Спасибо, FedEx, из-за таких как вы люди продолжают вестись на фишинг

В последнее время мне приходит куча СМС от мошенников о том что "моя посылка не может быть доставлена". Если у вас есть телефон то вы тоже скорее всего получали подобный спам. Напомню как он выглядит:

Эти сообщения проходят через фильтры спама моего оператора связи Telco и захламляют раздел "Входящие СМС" на моём телефоне. Но я не ведусь на подобные разводы потому что знаю признаки по которым можно распознать фишинг: нагнетаемое чувство срочности, попытки внушить мысль о том что пользователь столкнётся с проблемами если не выполнит инструкции мошенника прямо сейчас и странные URL непохожие на сайты реальных служб доставки. Мошенники даже пытаются убедить меня в том что они из почты Австралии вставляя "auspost" в свою ссылку, но я умный человек который не ведётся на такие примитивные уловки (шучу, здесь вы можете прочитать почему людям трудно распознавать фишинговые URL).

Тем не менее... так получилось что в данный момент я действительно жду посылку. Мы живём в постковидные 2020-ые так что я постоянно жду какую-нибудь посылку потому что теперь принято покупать вещи именно таким образом. И когда на этой неделе я получил нижеприведённое СМС я одновременно ожидал и реальную посылку и фишинговые СМС:

И так: что это? Реальное сообщение или обман? Давайте посмотрим что решат пользователи твиттера:

"Это реальное сообщение? Нужно ли мне оплачивать пошлину и налоги?" - твит автора статьи от 20 февраля 2024

Из 4000 опрошенных 87% решили что сообщение является "крайне подозрительным". Почему люди не доверяют этому СМС? Давайте выделим 7 основных "подозрительных" признаков:

1. Мошенники часто допускают опечатки в своих сообщениях: FedEx обычно записывает своё название с заглавной второй E, однако в данном СМС обе буквы E строчные (Fedex). И что ещё за "-Exp" в конце?

2. Почему номер доставки (216.21) такой короткий? И почему он в точности совпадает с суммой платежа?

3. "Необходима срочная оплата"? Внушаемое чувство срочности - это основа социальной инженерии заставляющая людей действовать до того как они хорошо продумали свои действия.

4. Почему в словосочетании "Duty and Taxes" D и T - заглавные?

5. FedEx - это международная служба доставки с штаб-квартирой в США. Почему они не указали валюту в которой необходимо провести оплату? Почему они хотя бы просто не поставили значок доллара ($)?

6. Что ещё за домен "bpoint.com.au"? Это точно не домен FedEx и не домен правительственного сайта Австралии (раз уж мы говорим об оплате пошлин и налогов).

7. В сообщении указаны контактные данные на случай если у меня возникнут "какие либо вопросы". Это плохая пратика от которой мы отказываемся по очень простой причине: она облегчает мошенничество.[Прим. пер: указание контактов в самом сообщении - это излюбленная тактика мошенников позволяющая указать контакты "подставного" колл-центра вместо реального]

И я был согласен с 87% опрошенных. Тем не менее... я ждал посылки. Из FedEx. И она была отправлена из другой страны, так что она действительно могла облагаться пошлиной и налогами. И я ОЧЕНЬ хотел получить эту посылку потому что внутри был новенький потрясающий 3D принтер Prusa!

Есть мудрый совет, который всегда актуален в таких случаях, и он очень прост: если вы сомневаетесь, зайдите на сайт службы доставки и проверьте запрос самостоятельно. Я зашёл на сайт Prusa, открыл страницу заказа, нашёл детали доставки и перешёл по ссылке на страницу доставки FedEx. Дело за малым: найти раздел в котором говорится о налогах и пошлинах.

Я прошерстил всю страницу, но так и не смог найти никакого упоминания пошлин или налогов. Как я ни старался, мне не удалось установить подлинность СМС, обратившись непосредственно к (предполагаемому) источнику.

Зато мне удалось установить другой интересный факт: на странице куда ведёт ссылка из СМС можно легко поменять трек-номер, имя клиента и сумму платежа.

Для этого достаточно поменять GET параметры в ссылке. Я не менял код страницы, не модифицировал траффик и не делал ничего из рамок вон выходящего. Данные буквально подставляются из GET параметров! Этот сайт создаёт впечатление самого мошеннического сайта в мире, но никак не платёжного сервиса управляемого крупнейшим банком Австралии. Серьёзно, BPOINT это сервис оплаты принадлежащий Commonwealth Bank и после подобного опыта я всерьёз задумался о том что бы связаться с банком и сообщить о данном "баге". К сожалению, они скорее всего не считают такое поведение "багом" и фиксить его не будут.

На следующее утро я получил второе СМС от того же самого отправителя:

Я даже не знаю лучше ли это СМС предыдущего или хуже 🤦‍♂️. Давайте я просто выделю основные моменты:

1. Мой номер доставки теперь указан в тексте верно.

2. Слова "пошлина" и "налоги" теперь имеют верный регистр.

3. Слова "ОПЛАТИТЕ СЕЙЧАС" написаны капсом. Это подозрительно

4. И моё любимое: "ссылка" в данном сообщении - это на самом деле не ссылка. В ней нет схемы, нет домена, нет пути, только GET параметры.

Из-за того что они сделали с ссылкой данное СМС становится совершенно бесполезным. Мне просто некуда переходить что бы оплатить пошлину и налоги. И почему все параметры в ссылке теперь написаны капсом? Выглядит так как будто ссылку в первом и втором СМС генерировали в разных системах. Ну или мошенники просто не заморачиваются с написанием своего спама...

Из-за того что я склонялся к тому что данное сообщение - фишинговое, я решил копнуть глубже и погуглить номер для связи указанный в СМС. Одним из первых результатов в поисковой выдаче был сайт Reverse Australia, отзывы на котором противоречили друг другу:

И чем больше я читал отзывы в интернете тем больше я встречал людей не понимающих действительно ли данный номер принадлежит FedEx или нет. Остался только один выход - позвонить в FedEx. Разумеется не по номеру указанному в (возможно) фишинговом СМС, а по номеру указанному на их официальном сайте. Я зашёл на сайт, выбрал пункт меню "Поддержка", нажал на кнопку "Поддержка клиентов" и увидел вот это:

Я избавлю вас от необходимости читать ответ который мне выдал бот и скажу лишь то что он относился только к перепискам по электронной почте и по сути сводился к предложению проверить правильность домена отправителя. Но мне удалось убедить бота показать мне телефонный номер поддержки FedEx который, как вы видите, отличается от номера указанного в СМС.

И так, я звоню по данному номеру и следую голосовым подсказкам, в тональном режиме нажимая необходимые цифры и пытаясь связаться с отделом который отвечает за пошлины и налоги. Но внезапно, на полпути, система перестаёт реагировать на нажатия клавиш! "1" не работает, "2" на работает, а АТС, не дождавшись ответа, просто начинает повторять одну и ту-же запись снова и снова. К счастью в меню есть пункт который предлагает мне "Альтернативные методы решения проблемы" в случае если робот не смог мне помочь. При его выборе робот советует мне позвонить на номер 132610. Проблема только в том что это и есть номер на который я сейчас звоню и на котором я застреваю в этом бесконечном цикле.

Я продолжаю свои попытки выбирая различные пункты меню и натыкаюсь на пункт где робот спрашивает мой трек-номер и затем просто повторяет те данные которые уже указаны на сайте FedEx. Но к счастью помимо этого он предлагает мне связаться с живым оператором и я не упускаю шанс воспользоваться этой возможность. Оператор объясняет мне что моя посылка оценена в 799 американских долларов, что составляет 1,215.97 австралийских долларов и следовательно моя посылка облагается определёнными сборами. "Это конечно здорово, но сколько именно мне нужно заплатить? Совпадает ли эта сумма с суммой в подозрительном СМС?". Оператор обещает что позже мне обязательно перезвонят...

И спустя 3 дня после получения первого подозрительного СМС на мою электронную почту приходит письмо:

Сумма в долларах, адрес BPOINT и посыл сообщения совпадает с СМСками, но это ещё не доказательство подлинности сообщений. Если у кого то есть мой номер телефона и адрес электронной почты он может легко попытаться обмануть меня отправив несколько мошеннических сообщений с одними и теми же данными. Но затем я увидел аттач в электронном письме:

ЭТО И ЕСТЬ ДОКАЗАТЕЛЬСТВО!!!

Там был мой инвойс от Prusa вместе с номером заказа, ценой и информацией о доставке. Иными словами: 87% людей ошиблись.

А теперь серьёзно. Ежегодно из-за мошенников Австралийцы теряют более 3 миллиардов австралийских долларов, и очевидно что это лишь капля в океан тех финансовых потерь вызванных мошенниками которые несут люди по всему миру. Австралийское управление связи и СМИ недавно доложило о блокировке 336 миллионов фишинговых СМС и подобные меры это хорошо, но данная цифра ничего нам не говорит если мы не знаем о количестве фишинговых СМС которые не были заблокированы. ACMA очевидно не знает сколько фишинговых СМС было отправлено, но не заблокировано. Однако я считаю что они заблокировали лишь вершину айсберга. Поэтому в дополнение к техническим мерам контроля мы должны полагаться на человеческий контроль и помогать людям определять признаки фишинговых сообщений: просьбы о переводе денег, внушаемое чувство срочности, ошибки с грамматикой и регистром символов, странно выглядящие ссылки. Ну знаете, примерно такие:

Весь абсурд ситуации заключается в том что пока мы пытаемся научиться распознавать мошенников имитирующих настоящие организации, FedEx начинает имитировать мошенников! Мы живём в эпоху мошенничества использующего искусственный интеллект, мошенничества которое крайне сложно идентифицировать, и FedEx говорит: «вот, подержи мое пиво», после чего копирует все признаки мошенников становясь неотличимым от них.

Но, несмотря на то что я сожалею о подобных ситуациях, сейчас хорошее время что бы заняться решением проблем в данной отрасли 😊.