1 points par GN⁺ 2024-02-24 | 1 commentaires | Partager sur WhatsApp
  • Un vrai SMS FedEx pour le paiement de droits de douane et taxes présentait presque les mêmes signaux qu’un message de phishing, au point que 87 % des plus de 4 000 participants à un sondage l’ont jugé suspect
  • Le message contenait un numéro d’expédition court, une demande de paiement urgente, des majuscules et minuscules maladroites, l’absence d’indication de devise, ainsi qu’une adresse de paiement bpoint.com.au au lieu d’un domaine FedEx
  • Sur l’écran de suivi FedEx, il était difficile de vérifier les informations de droits ou de taxes, et le lien BPOINT permettait de modifier le numéro de suivi, le nom du client et le montant simplement en changeant des paramètres d’URL
  • Le parcours de support client et les indications téléphoniques étaient aussi confus, mais une pièce jointe reçue par e-mail trois jours plus tard confirmait la facture Prusa ainsi que les informations de commande, de prix et de livraison, montrant que le SMS correspondait bien à une demande réelle
  • Les contrôles techniques comme le blocage des SMS frauduleux ne suffisent pas à eux seuls : quand les messages d’entreprises légitimes reprennent les caractéristiques typiques du phishing, les repères des utilisateurs s’effondrent

Quand une vraie notification de livraison ressemble à du phishing

  • Ces derniers temps, de nombreux SMS de phishing du type « nous ne pouvons pas livrer votre colis » arrivent jusqu’à la boîte de réception après avoir passé les filtres des opérateurs
  • Pour juger s’il s’agit de phishing, on vérifie généralement des signaux comme l’urgence, la peur de rater quelque chose, ou une URL étrange qui ne correspond pas au transporteur
  • Alors qu’une vraie livraison FedEx était attendue, un SMS demandant de payer des droits et taxes est arrivé, et il était difficile de déterminer à son apparence seule s’il s’agissait d’une demande légitime ou d’un phishing
  • Plus de 4 000 personnes ont répondu à un sondage sur X, et 87 % l’ont qualifié de « dodgy AF »

Les signaux suspects présents dans le SMS

  • Le message utilisait une graphie maladroite et une chaîne comme -Exp, alors que FedEx écrit habituellement FedEx avec le E en majuscule
  • Le numéro d’expédition semblait trop court et correspondait à celui repris dans la demande de paiement en dessous
  • Le terme urgent agit comme un signal de social engineering, poussant à agir sans réfléchir suffisamment
  • Les majuscules et minuscules de Duty et Taxes étaient maladroites, et pour un message d’un transporteur international, aucune devise ni symbole dollar n’apparaissait
  • Le lien de paiement n’utilisait ni un domaine FedEx ni un domaine du gouvernement australien, mais bpoint.com.au
  • Le fait de fournir un contact dans le SMS allait à l’inverse de la tendance illustrée par NAB, qui retire les liens de ses SMS

Une procédure difficile à vérifier soi-même

  • Le conseil de base face à une demande de paiement suspecte est de ne pas cliquer sur le lien du message et d’aller vérifier directement sur le site concerné
  • Après avoir retrouvé les informations de livraison dans l’e-mail de confirmation d’achat de Prusa, l’auteur s’est rendu sur le site de FedEx, mais n’a trouvé aucune information sur les droits ou taxes dans la page de suivi
  • En suivant le lien du SMS, il était possible de modifier arbitrairement le numéro de suivi, le nom du client et le montant simplement en changeant les paramètres d’URL
    • Cela était possible sans modifier le DOM du navigateur ni intercepter le trafic, uniquement via les paramètres de query string
    • Ce comportement donnait l’apparence d’un site de phishing, mais BPOINT est une passerelle de paiement fournie par Commonwealth Bank
  • Le lendemain, un autre SMS du même expéditeur est arrivé
    • Cette fois, le numéro d’expédition figurait dans le message et les majuscules/minuscules de duty et taxes avaient été corrigées
    • PAY NOW apparaissait en majuscules, et le « lien » ne contenait ni scheme, ni domaine, ni chemin, seulement des paramètres de query string, ce qui empêchait tout clic pour payer
    • Les noms des paramètres de query string étaient eux aussi passés entièrement en majuscules, donnant l’impression d’une autre procédure de génération ou d’un processus cassé

Support client et confirmation finale

  • En recherchant le numéro 1800, la page correspondante de Reverse Australia apparaissait parmi les premiers résultats, et les commentaires comme les résultats de recherche montraient la confusion autour de la légitimité du message
  • La vérification a été tentée via le parcours Customer Support du site FedEx, plutôt qu’en appelant le numéro indiqué dans le SMS
  • La page de support mettait l’accent sur les communications par e-mail et la vérification du domaine expéditeur, tout en indiquant un numéro différent de celui présent dans le SMS
  • En appelant le numéro indiqué, puis en entrant dans le menu duty and taxes, la saisie au clavier a cessé de fonctionner après plusieurs étapes, et le même message se répétait
    • Une alternative proposait d’appeler le 132610, mais c’était précisément le numéro déjà composé au départ
  • En réessayant par un autre chemin de menu, le système a demandé le numéro de suivi puis a fourni les mêmes informations que le site web, avec une option pour parler à un conseiller
  • Le conseiller a indiqué que la valeur de l’envoi était de 799 US$ et convertie en 1 215,97 AU$, ce qui la rendait soumise à des frais d’entrée, mais il devait confirmer par rappel si cela correspondait bien au montant du SMS
  • Trois jours après le premier SMS, un e-mail est finalement arrivé, avec un montant, une adresse BPOINT et un message identiques à ceux du SMS
  • La pièce jointe contenait la facture complète de Prusa, ainsi que le numéro de commande, le prix et les informations de livraison, confirmant que le SMS était bien lié à une demande réelle

Des messages d’entreprise qui affaiblissent la défense contre le phishing

  • Rien qu’en Australie, les pertes liées aux arnaques dépassent 3 milliards de dollars australiens par an, et le problème est encore plus vaste à l’échelle mondiale
  • L’ACMA a indiqué que les opérateurs avaient bloqué 336 millions de SMS frauduleux, mais le nombre de messages non bloqués reste inconnu
  • Comme les contrôles techniques ne suffisent pas, les personnes doivent identifier les arnaques à partir de schémas comme les demandes d’argent, l’urgence, une grammaire ou des majuscules/minuscules maladroites, et des URL inhabituelles
  • Dans ce cas, le message légitime de FedEx contenait justement un grand nombre de ces schémas d’identification des arnaques
  • À une époque où les arnaques fondées sur l’IA deviennent de plus en plus difficiles à identifier, si les messages d’organisations légitimes ne se distinguent plus de ceux des escrocs, les repères des utilisateurs s’affaiblissent

1 commentaires

 
GN⁺ 2024-02-24
Avis sur Hacker News
  • FedEx fait partie des grandes entreprises qui ont la pire plateforme numérique et l’une des sécurités les plus laxistes
    J’ai emménagé dans un immeuble récent et configuré FedEx Delivery Manager ; il a suffi d’entrer ma nouvelle adresse pour voir immédiatement les consignes de livraison de l’ancien locataire, sans aucune vérification, y compris le code du garage privé de l’immeuble. Un voleur aurait pu faire exactement la même chose
    Après mon déménagement, j’ai essayé d’ajouter ma nouvelle adresse, mais le site renvoyait une erreur à chaque fois ; en fouillant les forums, j’ai découvert qu’une hypothèse disait que certains pans du site cassaient définitivement si le mot de passe contenait des caractères spéciaux, et c’était bien ça. Même le parcours de changement de mot de passe était cassé, si bien que ma femme a fini par devoir créer un nouveau compte avec un mot de passe plus faible
    L’entreprise en elle-même est impressionnante, mais ça, c’est vraiment d’un amateurisme total

    • Je ne suis pas sûr que ce soit vraiment une entreprise impressionnante. Mon taux de réussite de livraison à plusieurs adresses tournait autour de 50 %, et je connais d’autres personnes qui ont eu des problèmes similaires sur le long terme
    • J’ai commandé un ordinateur dans le sud de la Californie, et il est passé par le Texas, la Floride, le Maine, puis est revenu dans le nord de la Californie
      Mes deux commandes les plus récentes semblent avoir été tout simplement volées par quelqu’un chez FedEx : elles sont bien entrées dans le centre, mais n’en sont jamais ressorties. Le service client n’est qu’une machine à excuses basée à l’étranger et ne résout rien. Avant, je préférais FedEx, mais le niveau de service a tellement baissé que je l’évite désormais volontairement
    • J’ai eu encore pire. J’ai voulu créer un compte de livraison pour recevoir les fournitures d’expédition gratuites de FedEx, mais à cause du problème de mot de passe du site, impossible de créer le compte ; je crois être passé par l’application mobile, qui utilisait probablement un autre parcours
      Dès la création du compte, j’ai reçu des factures de plusieurs milliers de dollars pour des expéditions internationales entre un expéditeur et un destinataire qui n’avaient absolument rien à voir avec moi, et elles ont même été automatiquement prélevées sur la carte bancaire enregistrée. Après avoir supprimé la carte, j’ai commencé à recevoir par courrier de grosses factures papier FedEx
      J’ai fini par comprendre que, chez FedEx, il suffisait de connaître un numéro de compte à 9 chiffres pour facturer n’importe quel compte, ce qui fait que des escrocs génèrent aléatoirement des numéros et tentent régulièrement ce genre d’arnaque. FedEx s’en moquait, a refusé de prendre mon signalement pour fraude, et a même laissé passer d’autres expéditions frauduleuses après le signalement. Ce n’est qu’après avoir demandé une rétrofacturation à l’émetteur de ma carte qu’ils ont fermé le compte, mais je continue encore à recevoir des e-mails marketing impossibles à désinscrire. C’est une entreprise que personne ne devrait utiliser
    • Spectrum n’est pas mal non plus. Il y a quelques années, un nouveau voisin qui emménageait a fait une faute de frappe et a mis mon adresse lors de sa demande d’ouverture de compte ; Spectrum en a gentiment déduit que l’ancien occupant voulait résilier son abonnement, et ils ont coupé mon internet
      En gros, il suffit de connaître une adresse pour lancer une attaque par déni de service contre n’importe qui, depuis n’importe où sur Internet
    • Il y a quelques années, j’ai acheté un OP-1 de teenage engineering, et FedEx l’a livré directement dans ma boîte aux lettres. USPS a retiré le colis FedEx de la boîte et l’a saisi au bureau de poste local, sans jamais m’en informer
      Pendant 1 à 2 mois, j’ai attendu en pensant que le colis avait été volé ; puis j’ai demandé à USPS s’ils le gardaient par hasard, et il était effectivement dans la section « courrier non distribuable ». On m’a longuement sermonné en m’expliquant qu’il était illégal pour FedEx de déposer un colis dans une boîte aux lettres appartenant à USPS / au gouvernement
      J’ai essayé d’appeler FedEx pour qu’ils règlent le problème, mais de mémoire soit ils n’ont pas répondu, soit ils m’ont dit qu’il n’y avait aucun moyen de contacter le livreur. Depuis, j’évite FedEx, et j’évite aussi UPS depuis qu’ils ont cassé deux lampes anciennes que j’avais achetées sur eBay
  • Quand sa femme a demandé un prêt hypothécaire, quelqu’un affirmant appeler de la banque l’a contacté pour dire que, comme la maison était en copropriété, il devait vérifier s’il approuvait bien le prêt.
    On lui a demandé son nom, qu’il a donné, puis les quatre derniers chiffres de son numéro de sécurité sociale. Quand l’interlocuteur a immédiatement réclamé le numéro complet, l’alerte s’est déclenchée. Il s’est soudain senti mal à l’aise d’avoir déjà donné ne serait-ce que les quatre derniers chiffres à un inconnu sorti de nulle part, et a rappelé le numéro figurant sur le site de la banque pour demander s’il pouvait vérifier que cette personne était bien un véritable employé.
    L’homme s’est agacé, a dit que son numéro direct ne figurait probablement pas sur le site, et que sans le numéro complet de sécurité sociale il n’aurait d’autre choix que de rejeter la demande de prêt. Quand on lui a répondu qu’aucune information ne serait fournie sans moyen de le recontacter via le numéro officiel de la banque, il s’est mis en colère et a raccroché.
    Il s’est avéré que c’était bien un véritable employé de la banque, et il a effectivement annulé la demande de prêt.

  • La banque a déjà appelé pour poser des questions de sécurité. Quand on a dit qu’on rappellerait le numéro indiqué sur le site de la banque, on a répondu qu’en appelant la banque il n’existait aucun moyen d’être mis en relation avec le service des questions de sécurité, et que la seule méthode était qu’eux appellent directement.
    En rappelant le numéro officiel, la banque l’a effectivement confirmé. On leur a expliqué que c’était une mauvaise pratique de sécurité, mais ils ont répondu qu’il suffisait de vérifier l’identifiant de l’appelant pour confirmer que l’appel venait bien de la banque. Expliquer l’usurpation du numéro appelant n’a servi à rien.

  • Si vous avez un certain âge, les quatre derniers chiffres du numéro de sécurité sociale peuvent en pratique représenter l’essentiel de l’entropie utile, donc il faut être prudent.
    Avant 2011, les trois premiers chiffres indiquaient le bureau émetteur, et les deux chiffres du milieu, le « numéro de groupe », étaient attribués selon un ordre publiquement connu. La Social Security Administration publiait aussi régulièrement la liste des numéros de groupe les plus élevés atteints par chaque bureau.
    Après la modification de la loi fiscale de 1986, qui a rendu nécessaire le numéro de sécurité sociale d’un enfant pour bénéficier du crédit d’impôt pour enfant, l’enregistrement à la naissance est devenu courant, et pour ces personnes il est très facile de prédire les cinq premiers chiffres.

  • C’est simplement un chargé de prêt d’une incompétence et d’une impolitesse extrêmes. En général, les chargés de prêt touchent une commission, donc ils ont tout intérêt à faire aboutir l’opération et à émettre le chèque.
    On ne touche pas cette belle commission en mettant le client en colère, donc ils sont habituellement aimables. Le dernier chargé de prêt avec qui on a parlé avait conclu plus de 1 milliard de dollars de prêts hypothécaires en un an, et il était vraiment très aimable au téléphone.
    Dans un cas comme celui-ci, il aurait pu envoyer un email depuis une adresse officielle de la banque, ou utiliser la web app ou le système de messagerie interne de la banque.

  • J’ai vécu quelque chose de similaire. J’ai transféré une somme assez importante d’un compte bancaire vers un autre, et quelques minutes plus tard j’ai reçu un appel provenant de ce qui semblait être le numéro « anti-fraude » de la banque destinataire.
    En décrochant, l’interlocuteur avait un accent très marqué, typique des appels frauduleux, et m’a demandé si j’avais effectué une transaction récente, puis a exigé des informations personnelles supplémentaires comme mon adresse et mon numéro de sécurité sociale pour confirmer cette transaction. Quand j’ai refusé, on m’a dit que mon compte serait bloqué.
    Le compte a effectivement été bloqué, et j’ai dû me rendre en agence pour le débloquer, en plus de devoir prouver que l’argent que j’essayais de transférer existait bien sur l’autre compte. Cela n’avait absolument aucun sens. Ce n’était même pas un nouveau compte, et j’avais déjà effectué des virements entre ces deux comptes auparavant, donc je ne vois pas du tout quelle fraude cela était censé empêcher.

  • Les conditions de ma banque disent qu’il ne faut jamais donner d’informations secrètes comme le PIN ou les mots de passe à usage unique à un tiers, pas même à un employé de la banque.
    Pourtant, quand j’ai posé des questions sur des pratiques qui ressemblaient à du phishing, on m’a répondu que c’était acceptable parce qu’il s’agissait d’un site web « légitime » qui demandait les identifiants pour consulter les 180 derniers jours de transactions, calculer un score de crédit, puis retirer de l’argent. On m’a aussi dit qu’ils examineraient la situation avec l’entreprise allemande pour voir s’il existait une meilleure solution.
    Un prestataire de paiement appelé klara ou klarna semble assez populaire en Allemagne, mais je ne comprends pas comment une banque peut modifier unilatéralement ses conditions relatives à la sécurité. Bien sûr, si vous donnez vos informations secrètes à la mauvaise personne, ce sera de votre faute, et si votre numéro de sécurité sociale se retrouve chez des escrocs, la banque ne s’en souciera probablement pas.

  • Il y a quelques mois, un e-mail reçu du centre IT de mon entreprise paraissait plus suspect que n’importe quel phishing que j’avais vu jusque-là
    Il venait d’un domaine générique du type @itservice.com, sans aucun rapport avec le domaine officiel de l’entreprise, et l’objet était « URGENT: your account is expiring soon ». Le corps du message contenait plusieurs liens, tous difficiles à lire, très longs et coupés sur plusieurs lignes, sans aucun domaine directement lié à l’entreprise
    Il n’y avait aucune solution autre que cliquer sur les liens, pas d’alternative du genre « aller dans les paramètres du compte » ou « contacter son supérieur direct ». Et pourtant, c’était un vrai e-mail. À titre indicatif, l’entreprise compte environ 100 000 employés

    • Notre IT a fait exactement la même chose avec des mots de passe m365 expirant. Ils n’utilisaient pas le domaine de l’entreprise, il y avait plein de fautes de frappe, et les URL étaient masquées derrière un étrange raccourcisseur de liens
      La même équipe impose un changement de mot de passe tous les six mois et bloque aussi la réutilisation des 20 derniers mots de passe. Ce sont des mots de passe qu’il faut saisir manuellement 10 à 20 fois par jour dans des systèmes incapables d’appeler directement un gestionnaire de mots de passe. On devine facilement le niveau moyen de robustesse des mots de passe des employés
      L’incompétence de l’IT devrait conduire à un échec d’audit, voire, idéalement, être un motif de radiation de la cote
    • Les banques font aussi ce genre de choses. Quelques minutes après un achat, j’ai reçu un e-mail extrêmement louche qui semblait venir de ma banque. Il contenait un GIF de mauvaise qualité et me demandait de cliquer sur un lien vers un site aléatoire non bancaire du style purchase-verification-users.net/235532/confirm.html, introuvable en recherche
      En parallèle, j’ai reçu un appel d’un numéro inconnu pour vérifier quelques achats, et après vérification, ce n’était pas un numéro listé sur le site de ma banque
      J’ai raccroché et appelé directement la banque ; après 10 minutes à errer dans le serveur vocal, un conseiller m’a confirmé que ce numéro était bien utilisé pour contacter les clients. Quand j’ai demandé pourquoi il ne figurait pas sur la liste des numéros publiée sur le site, on m’a répondu qu’ils appelaient souvent aussi depuis des numéros non publiés en ligne
      Quand j’ai demandé si c’était bien la banque qui avait envoyé cet e-mail, on m’a répondu que si la banque apparaissait sur la ligne expéditeur, je pouvais cliquer, mais qu’ils n’avaient aucune information sur le fait qu’ils l’avaient réellement envoyé. En gros : si l’expéditeur n’est pas la banque, ne cliquez pas ; si c’est la banque, vous pouvez cliquer
    • À cette échelle d’entreprise, le centre IT aurait dû appuyer sur le bouton « Report Phishing attempt » qu’il a installé dans le client mail
      C’est un peu sarcastique, mais si une entreprise de cette taille n’a même pas de moyen de signaler le phishing, elle a un problème plus grave qu’une campagne d’e-mails suspects
    • Les formations sécurité en entreprise apprennent à vérifier attentivement les URL dans les e-mails reçus, mais le logiciel de sécurité de l’entreprise réécrit toutes les URL des e-mails entrants
      Si l’objectif est une inspection centralisée, c’est peut-être un compromis raisonnable dans une certaine mesure, mais cela réduit fortement ma capacité à juger de la légitimité d’un e-mail. Au minimum, il faudrait mettre à jour le contenu de la formation
    • Mon entreprise fait de l’hébergement et du PaaS, et sur la messagerie interne, une personne que je n’avais jamais vue m’a demandé, « s’il te plaît », d’exécuter quelques commandes en root et de lui envoyer le résultat
      Au début, j’ai été choqué et j’ai lancé une vérification sécurité, avant d’apprendre qu’il s’agissait d’un « nouveau » qui devait collecter des informations système pour un inventaire matériel. Il n’avait pas encore accès aux outils d’administration réseau et ne comprenait pas vraiment pourquoi exécuter aveuglément curl ... | sh n’était pas une bonne idée ; il pensait donc qu’obtenir directement des fragments d’information auprès des gens était acceptable
      Ce genre de chose arrive vraiment
  • J’ai vu aujourd’hui un post Reddit disant qu’une banque allemande avait envoyé par courrier une clé USB contenant ses nouvelles conditions générales : https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
    C’est à un niveau qu’on ne pourrait pas inventer

    • J’ai bien aimé ce commentaire : « Je travaille quelque part dans l’organisation du groupe Sparkassen comme intervenant externe CyberCyberCyber, et je peux garantir qu’aucune personne ayant le moindre lien avec la sécurité informatique bancaire n’a entendu parler de cette idée marketing »
    • Je préfère simplement refuser d’y croire. Mécanisme de défense psychologique
    • Le droit de l’UE impose que ce genre de documents soit transmis sur un « support durable »
      Certaines banques ou institutions financières semblent l’interpréter de façon étrange. Ailleurs, une pièce jointe à un e-mail semblerait largement suffisante
    • D’après une traduction ChatGPT, la clé USB contenait les « conditions générales, liste des prix et services, conditions », et l’information de Sparkasse Bremen AG disait que « la liste des prix et services, les conditions générales et les conditions additionnelles applicables à partir du 1er mai 2024 peuvent être consultées sur la clé USB »
    • Certaines banques allemandes ont aussi créé des services de stockage payants avec plusieurs niveaux tarifaires
      Elles ont l’obligation de remettre des documents aux clients, mais la direction semble comprendre cette exigence de travers, et on leur vend ensuite les solutions et idées les plus absurdes
  • Quelques mois après avoir acheté une voiture, j’ai reçu un e-mail disant que je n’avais pas prouvé que j’étais assuré et m’ordonnant de me rendre sur un domaine n’appartenant pas à la banque pour transmettre le justificatif
    L’e-mail ressemblait à un papier à en-tête mal scanné et était vraiment suspect. Après l’avoir reçu plusieurs fois, j’ai fini par contacter la banque et c’était bien réel
    J’ai essayé d’expliquer à la personne en charge, celle qui a réellement un bureau et pas un employé au guichet, pourquoi cette situation était problématique, mais elle n’a pas compris. J’ai remboursé ce prêt peu après et quitté cette banque

    • J’ai eu quelque chose de similaire avec un prêt hypothécaire. J’ai reçu une lettre rédigée bizarrement me demandant d’aller sur un site pour mettre à jour ou vérifier mes informations d’assurance habitation
      J’ai appelé mon courtier en assurance, qui m’a confirmé que la demande était réelle. Je lui ai expliqué que, selon tous les signaux d’alerte possibles, cette lettre n’était qu’à quelques degrés d’une arnaque au prince nigérian, mais il ne semble pas y avoir eu beaucoup de changement
  • Le texte en lui-même était excellent, mais le premier SMS était tellement atroce qu'il aurait presque mieux valu que FedEx dise au destinataire de virer les droits de douane à un prince nigérian.
    Cela dit, je ne suis pas entièrement d'accord avec l'orientation des recommandations de Troy Hunt. Le postulat de base devrait être que les gens ne peuvent généralement pas distinguer un vrai message d'un message de phishing. Avec l'IA, ce sera encore plus vrai à l'avenir, et s'appuyer sur ce type de signes distinctifs est une faille fatale.
    À la place, il ne faut jamais se fier à un lien externe ou à un numéro de téléphone contenu dans le message reçu. Il faut chercher soi-même l'adresse ou le numéro, puis se connecter au service concerné. Raccrocher, chercher, rappeler devrait devenir un slogan absolu.
    Une organisation responsable devrait annoncer qu'elle ne mettra jamais de lien ni de numéro de téléphone dans ses SMS, e-mails ou appels, et que ses messages de notification se contenteront de dire quelque chose comme : « Pour plus de détails, connectez-vous à votre tableau de bord. »

    • Je ne crois pas que ce soit exactement ce que recommande Troy Hunt. Dès le début de l'article, avec la blague du type « mais moi je suis un humain intelligent, je ne me ferai pas avoir », il invite justement à lire pourquoi les humains sont vulnérables face aux URL.
      Il semble clair qu'il considère qu'essayer de distinguer les URL frauduleuses par heuristiques n'est pas une approche viable à long terme.
    • Dire que « ce sera pire avec l'IA » n'a plus beaucoup de sens, on est déjà à un niveau où ça ne peut guère empirer.
      Les humains échouent déjà à environ 95 % à identifier le phishing. On peut déjà copier avec précision de vrais e-mails, sites web, SMS, etc., donc il n'y a même pas besoin d'IA.
    • C'est une restriction plus forte que nécessaire, et peu bienveillante envers les utilisateurs peu à l'aise avec la technologie, distraits, malades ce jour-là, ou simplement un peu lents.
      Il suffit d'inclure des liens, mais en les gardant sur le domaine principal, courts et bien visibles : https://example.com/contact
      Si l'utilisateur n'est pas connecté, on peut d'abord afficher un parcours de connexion expliquant : « Si vous avez reçu un message de notre part, connectez-vous pour voir les détails. » On peut aussi y inclure un formulaire de contact, un numéro de téléphone et un chat d'assistance, s'ils existent.
      Un site de phishing peut imiter cela dans une certaine mesure, mais ce n'est pas une raison pour obliger l'utilisateur à trouver seul comment résoudre son problème.
    • Pas d'inquiétude. Selon certains juges et élus, il suffira de demander à ChatGPT si un SMS suspect a été généré par l'IA.
  • C'est bien le résultat d'une incompétence organisationnelle, mais à un moment donné, il y a forcément eu une personne qui a saisi le contenu du modèle de SMS problématique dans un système informatique.
    Je me demande sincèrement ce qu'elle avait en tête pour enchaîner les mots de cette manière. Il aurait presque fallu le faire exprès pour produire quelque chose d'aussi mauvais.

    • Ces « mots » venaient probablement de modèles imbriqués, si bien qu'au moment de la saisie, il était difficile de comprendre à quoi ressemblerait le résultat final.
      Dans la tech, il y a beaucoup de gens de bonne volonté qui font seuls des choses un peu trop complexes, sans collègues ni relecteurs. Dans les grandes entreprises, il existe même des équipes et des départements entiers dans cet état.
      Cette personne n'était peut-être pas du tout incompétente et pouvait même être la star des ingénieurs de l'équipe, tandis que les autres se taisaient en pensant n'avoir rien à apporter. Les meilleurs éléments étaient sans doute déjà partis sur un nouveau projet prestigieux à un autre étage, ou dans une équipe d'élite de « refactoring », au lieu de perdre du temps sur une mise à jour de modèle.
    • Il n'est pas nécessaire de supposer qu'il s'agissait d'une seule personne.
      Une personne a peut-être rédigé le texte, puis une autre a demandé des modifications partielles dans un ticket Jira. Mais le type de données ne correspondait pas à ce que l'auteur avait demandé, et le développeur n'avait pas envie de s'en occuper, donc il a simplement déployé tel quel.
      Ou bien le message était peut-être composé de plusieurs instructions if séparées, seul le résultat final étant transmis au client. Quand personne ne voit le message complet et que chacun ne corrige que son petit morceau dans sa condition, on obtient souvent des messages de log atroces.
      J'ai déjà travaillé sur du code qui générait un message très détaillé expliquant pourquoi une erreur s'était produite, avant de découvrir plus tard que la majeure partie n'était jamais transmise au client. Quelqu'un, plus loin dans la chaîne, avait réaffecté la variable au lieu d'utiliser +=. Cela aurait pu éviter d'innombrables tickets de support.
    • On dit aussi que les escrocs sont très intelligents et utilisent délibérément toutes les techniques qui exploitent nos faiblesses psychologiques, mais dans 90 % des cas, on dirait surtout qu'on leur demande d'écrire un message « au ton officiel ».
      La personne hypothétique qui a rédigé ce modèle a probablement essayé de faire exactement la même chose, d'où cette ressemblance. L'emploi de « urgent » ou de majuscules initiales à « Duty » et « Taxes » semble lui aussi venir d'une tentative de paraître plus formel et officiel, et il est clair que ce n'était pas un rédacteur expérimenté.
    • Le mot « incompétence » est intéressant.
      Le vieil adage sur l'incompétence et la malveillance invite à choisir l'un ou l'autre, mais il est plus juste de voir les choses comme un spectre, avec plusieurs dimensions expliquant les intentions conscientes et inconscientes.
      Le scandale de la Post Office britannique montre bien une couche de malveillance posée sur de l'incompétence, puis encore de l'incompétence par-dessus. Dans certaines organisations, des positions manifestement nuisibles sont effectivement rédigées comme des « politiques ». Souvent, cela relève de la « PR », et à l'avenir, l'« IA » sera de plus en plus utilisée pour masquer la malveillance et éviter l'examen critique.
      Dans le dernier épisode du drame d'ITV, la réplique de Toby Jones, dans le rôle d'Alan Bates, à propos de l'incompétence et de la malveillance — « ce sont la même chose » — était frappante. À partir d'un certain point, la différence entre incompétence et malveillance disparaît. Une discussion psychologique plus approfondie est disponible ici : https://cybershow.uk/episodes.php?id=23
      Ressources liées : https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, la définition des relations publiques par Edward Bernays présente un credo de tromperie, de manipulation et de désinformation, à l'opposé exact de la sécurité : https://en.wikipedia.org/wiki/Public_Relations_(book)
  • Cela correspond bien à mon expérience avec FedEx. Ils ont envoyé la facture 7 mois après la réception du colis, puis quelques jours plus tard une relance sans les informations nécessaires pour payer
    J’ai peut-être perdu la facture impayée, mais oublier les informations nécessaires était quand même assez paresseux et stupide. Ils m’ont demandé d’aller sur www.fedex.com et de créer un compte, ce que j’ai fait, mais le site ne savait rien de ma facture
    J’ai fini par retrouver la facture originale par hasard, et sur cette facture envoyée avec 7 mois de retard, il était écrit en tout petit « paiement immédiat ». Dans mon pays, c’est normalement 30 jours, donc c’était la première fois que je voyais cette formule sur une facture. Bien sûr, ils ont aussi envoyé une deuxième relance 10 jours après que j’ai payé

    • C’est une pratique courante chez certaines entreprises
      Si vous empruntez une autoroute à péage au Texas, il n’y a pas de péage où payer sur place, et 6 à 12 mois plus tard vous recevez par courrier une facture disant « cinquième et dernier avertissement ». En gros, on vous demande de payer 4 dollars de péage et 80 dollars de frais de retard
      Je suis convaincu que les gens derrière ça ont des amis ou de la famille à l’assemblée législative du Texas
    • J’ai eu quelque chose de similaire : la première nouvelle que j’ai eue, c’est que ma facture de droits de douane avait été transmise au recouvrement
      J’ai reçu tout un tas de messages inquiétants sur le recouvrement de créances, mais sans aucune explication, à part que cela concernait un colis FedEx
  • C’est un vrai problème causé par l’externalisation massive vers des fournisseurs cloud tiers
    Avant, si cela venait de l’intranet de l’entreprise, on pouvait avoir confiance. Aujourd’hui, les sondages, les formations et le nouveau projet à la mode viennent tous de domaines externes obscurs, et on vous demande de vous y connecter avec vos identifiants d’entreprise
    Mon entreprise mène des campagnes de « faux phishing » pour transformer la sensibilisation aux emails de phishing en jeu et entretenir les réflexes, mais cela ne devrait pas être nécessaire pour des tâches professionnelles légitimes

  • Pour proposer une loi : si une notification électronique d’une entreprise ressemble à du phishing au point qu’une personne raisonnable ait des motifs évidents de douter de sa légitimité, alors toutes les conséquences financières et juridiques liées au fait de l’ignorer devraient être supportées par l’expéditeur
    Ici, « l’expéditeur » désigne la partie qui a envoyé la notification électronique

    • Dès qu’on met un mot comme « raisonnable » dans la loi, on entre dans un bourbier
      On peut partir du principe qu’à chaque apparition du mot « raisonnable » dans un texte de loi, plus d’un milliard de dollars de frais d’avocat ont déjà été dépensés ou le seront
    • J’ai moi aussi failli avoir de gros ennuis à cause de ça. Une « banque » dont je n’étais pas client continuait à m’envoyer des messages du genre « urgent, répondez à ce formulaire avec vos informations personnelles sinon nous bloquerons votre compte », et cela ressemblait franchement à une arnaque
      Plus tard, j’ai reçu le même contenu par courrier postal et, après avoir appelé la banque, j’ai découvert qu’il y avait là-bas un compte contenant des fonds de pension provenant d’un ancien employeur
    • Dans ce cas, le résultat est que l’organisme public australien chargé de percevoir les taxes à l’importation ne reçoit pas l’argent
      Cet organisme ne transmet alors pas le colis à FedEx, et au final vous ne recevez pas votre colis. FedEx doit nettement mieux faire ce genre de notifications, et au minimum embaucher un concepteur-rédacteur
    • En réalité, les conséquences retombent déjà sur l’expéditeur. En cas de non-respect, selon le pays et le type de marchandise, le colis est détruit ou renvoyé
      C’est dommage qu’il n’existe pas de moyen simple de payer les taxes à l’avance et qu’il faille s’en remettre à la chance pour savoir si l’on sera contrôlé. Heureusement, l’UE a réglé ce problème, ce qui a presque fait disparaître les mauvaises surprises. Sauf du côté des United States et du United Kingdom
    • La direction va sûrement sur-réagir et mettre en place une authentification en 100 étapes, avec des mots de passe de 30 caractères où les symboles Unicode sont obligatoires