בראיון ל- Wired מודיע ערן רשף, מנכ"ל Blue Security, על הפסקתם של שירותי האנטי ספאם של החברה. נעשים מאמצים לשנות את ייעוד החברה ולהשתמש בתשתיות הטכנולוגיות והאנושיות שבה לכיוון הנבחר החדש. ציינתי בפוסט הקודם בנושא שעוד מוקדם לחזות כיצד תסתיים הסאגה, אך לא ידעתי כמה מהר תסתיים…

זו היתה אמורה להיות שעתה הגדולה של Blue Security. המלחמה שניהלה עד אז בהצלחה לא מבוטלת, כשהיא "משכנעת" שישה מעשרת הספאמרים הגדולים להניח למשתמשיה, הגיעה לשיאה. כעת, המהלומה שהנחיתו הספאמרים על רשת הבלוגים של Six Apart בה התארחה הייתה אמורה להניע את משתמשי האינטרנט ורשויות החוק להתגייס מאחוריה ולסיים פעם אחת ולתמיד את חוצפת הספאמרים.

למרבה ההפתעה, משתמשי האינטרנט קמו על Blue Security והאשימו אותה באחריות לנפילה, רשויות החוק לא הצליחו או לא רצו למנוע את מתקפות הספאמרים, והשירות עצמו לא הצליח להתמודד עם מתקפות אלה והיה מושבת בחלקו או במלואו בשבועיים האחרונים.

יש לי תחושה שישנם רבדים סמויים בסיפור הזה וכי גורמים בעלי השפעה פועלים בו מאחורי הקלעים, אך כבר אפשר לסכם כי לעולם אתה יודע כיצד מלחמה מתחילה אך אינך יודע כיצד היא מסתיימת ולפני שאתה יוצא למלחמה שכזו כדאי שתדאג כי:

• דעת הקהל העולמית מאחוריך
• יש לך את האמצעים לנהל קרב בלימה ומתקפת נגד
• יש ברשותך אמצעים להפעיל את צבא המילואים שלך
• אינך מסתמך על נשק יום הדין

ל- Blue Security היתה דעת קהל בעייתית ואף עויינת, ההגנה על האתר לא החזיקה מעמד והחברה לא הצליחה לשתק את הגורמים שהתקיפו אותה. כשהגיע הרגע המכריע נכשלה החברה בהשמשת חצי מליון המשתמשים שלה שהיו שמחים להטות שכם במאבק והדרך היחידה שלה לשתק את המתקפה היתה להשתמש באותן טקטיקות האקרים שהופנו נגדה ולעבור על החוק. לחברה, בנגוד לספאמר, אין את הפריווילגיה של פעילות מחוץ לחוק.

החוכמה שבדיעבד היא הקטנה שבתבונות, אך מישהו היה צריך לחשוב על זה לפני שיצא למלחמה מול גופים המרוויחים מליונים מספאם. לפי מידע שקיבלנו, הספאמר PharmaMaster שהתקיף את Blue Security מגלגל מחזור של יותר משלושה מליון דולר בחודש והוציא סכומי עתק על המתקפה. הכסף הושקע בפיתוחו והפצתו של וירוס ייעודי ל- Blue Security וזאת על ידי האקרים מהטובים בעולם.

מול שילוב כזה של עזות מצח, משאבים ויכולת "מקצועית" ובמגבלות החוק הקיים לא היה להם סיכוי. אך מדוע לצאת לקרב בו אין לך סיכוי לנצח?

ועכשיו, למישהו יש רעיון לתוכנת אנטי ספאם שדרכיה דרכי נועם וכל נתיבותיה שלום?

עוד מוקדם לחזות כיצד תסתיים הסאגה של Blue Security, אך היא מעלה מספר לא מועט של נושאים הראויים להתייחסות. למי שטרם שמע, להלן התקציר:החברה הישראלית היא מפעילת שירות בשם Do Not Intrude Registry המספק הגנה מפני דואר זבל- Spam. כאשר אתם מקבלים הודעת זבל אתם מדווחים עליה לשירות ואם השולח אינו חדל ממעשיו הרעים קהילת המשתמשים, המונה כמעט חצי מליון איש, מפציצה את השולח באמצעות תוכנת Blue Frog בהודעות ומשבשת את יכולת העבודה שלו.תג המחיר שגובה קהילת Blue Security גורמת לספאמרים שלא להתעסק עם חבריה אך ספאמר זועם החליט לגבות מחיר בחזרה והוא פתח בהתקפה על שרתי האינטרנט של Blue Security. השרתים נפלו וקברניטי החברה חיפשו דרך לחדש את התקשורת עם העולם החיצון. הפתרון לפי הטענה היה להעביר את כתובת ה-DNS של שרת האינטרנט מהכתובת המותקפת לכתובת של הבלוג המאוכסנת על מערכת הבלוגים TypePad מבית Six Apart. ההתקפה עברה גם היא לכתובת החדשה ורשת אתרי Six Apart קרסה, יחד עם קרוב ל- 2 מיליון אתרי הבלוגים שהיא מארחת. The shit has hit the fan ולמרות שבהודעותיה (עדיין) לא תקפה Six Apart את Blue Security הרי שבלוגרים זועמים רבים האשימו את Blue Security באחריות ישירה לאירוע וביקרו את טקטיקת ה-"לוחמת אש באש" שהיא נוקטת. בהסלמה נוספת, שלחו ספאמרים הודעות איום למשתמשי Blue Security. רבותי – הם יודעים איפה למצוא אתכם. הנה ההודעה השניה שקיבלו המשתמשים:

Dear Blue Frog Member,

As a follow-up to our previous emails, and, as promised, we are stepping up in the fight against Blue Security.

The Blue Frog member email database has been compromised, and is currently being distributed worldwide to spammers and to the public. Attached to this email, you will find a zip file of the Blue Frog database, which includes your own personal or business email address(es). If you have not uninstalled Blue Frog yet, we highly suggest you do so now in order to avoid your involvement in this war any further.

Leaving your email address on the Blue Frog list is a risky choice, as we will uphold our promise not only to increase your spam by 20 times the amount you are receiving now, but to continue to make this list publically available as well. Also, as the Blue Frog member database is updated, we will find more creative ways in which to use it, and frequently release it to whomever we wish.

ישנם לא מעט נושאים שמעלה האירוע. הוא מדגים עד כמה עדינה היא רשת האינטרנט וכמה בקלות יכול גורם בודד לשתק חלקים לא מבוטלים ממנה. אני מקווה שישנם אנשים ששנתם מודרת בימים אלה כשהם חושבים מה תא טרור קטן יכול לעשות לאחד מאפיקי המידע והמסחר העיקריים של העולם המערבי. הפגיעות הזו לא יכולה להמשך.

הדבר השני שמבליט האירוע הוא נטייתם של אנשים להאשים את הצד המתגונן אקטיבית. אנשים רוצים שקט תעשייתי ואם המחיר הוא 100 הודעות זבל ביום – הם ישלמו אותו. במלחמה יש נפגעים ורוב האנשים רוצים לנהל את הבלוג שלהם בשלווה בלי שכל מיני חברה מהמזרח התיכון ינהלו את מלחמותיהם בספאם על גבם. ומה בנוגע למשתתפים בשירותי אנטי-ספאם, העלולים למצוא את עצמם תחת מתקפה אישית מצד הספאמרים. האם יהיו המשתמשים מוכנים להמשיך במלחמה כאשר זו תגבה מהם מחיר אישי? האם יתערבו רשויות החוק בחשד להטרדה?

בעיה נוספת היא שיקול הדעת שהוביל להעברת ה- DNS ל- TypePad שהוא, לטוב ולרע, ישראלי להכאיב. לטוב – מדובר בפתרון אד-הוק יצירתי, לרע – הוא מעביר את הבעיה לפתחו של מישהו אחר. עבודה בסביבה גלובאלית מחייבת נקיטה בסגנון מתאים ומי שיזלזל בערכי ההתנהגות המקובלים בעולם עלול לזכות לתביעות ייצוגיות המקובלות בעולם. אנשים, בשביל זה ברא האל הטוב יועצים משפטיים.

האירוע יהרוג או יחשל את Blue Security. תביעה ייצוגית או צונמי של "עליהום" מצד בעלי בלוגים שנפגעו יכולה לחסל את החברה אך במקביל היא רוכשת מליוני תומכים שמזדהים עם מטרותיה ועם האמצעים שהיא נוקטת להשגתם. ידיד שלי טוען ש-"גם פרסומת שלילית היא פרסומת" ותוך שבוע יהיו מעט מאד אנשים בבלוגוספירה ומעבר לה שלא ידעו מי היא Blue Security. תחשבו כמה זה היה עולה בקמפיין באנרים…

נשמח לשמוע מה החבר'ה מ- Blue Security חושבים…

כשמדברים על בעיית התשלומים ברשת מדברים בדרך כלל על fraud. אך גם אם סטטיסטיקת הרמאויות ממשיכה להדאיג הרי שאבדן ההכנסה והנזקים העקיפים הנובעים מההתמודדות איתה עולים בנזקיהם על הבעיה שבאו לפתור. בתחומים דוט קומיים קלאסיים (תכנים, כלי ניהול מידע, תקשורת, היכרויות וכו') מתקיים ממש אבסורד שכן לשירות אינטרנטי אין בדרך כלל עלות ייצור ליחידה, או שעלות השירות למשתמש שולית ולפיכך אין ברוב המקרים הפסד מרכישה ברמיה של השירות. ההגנה מפני רמיה, לעומת זאת, יכולה לפגוע בכ- 50% ממחזור ההכנסות של השירות. לא סביר בכלל.באופן כללי, ישנן שלוש קטגוריות של בעיות ישירות העומדות בפני עסקים מקוונים בהקשרי התשלום השונים:

דחיה (rejects) – חברת הסליקה מסרבת לחייב את אמצעי התשלום
הבעיה הנפוצה ביותר היא סירוב חברת הסליקה לעבד את התשלום. לסירוב סיבות רבות ומגוונות, החל מהיסטוריה בעייתית של המשלם ופסילה של אמצעי התשלום הספציפי (fraud) דרך סירוב חברת הסליקה לכבד אמצעי תשלום של גופים מסויימים (בנקים, חברות אשראי), וכלה בפסילה גורפת של מדינות שלמות (מי אמר ניגריה?).
בעבודה עם לקוחות בינלאומיים יכול היקף הדחיה להגיע בקלות ל- 20 עד 40 אחוז, בכפוף לסוג המוצר הנמכר וסוג הלקוחות אותו הוא מושך – פחות בתוכנה, יותר באביזרי מין.
דחיית תשלומים אמנם מגינה על המוכרים (כשם שהיא מגינה על הסולק) אך גם פוסלת בדרך כמות עצומה של לקוחות הגונים הנפגעים עד עמקי נשמתם ופונים להשקיע את כספם במקום אחר. במצבים בהם ישנם 30-40 אחוזי דחיה בהחלט ייתכן והעסק מחמיץ 20% של עסקאות אמת מהמחזור המקוון שלו.

החזר (Refunds) – הלקוח פונה לחברה או לסולק לקבלת כספו בחזרה
הטענות נעות בין "לא הזמנתי", "הזמנתי משהו אחר", "לא קיבלתי", "הילד הקלפטומן שלי הזמין את זה" ו-"התחרטתי" כאשר ישנן עוד אי אלו סיבות, אקזוטיות יותר, למשל "אני סובל מסינדרום קניה כפייתית".
להבדיל מדחיית תשלום, ההחזר מתבקש בסיום תהליך המכירה ובשל כך דורש התערבות אנושית של מחלקת התמיכה שתבחן את הנושא ותחליט על הצעדים הדרושים. מעבר לזמן הטיפול הנדרש ישנה גם עלות טיפול מצידו של הסולק ובמקרים רבים נדרש המוכר להשאיר בידו של הסולק את עמלת הסליקה היכולה להגיע גם ל-10% מסכום העסקה.

Chargebacks – הלקוח פונה לבנק לביטול העסקה
חוסר הצלחה לקבל החזר או ויתור מצד המשלם על פניה למוכר או לסולק יכולים להוביל לפניה ישירה של הלקוח לבנק או לחברה המפיקה את אמצעי התשלום בטענה "לא הזמנתי" או "לא קיבלתי" ולהוצאת Chargeback המשנע עבור המוכר תהליך יקר בזמן ובכסף. תהליך זה מתחיל בפניה רשמית של הבנק או חברת האשראי לסולק ודרכו למוכר, עליה יש לענות במכתב רשמי. הסבר בלתי מספק או העדר תגובה – והדרישה לסולק להחזר תשלום גובה ממך את סכום העסקה ועלות טיפול נדיבה.
חריגה מאחוז מסויים של Chargebacks והסולק מבטל איתך את החוזה או קונס אותך בכמה עשרות אלפי דולרים – לבחירתך.

הנזקים הנובעים מבעיות תשלום בשרת הם עצומים וכפי שציינתי בתחילת הפוסט – לא קשה למצוא שירותים אינטרנטיים גלובאליים שאינם מצליחים לסלוק גם חצי מהתשלומים המתקבלים במערכת.

הפתרון היחיד שיאפשר לסולקים להסיר את המחסומים, או לפחות את חלקם, ולאפשר למוכרים להתגונן בפני טענת ה-"זה לא אני" הוא אמצעי זיהוי שיבטיח כי המשתמש באמצעי התשלום הוא אכן בעליו החוקיים. השימוש ב- pin number (המספר שמאחורי כרטיס האשראי) עוזר מעט אך רחוק מלספק. יש למצוא פתרון רדיקאלי בהרבה אך ללא עלויות נלוות כפי שמתחייב ממכשירים ביומטריים.
יש לכם רעיון לסטארט אפ? המוצא הישר יבוא על שכרו.