jeito bem estranho. Em outros lugares, um anexo por e-mail pareceria mais que suficiente
    • Segundo a tradução do ChatGPT, o USB contém “termos e condições, lista de preços e serviços, condições”, e o aviso da Sparkasse Bremen AG dizia que “a lista de preços e serviços, os termos e condições e as condições adicionais válidos a partir de 1º de maio de 2024 podem ser consultados no pendrive USB”
    • Alguns bancos alemães também criaram serviços pagos de armazenamento com vários planos tarifários
      Eles têm a obrigação de entregar documentos aos clientes, mas a diretoria parece entender essa exigência de um jeito estranho, e acabam comprando as soluções e ideias mais absurdas possíveis
  • Quando comprei um carro, alguns meses depois recebi um e-mail dizendo que eu não tinha comprovado a contratação do seguro e que precisava entrar num domínio que não pertencia ao banco para enviar a documentação
    O e-mail parecia um papel timbrado escaneado de forma grosseira e era realmente suspeito. Depois de receber aquilo algumas vezes, finalmente entrei em contato com o banco e era mesmo real
    Tentei explicar para a pessoa responsável, e não para um atendente de balcão, por que aquilo era uma má ideia, mas ela não entendeu. Pouco tempo depois quitei aquele financiamento e saí desse banco

    • Aconteceu algo parecido com uma hipoteca. Recebi uma carta com um texto esquisito mandando entrar em algum site para atualizar ou verificar as informações do seguro residencial
      Liguei para a corretora de seguros e a solicitação era legítima. Expliquei que, considerando todos os sinais de alerta, aquela carta estava a poucos passos de distância de um golpe do príncipe nigeriano, mas não parece ter mudado muita coisa
  • O texto em si foi excelente, mas o primeiro SMS era tão horrível que teria sido melhor se a FedEx dissesse ao destinatário para transferir a taxa alfandegária para um príncipe nigeriano.
    Ainda assim, discordo em parte da direção da recomendação de Troy Hunt. A premissa básica deveria ser que, em geral, as pessoas não conseguem distinguir mensagens reais de mensagens de phishing. Com a IA, isso será ainda mais verdade no futuro, e depender desse tipo de distinção por características é uma falha fatal.
    Em vez disso, nunca se deve confiar em links externos ou números de telefone contidos na mensagem recebida. É preciso procurar o endereço ou telefone por conta própria e fazer login no serviço correspondente. Desligue, pesquise e ligue novamente deveria ser um lema absoluto.
    Organizações responsáveis deveriam declarar que jamais colocarão links ou números de telefone em SMS, e-mails ou ligações, e que nas mensagens de notificação só escreverão algo como “Para mais detalhes, faça login no painel”.

    • Não me parece que seja isso que Troy Hunt esteja recomendando. Logo no começo do texto, com a piada de “mas eu sou um humano inteligente e não caio nisso”, ele manda ler por que os humanos são fracos com URLs.
      Fica claro que ele considera que distinguir URLs fraudulentas por heurística não é uma abordagem escalável no longo prazo.
    • Dizer “com a IA, isso será ainda mais verdade” é meio exagerado, porque já não há muito como piorar.
      Humanos já falham em cerca de 95% das vezes na identificação de phishing. As pessoas já conseguem copiar com precisão e-mails, sites e mensagens reais, então nem é preciso IA.
    • Isso é uma restrição maior do que o necessário e é hostil com usuários que não são tão familiarizados com tecnologia, que se distraem, que estão doentes naquele dia ou que simplesmente são um pouco lentos.
      Dá para incluir o link, desde que ele pertença ao domínio principal e seja curto e bem visível: https://example.com/contact
      Se o usuário não estiver logado, basta mostrar primeiro um fluxo de login explicando algo como “Se você recebeu uma mensagem nossa, faça login para ver os detalhes”, e incluir também formulário de contato, número de telefone e chat de suporte, se existirem.
      Um site de phishing também pode imitar isso até certo ponto, mas não há motivo para forçar o usuário a descobrir sozinho como resolver o problema.
    • Não se preocupem. Segundo alguns juízes e autoridades eleitas, basta perguntar ao ChatGPT se a mensagem suspeita foi gerada por IA.
  • Isso é resultado de incompetência organizacional, mas em algum momento deve ter existido uma pessoa que digitou o conteúdo daquele template problemático de SMS em algum sistema de computador.
    Fico realmente curioso para saber o que essa pessoa estava pensando ao juntar as palavras desse jeito. Seria preciso um esforço sincero para conseguir deixar aquilo pior.

    • Essas “palavras” provavelmente eram templates aninhados, então é bem possível que, na etapa de entrada, fosse difícil entender como o resultado final apareceria.
      Na área de tecnologia há muita gente bem-intencionada fazendo, sem colegas nem revisão, algo um pouco complexo demais para executar sozinha. Em grandes empresas, há até times e departamentos inteiros nesse estado.
      Talvez essa pessoa nem fosse totalmente incompetente e fosse a engenheira estrela do time, enquanto o restante achava que não tinha nada a acrescentar e ficava calado. Os realmente bons talvez já tivessem ido para algum projeto novo e glamouroso em outro andar, ou para uma equipe de elite de “refatoração”, e não gastariam tempo com algo como atualizar templates.
    • Não há necessidade de presumir que foi uma única pessoa.
      Uma pessoa pode ter escrito o texto, outra pode ter pedido uma alteração parcial em um ticket do Jira. Só que o tipo de dado talvez não combinasse com o que o autor pediu, e o desenvolvedor pode simplesmente ter feito o deploy sem querer lidar com isso.
      Ou a mensagem pode ser estruturada em vários if separados, com apenas a saída final sendo entregue ao cliente. Sem ninguém vendo a mensagem inteira, e cada um mexendo apenas num pedacinho dentro da sua própria condição, surgem com frequência mensagens de log horríveis.
      Já trabalhei com código que gerava uma mensagem muito detalhada explicando por que certo erro acontecia, mas depois descobri que a maior parte disso não chegava ao cliente. Foi porque, mais adiante, alguém tinha reatribuído a variável em vez de usar +=. Isso poderia ter evitado inúmeros tickets de suporte.
    • Também se diz que golpistas são muito inteligentes e usam deliberadamente todas as técnicas que exploram nossas fraquezas psicológicas, mas em 90% dos casos parece que eles só recebem a instrução de escrever uma mensagem que “soe oficial”.
      A pessoa hipotética que escreveu esse template provavelmente tentou fazer exatamente a mesma coisa, e por isso o resultado ficou tão parecido. O uso de “urgent” ou de iniciais maiúsculas em “Duty” e “Taxes” também parece ter vindo de uma tentativa de soar mais formal e oficial, e claramente não era um redator experiente.
    • A palavra “incompetência” é interessante.
      O velho ditado sobre incompetência e malícia manda escolher uma das duas, mas na prática é mais correto ver isso como um espectro entre ambas, com várias dimensões que explicam intenções conscientes e inconscientes.
      No escândalo do Post Office britânico, dá para ver incompetência em cima de malícia, e por cima mais incompetência ainda. Em algumas organizações, posturas claramente prejudiciais chegam a ser escritas como “política”. Muitas vezes isso entra sob o rótulo de “PR”, e no futuro “IA” será usada ainda mais para esconder malícia e evitar revisão.
      Foi marcante a cena no último episódio do drama da ITV em que Toby Jones, no papel de Alan Bates, diz sobre incompetência e malícia: “as duas são a mesma coisa”. Em certo ponto, a diferença entre incompetência e malícia desaparece. Uma discussão psicológica mais profunda pode ser ouvida aqui: https://cybershow.uk/episodes.php?id=23
      Material relacionado: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, a definição de relações públicas de Edward Bernays apresenta um credo de engano, manipulação e desinformação que é o oposto completo da segurança: https://en.wikipedia.org/wiki/Public_Relations_(book)
  • Combina bastante com a minha experiência com a FedEx. Eles enviaram a fatura 7 meses depois de eu receber o pacote, e alguns dias depois chegou uma carta de cobrança sem nem as informações necessárias para pagar
    Eu poderia até ter perdido a fatura não paga, mas deixar de fora as informações necessárias foi algo bem preguiçoso e idiota. Mandaram eu entrar em www.fedex.com e criar uma conta, então eu criei, mas a conta não sabia absolutamente nada sobre a minha fatura
    Por acaso encontrei a fatura original, e naquela fatura enviada com 7 meses de atraso estava escrito em letras minúsculas “pagamento imediato”. No meu país, o normal é 30 dias, então foi a primeira vez que vi essa expressão numa fatura. E, claro, eles ainda mandaram a segunda carta de cobrança 10 dias depois de eu já ter pago

    • Em algumas empresas isso é uma prática comum
      Se você usar uma estrada com pedágio no Texas, não há cabines para pagar na hora; 6 a 12 meses depois chega pelo correio uma cobrança dizendo “quinto e último aviso”. Algo como cobrar 4 dólares de pedágio e 80 dólares de multa por atraso
      Tenho certeza de que quem opera isso tem amigos ou parentes na assembleia legislativa do Texas
    • Passei por algo parecido: a primeira notícia que tive foi que a minha cobrança alfandegária tinha sido enviada para cobrança judicial
      Recebi um monte de mensagens assustadoras sobre cobrança de dívida, mas sem nenhuma explicação além de dizer que tinha relação com um pacote da FedEx
  • Isso é um problema real causado pelo fato de tantas coisas serem terceirizadas para provedores de nuvem externos
    Antigamente, se vinha da intranet da empresa, estava tudo bem. Agora pesquisa, treinamento e todo projeto novo da moda vêm de domínios externos desconhecidos, e ainda pedem para você entrar com as credenciais da empresa
    A nossa empresa faz campanhas de “phishing falso” para manter todo mundo atento, transformando o reconhecimento de e-mails de phishing em uma espécie de jogo, mas isso não deveria ser necessário para atividades legítimas da empresa

  • Como proposta de lei: se uma notificação eletrônica de uma empresa parecer phishing a ponto de uma pessoa razoável ter motivo claro para duvidar da sua legitimidade, então toda consequência financeira ou jurídica de ignorá-la deve recair sobre o remetente
    Aqui, “remetente” significa quem enviou a notificação eletrônica

    • No momento em que a lei começa a definir expressões como “razoável”, já virou um pântano
      Dá para presumir que, cada vez que a palavra “razoável” aparece numa lei, mais de 1 bilhão de dólares em honorários advocatícios já foi ou ainda será gasto
    • Eu também quase me meti em problemas por causa disso. Um “banco”, do qual eu nem era cliente, continuava mandando mensagens do tipo “urgente, preencha seus dados pessoais e responda este formulário ou sua conta será bloqueada”, e parecia bastante golpe
      Depois recebi a mesma coisa por correio de verdade e, quando liguei para o banco, descobri que havia lá uma conta guardando recursos de pensão de um antigo empregador
    • Nesse caso, o resultado é que o órgão do governo australiano que arrecada imposto de importação não recebe o dinheiro
      Aí o órgão não libera o pacote para a FedEx e, no fim, você não recebe a encomenda. A FedEx precisa fazer essas notificações muito melhor e, no mínimo, contratar um redator
    • Na verdade, a consequência já recai sobre o remetente. Se não houver conformidade, dependendo do país e do tipo de mercadoria, o pacote é destruído ou devolvido
      O chato é não haver um jeito fácil de pagar o imposto antecipadamente e ter que contar com a sorte para saber se vai cair em inspeção. Ainda bem que a UE organizou isso e quase não existem mais surpresas estranhas. Tirando os casos de United States e United Kingdom
    • A diretoria provavelmente reagiria de forma exagerada e implantaria autenticação em 100 etapas, além de exigir senhas de 30 caracteres com símbolos Unicode obrigatórios