"Pouvez-vous nous faire un site?" — rôle du consultant [fr]

[en] I'm regularly asked by potential clients to "make a website for them". This is not something I do -- if it is the only thing expected from me -- because I think that it is often a recipe for unsatisfaction. I see myself as somebody who is mainly going to educate my clients about "the internet", and accompany them in setting up a solution for their web presence which keeps them as autonomous as possible.

This post is mainly a reproduction of a document I made for a client, explaining the difference between a "service provider" and a "consultant", and the advantages of hiring the services of a consultant, even if what you want is "a web site".

Il y a quelque temps, j’ai été contactée dans le cadre d’une appel d’offres pour un site internet. Cela m’arrive relativement régulièrement: “Nous n’avons pas de site, pouvez-vous nous en faire un?” L’attente du client, dans ce cas, est généralement la livraison d’un site clé en mains pour lequel il aura fourni un certain nombre d’informations au prestataire de services (exigeances ou souhaits concernant le graphisme, la structure du site, le contenu), avec un minimum de formation pour pouvoir s’occuper du site par la suite, ou un contrat de maintenance.

Personnellement, je n’aime pas du tout travailler comme ça. Je préfère apprendre à mes clients comment pêcher (ici: mettre en place une présence internet) que de leur donner une caisse de filets de carrelet (ici: un site internet bien emballé avec manuel d’utilisation). Même si on peut argumenter que je ne suis pas une [pure consultante](http://climbtothestars.org/archives/2007/02/07/martin-roell-getting-started-in-consulting-lift07/), c’est quand même le conseil et l’accompagnement qui sont au centre de ma démarche, dans une optique “comprendre et apprendre internet”. Ça convient, ou ça ne convient pas, mais c’est comme ça que je travaille en ce moment.

Suite à une première rencontre avec le client où j’ai expliqué tout ça, j’ai résumé sous forme d’un document écrit les principaux éléments de la discussion. Comme je l’ai déjà fait (voir: [Musique: bénéfices d’une bonne stratégie internet](http://climbtothestars.org/archives/2007/03/18/musique-benefices-dune-bonne-strategie-internet/), je reproduis ici avec quelque modifications (anonymisation en particulier) ce document.

#### Consultant ou société de services

Le rôle d’un consultant est d’accompagner le client dans une démarche (de changement ou de résolution de problème). A ce titre, il peut être appelé à fournir des services, mais ce n’est pas là son rôle premier. Il vise à ce que le client soit autonome à la fin du mandat. C’est un investissement dont les résultats resteront sensibles sur le long terme.

La société de services fournit un produit fini, souvent avec un contrat de maintenance. S’il faut apporter des modifications au produit après la fin du mandat, il faut faire à nouveau appel à la société de services (et payer en conséquence). Le client reste dans une relation de dépendance, un peu au coup par coup.

Cette distinction est certes simplificatrice. Dans le cas qui nous occupe, on peut dire que le “problème” auquel on veut remédier est la non-utilisation d’internet comme canal de communication, et que “créer un site” est la solution proposée. Mais ce n’est pas nécessairement une solution suffisante, car les attentes quant à la résolution de se problème ne sont pas juste “avoir un site”, mais à un plus haut niveau (stratégie de communication tirant parti de ce qu’internet peut offrir, peut-être une certaine autonomie par rapport à ce média généralement mal connu, également).

En l’occurrence, l’appel d’offres lancé par l’organisation concerne principalement la livraison d’un produit fini (un site internet), dont une partie du contenu et des caractéristiques ont déjà été élaborés de façon interne.

En tant que consultante, je ne livre pas de produits finis comme le font les sociétés de services, à moins que cela ne soit dans le cadre d’un mandat plus large. Le risque que le “produit fini” ainsi livré tombe à côté des attentes réelles mal identifiées est en effet trop grand. Je considère que cela ne rend pas service au client (qui court de grands risques d’être insatisfait en fin de compte), et par extension, cela ne me rend pas service non plus en tant que professionnelle.

#### Un consultant pour une démarche internet

On peut se demander — et c’est compréhensible — s’il est vraiment pertinent d’utiliser les services d’un consultant pour la mise en place d’un site internet. Ce n’est effectivement absolument pas nécessaire si tout ce que l’on désire est “un site”. Cependant, il faut être conscient qu’en abordant les choses ainsi le site en question risque fort d’être insatisfaisant, ou de le devenir dans un futur plus ou moins proche.

En effet, un site internet, au contraire d’une brochure imprimée, n’est pas véritablement un produit qui peut être “fini”. C’est un espace, un lieu d’ouverture sur l’extérieur à travers internet, et qui est en évolution permanente. Faire évoluer cet espace (ne serait-ce que pour garder à jour le contenu pour refléter l’évolution de la vie de l’organisation) demande l’acquisition de certaines compétences à l’intérieur de l’organisation.

De plus, internet n’est pas simplement “du contenu imprimé accessible par ordinateur”. C’est un média à part entière, avec ses caractéristiques propres, sa culture, ses règles, et sa technologie. C’est un média très mal connu du public non spécialisé, d’une part parce qu’il évolue très vite (rester “à jour” demande donc un investissement conséquent), et d’autre part parce qu’il est très jeune (les personnes de plus de 25-30 ans n’ont en général eu aucun contact avec ce média, même passif, durant leurs années formatrices).

Faire appel aux services d’un spécialiste de ce média lorsque l’on décide d’y faire ses premiers pas permet:

* de comprendre réellement ce qui est en jeu, et donc d’être plus en contrôle de ce que l’on va y faire, et de ne pas naviguer à l’aveugle;
* d’adapter l’utilisation de ce nouveau média à la culture spécifique de l’organisation, y compris à son degré de confort avec un outil peu connu, et donc potentiellement déstabilisant et inquiétant;
* d’avoir un interlocuteur qui peut “faire l’intermédiaire” entre l’organisation et les sociétés de services auxquelles elle ferait appel;
* d’acquérir une plus grande autonomie par rapport à ce média et une stratégie de communication en évolution.

#### Forme possible d’un mandat

Voici par exemple comment le consultant pourrait accompagner l’organisation dans le cadre de la mise en place d’un site internet:

* soutien pour la gestion du projet à l’intérieur de l’organisation
* formation technique et “culturelle” des personnes gérant le site, y contribuant, et des décideurs
* assistance technique et stratégique en cas de difficultés
* accompagnement durant la préparation, mise en place du site, et même après
* réponses aux questions
* coaching rédactionnel
* interface (“traduction”) avec les prestataires tiers
* aussi possibilité d’agir comme société/fournisseur de services (=”mettre en place le site”, avec un outil de gestion de contenu léger rendant les mises à jour possibles de façon autonome), mais pas obligatoire
* …

Similar Posts:

Chasse à la faute [en]

[fr] Typo stuff.

Commentaires sur 20minutes.ch? [en]

Quand mes mains tombent dessus, je feuillette [20minutes](http://20minutes.ch), comme c’était le cas ce matin. Je le préfère à son frère assez jumeau [Le Matin Bleu](http://lematinbleu.ch “Tiens, pas d’autre site que BleuBlog? Dingue.”), assez bêtement parce que les gaillards qui l’avaient présenté au [Cercle de la Presse](http://climbtothestars.org/archives/2006/02/28/cercle-de-la-presse-20minutes-bientot-en-suisse-romande/) m’ont fait bonne impression, et que Le Matin Bleu perd des points à cause des manchettes racoleuses de [son grand frère orange](http://lematin.ch). (N’essayez pas de faire l’arbre généalogique, ça va se casser la figure.)

Donc, bref, un peu surprise en allant sur le site de 20minutes (qui lui, au moins, existe), parce qu’il me semblait qu’au départ, on pouvait commenter chacun des articles. Quelqu’un se souvient? Ma mémoire me joue des tours? Si je me souviens juste, quelqu’un sait pourquoi ils ont arrêté, et quand?

En tous cas, commentaire sur l’article [Charles Poncet a incité les jeunes au vandalisme](http://www.20min.ch/ro/lausanne/story/10616103). Faute de frappe (d’orthographe?) vers la fin du premier paragraphe: [les propos] tenus part Charles Poncet. J’ai aussi aimé, à la page suivante, dans 20 secondes, la bagarre provoquée par un pneu.

Faites gaffe dans les parkings, les pneus cherchent la bagarre!

Similar Posts:

Franchement, PostFinance! [fr]

[en] I tried to open a Post Office account online. Filled in a bunch of forms. Now, a few days later, I finally receive a letter telling me I need to go to the office itself and fill in the forms. Great. The website could have told me that. Had I known, my account would have been open by now.

Inspirée par l’exemple d'[Anne Dominique](http://annedominique.wordpress.com/), j’ai décidé d’ouvrir un [Compte Jaune](http://www.postfinance.ch/pf/content/fr/seg/priv/pay/account/chf.na_priv.html “Conservez précieusement ce lien, mettre la main dessus a été un parcours du combattant.”).

C’était samedi. D’abord, j’ai pensé que j’allais faire simple, et faire un saut à  la poste du quartier. Mais, doute. Quelles étaient les heures d’ouverture? Après avoir perdu près de quinze minutes sur le site à  chercher l’information (je sais qu’elle y est, je me souviens l’avoir trouvée il y a quelques mois), j’ai renoncé et appelé le numéro de service. Ouverture de 9h-11h, j’étais un peu tard.

“Tant pis!” me dis-je, je vais faire ça en ligne. J’ai donc [rempli des tas de formulaires](https://www.postfinance.ch/pf/content/fr/seg/priv/pay/account/chf/openaccount.na_priv.html) pour demander l’ouverture d’un compte.

Aujourd’hui, mercredi, je reçois un courrier de la poste. Génial, c’est sans doute le contrat à  signer et renvoyer! Que non. Un tas de documentation, et une très gentille lettre qui me remercie de mon intérêt et qui m’annonce qu’il n’y a rien de plus simple que d’ouvrir un Compte Jaune. Il suffit de compléter les documents d’ouverture (lesquels? je refais trois fois le tour du contenu du courrier, rien en vue) et de les remettre à  un guichet de poste en présentant une carte d’identité.

Ben franchement, pour qu’on me dise ça, il n’y avait pas besoin de me faire remplir trois formulaires. J’aurais préféré que le site me dise tout de go qu’il fallait que j’aille au guichet. Ce serait fait, maintenant, si j’avais su. Grmph.

Similar Posts:

Revue de presse pas si expresse [fr]

[en] Updated my press page. Complaint about the sorry state of some journal online archives and sites. La Liberté seems to get it right, though. All this smattered with early Sunday afternoon ramblings.

Tout d’abord, un grand bonjour aux lectrices et lecteurs de Femina qui passeraient par ici pour la première fois. Je vais être d’une originalité déconcertante en disant que j’espère que mon blog vous plaira. Si le technologie vous rebute et que vous préférez les photos, j’ai aussi [un certain nombre d’albums en ligne](http://flickr.com/photos/bunny/sets/).

N’hésitez pas à [laisser un commentaire pour me dire bonjour](http://climbtothestars.org/archives/2006/02/19/revue-de-presse-pas-si-expresse/#respond “C’est par ici!”) — je vous promets, même si c’est la première fois ça ne fait pas mal.

Passons aux choses plus graves. J’ai mis à jour [la page presse](/about/presse) du mieux que j’ai pu. Je commence à me retrouver citée dans les journaux sans le savoir. C’est d’ailleurs [la deuxième fois](http://climbtothestars.org/archives/2006/01/22/revue-de-presse/ “Voyez la première.”) que [Raph](http://bonpourtonpoil.ch/ “Flippy pour les intimes.”) me l’apprend — “(12:39) ah ben c’est ça, [la popularité](http://climbtothestars.org/archives/2006/01/16/etre-madame-blogs/ “Quelques réflexions autour de ma croissante visibilité médiatique.”), machin”. Et dans le même ordre d’idées, Stéphane Le Solliec m’informait que mon nom figure dans [le dernier Joël de Rosnay](http://www.pronetariat.com/ “Avec un accent, quelle horreur!”)… Bref.

Si vous avez lu [dans La Liberté](http://www1.laliberte.ch/journal/jo_archives.cfm?vDest=chronoArtikel&id=235421 “Lire l’article”) que j’ai dit que la Suisse avait un net retard dans l’utilisation des blogs en politique… disons que je n’ai pas été aussi catégorique. J’ai plutôt dit quelque chose comme “euh… oui… ben [je disais il y a quelque temps qu’on était un peu à la traîne](http://www.lematin.ch/nwmatinhome/nwmatinheadactu/actu_suisse/blogs__les_romands.html “C’était dans Le Matin.”), mais là il me semble depuis quelques semaines qu’il y a vraiment des choses qui sont en train de démarrer, enfin ça bouge, donc on a un peu de retard, c’est clair, mais il me semble que c’est en train de changer…” Bref, moins catégorique. Et comme j’ai précisé à la journaliste, je ne suis vraiment pas une grande spécialiste du blog politique. Parce que moi et la politique… ça fait plus qu’un.

On notera en passant que [sur le site de La Liberté](http://www.laliberte.ch/), on peut faire des fouilles assez efficaces dans les

(http://www1.laliberte.ch/journal/jo_archives.cfm) (une fois qu’on a trouvé le minuscule lien dans la colonne de gauche). En utilisant la recherche par date, je trouve sans problème [toute la liste des articles “Régions” du 17.02.2006](http://www1.laliberte.ch/journal/jo_archives.cfm?vDest=chronoHeadlines&ausgabe=2006-02-17&ressort=Regions), par exemple. En mettant mon nom dans les mots-clés, on trouve deux articles — mais pas celui-ci, bizarrement? Donc, bravo La Liberté, c’est bien mieux que [d’autres que nous ne nommerons pas ici](http://climbtothestars.org/archives/2006/01/01/quotidiens-romands/ “Catastrophe: archives en ligne de trois quotidiens romands.”)!

On notera également en passant (je vois bien que je suis incapable de publier quoi que ce soit “d’express”) que la romandie compte maintenant enfin une star blogueuse: [Marie-Thérèse](http://porchet.romandie.com/ “Le blog de Marie-Thérèse Porchet.”). J’ai voulu [ouvrir un blog chez Romandie.com](http://blogs.romandie.com/inscription.php “Formulaire d’inscription.”), pour voir, mais alors là … Un gros cactus, allez — vous avez vraiment envie de donner votre **adresse postale** quand vous ouvrez un blog, vous? Allez plutôt chez [WordPress.com](http://wordpress.com). Même si pour le moment c’est en anglais, il y a plein de blogs en français là -bas, c’est joli, il n’y a pas de pub, on vous demande juste une adresse e-mail pour vous inscrire, et c’est une super plate-forme. [Laissez l’adresse en commentaire](http://climbtothestars.org/archives/2006/02/19/revue-de-presse-pas-si-expresse/#respond “Pour les commentaires, c’est par ici.”) si jamais vous décidez de vous lancer à l’instant, et j’irai jeter un oeil!

Je termine ce billet avec un autre gros cactus, pour Femina. Eh oui. (Rien à voir avec l’article, qui est très gentil et flatteur.) En allant chercher la version en ligne de l’article en question pour [ma collection](/about/presse/), j’ai vu que [le site de Femina avait été refait](http://www.femina.ch/ “Attention, intro Flash! Avec son!”). Peut-être il y a longtemps, je n’y vais pas souvent. Bon. Alors. D’abord, intro Flash avec son, non. On ne me donne même pas le choix d’y échapper. Et si j’étais en train d’écouter la radio pendant que je surfe, déjà ? Ou ma chanson préférée? Me flanquer du son dans les haut-parleurs de mon iBook sans me demander, c’est vraiment malpoli.

Ensuite, recherche d’articles. D’abord, [c’est tout en je-sais-pas-quoi-j’veux-pas-l’savoir](http://epaper.femina.ch/), et puis il faut s’inscrire avant de pouvoir voir quoi que ce soit. Au revoir, moi j’essaie même pas. C’est quoi le problème avec un bon vieux répertoire d’archives en HTML ([valide, si possible](http://pompage.net/ “Pour faire l’éducation standards web des webmasters qui en auraient besoin.”))? Je crois vraiment qu’il faut arrêter d’essayer à tout prix de rendre l’accès à l’information difficile…

Bonne fin de dimanche!

Similar Posts:

Radio sans moi et deux blogs à  visiter [fr]

[en] A radio show on blogs without me (I was busy teaching) and two Swiss politically oriented blogs worth visiting.

Très rapidement (mais alors très, parce que là , j’ai assez de boulot pour me garder occupée ces deux prochaines semaines même si je n’enseignais pas), notons [une émission sur la RSR1 ce matin](http://www.rsr.ch/view.asp?Domid=11&clickedDate=01/30/2006), qui portait sur les blogs.

On saluera deux faits:

– le sujet tournait plutôt autour du blog politique/blog d’entreprise, plutôt que l’éternel blog d’ado
– comme j’enseigne entre 9h00 et 9h30 le lundi matin, l’émission s’est faite sans moi 😉

On saluera aussi la personne responsable du site internet de la RSR1, à  qui l’on rappellera en passant que l’attribut id doit être unique sur une page. <DIV id=smallbold align=left> (sic) à  perte de vue sur la page, ça ne le fait vraiment pas. Ah oui, et j’ai remarqué (deux-trois autres personnes aussi) que le serveur ramait passablement. Une petite cure d’amaigrissement à  coups de [standards web](http://pompage.net/pompe/paitre/ “A balisage obsolète, article obsolète. Voyez le reste de Pompage.net pour plus d’actualité.”) serait peut-être à  conseiller.

Une mention cependant pour la possibilité de télécharger la chronique en MP3.

J’en profite pour vous envoyer vous balader sur deux sites romands “politisés” (prenez-en de la graine, vous autres, on en veut plus comme ça):

– [Une voix pour la Boillat](http://laboillat.blogspot.com/)
– [L’Asile dans le canton de Vaud au jour le jour](http://cscps-10.blogspot.com/).

Mise à  jour 04.02.2006: merci à  [Flippy](http://annedominique.wordpress.com/), qui me dit les avoir eu via [Fredoche](http://barzi.net/fredoche/), pour ces liens. Faites circuler!

Similar Posts:

Firefox Only For White Anglo-Saxon Males? No! [en]

Browse Happy needs testimonials from happy Firefox users who fall outside the “white high-tech anglo-saxon male” profile.

[fr] Browse Happy, un site qui encourage les gens à  se "convertir" à  Firefox, a besoin de témoignages de personnes qui ne tombent pas dans la catégories "homme anglo-saxon blanc branché technologie"... a bon entendeur!

Browse Happy is a neat site encouraging users to switch to Firefox, by publishing testimonials of happy switchers.

However, it does suffer from a problem: the people featured on the site tend to fit the white high-tech male anglo-saxon profile pretty dramatically. This strikes me as an unhappy coincidence, so maybe we can lend a hand in helping them gather a more respresentative sample of testimonials?

If you don’t fit that profile, and want to help spread the word that Firefox is for everybody… send in your testimonial!

Similar Posts:

Musings on a Multiblog WordPress [en]

Thinking about a solution to make WordPress MultiBlog. Comments, criticism and other ideas welcome — please join the fun. In particular, I bump into a hairy PHP include problem.

[fr] Je réfléchis à comment on pourrait donner à WordPress la capacité de gérer plusieurs blogs avec une installation. Je me heurte à un problème concernant les includes PHP. Feedback et autres idées bienvenues!

**Update June 2007: Try [WordPress Multi-User](http://mu.wordpress.org/) now.**

I’ve used Shelley’s instructions using soft links. I tried Rubén’s proof-of-concept, but got stuck somewhere in the middle.

So I started thinking: how can we go about making WordPress MultiBlog-capable? Here is a rough transcript of my thoughts (I’ve removed some of the dead ends and hesitations) in the hope that they might contribute to the general resolution of the problem. I have to point out my position here: somebody with a dedicated server who’s thinking of setting up a “WordPress weblog-farm” (for my pupils, mainly). So I’m aware that I’m not the “standard user” and that my solution is going to be impractical to many. But hey, let’s see where it leads, all the same. Actually, I think I probably reconstructed most of Rubén’s strategy here — but I’m not sure to what extent what I suggest differs from what he has done.

From a system point of view, we want to have a unique installation of WordPress, and duplication of only the files which are different from one blog to another (index.php, wp-config.php, wp-comments.php, wp-layout.css, to name a few obvious ones). The whole point being that when the isntall needs to be upgraded, it only has to be upgraded in one place. When a plugin is downloaded and installed, it only has to be done once for all weblogs — though it can of course be activated individually for each weblog.

From the point of view of the weblogs themselves, they need to appear to be in different domains/subdomains/folders/whatever. What I’m most interested in is different subdomains, so I’ll stick to that in my thinking. (Then somebody can come and tell me that my “solution” doesn’t work for subfolders, and here’s one that works for subfolders and subdomains, and we’ll all be happy, thankyouverymuch.) So, when I’m working with blog1.example.com all the addresses need to refer to that subdomain (blog1.example.com/wp-admin/, etc); ditto for blog2.example.com, blog3.example.com, blogn.example.com (I used to like maths in High School a lot).

As Rubén puts it, the problem with symbolic links (“soft links”) is called “soft link hell”: think of a great number of rubber bands stretched all over your server. Ugh. So let’s try to go in his direction, for a while. First, map all the subdomains to the same folder on the server. Let’s say blog1.example.com, blog2.example.com (etc.) all point to /home/bunny/www/wordpress/. Neat, huh? Not so. They will all use the same wp-config.php file, and hence all be the same weblog.

This is where Rubén’s idea comes in: include a file at the top of wp-config.php which:

  1. identifies which blog we are working with (in my case, by parsing $HTTP_HOST, for example — there might be a more elegant solution)
  2. “replaces” the files in the master installation directory by the files in a special “blog” directory, if they exist

The second point is the tricky one, of course. We’d probably have a subfolder per blog in wordpress/blogs: wordpress/blogs/blog1, wordpress/blogs/blog2, etc. The included file would match the subdomain string with the equivalent folder, check if the page it’s trying to retrieve exists in the folder, and if it does, include that one and stop processing the initial script after that. Another (maybe more elegant) option would be to do some Apache magic (I’m dreaming, no idea if it’s possible) to systematically check if a file is available in the subdirectory matching the subdomain before using the one in the master directory. Anybody know if this is feasible?

The problem I see is with includes. We have (at least) three types of include calls:

  • include (ABSPATH . 'wp-comments.php');
  • require ('./wp-blog-header.php');
  • require_once(dirname(__FILE__).'/' . '/wp-config.php');

As far as I see it, they’ll all break if the calling include is in /home/bunny/www/wordpress/blogs/blog1 and the file to be called is in /home/bunny/www/wordpress. What is wrong with relative includes? Oh, they would break too. Dammit.

We would need some intelligence to determine if the file to be included or called exists in the subdirectory or not, and magically adapt the include call to point to the “right” file. I suspect this could be done, but would require modifying all (at least, a lot of) the include/requires in WordPress.

Maybe another path to explore would be to create a table in the database to keep track of existing blogs, and of the files that need to be “overridden” for each blog. But again, I suspect that would mean recoding all the includes in WordPress.

Another problem would be .htaccess. Apache would be retrieving the same .htaccess for all subdomains, and that happens before PHP comes into play, if I’m not mistaken.

Any bright ideas to get us out of this fix? Alternate solutions? Comments? Things I missed or got wrong? The comments and trackbacks are yours. Thanks for your attention.

Similar Posts:

Paypal Scam Nearly Got Me [en]

How I almost got scammed by people masquerading as PayPal. Remember to always type https://paypal.com in your browser, and never to click links!

I consider myself pretty web-savvy and spam/hoax-aware. Today I very nearly got fooled into giving my PayPal information to some shady characters.

This morning I got an e-mail from PayPal — or so I thought. It looked nice and branded, no spelling or grammar mistakes, security warnings telling me not to give my password or anything to anybody, and even a link inviting me to go and see PayPal’s Security Tips page. It was just asking me to login on the site and check my data there (that’s what I understood then, re-reading it now, it says they will verify the information I have entered, which is much more fishy).

I had already made a mental note of one of the PayPal warnings, which is to not trust any other site than https://www.paypal.com/ (I’m not linking it so as not to encourage you to click on links which seem to point there — you’ll understand why in a minute). Now, remember this was early morning for me (don’t you also check your e-mail in the morning?). I clicked on the login link, and noticed the browser was sending me to a website identified by an IP address (194.183.4.23 in this case). I stopped everything, and clicked the nice blue link that said https://www.paypal.com/us/cgi-bin/cmd=profile-update. The login page looked furiously like the real PayPal login page, and I was about to login with no second thoughts when I noticed the name in the browser bar was http://www.ssl2-paypal.com/support/update.html — not the link I had clicked on!

I had seen this address before, in another “PayPal” e-mail I had got a couple of weeks back. Already then they had managed to fool me, even though the e-mail was less well crafted than this time. I smelled a rat, so finally typed https://paypal.com/ in my browser and logged in there. Nothing special happened.

I dug out the previous e-mail, slightly worried now. You see, although I had been suspicious about this first e-mail, I do remember that I had logged in somewhere. But to this moment I’m not sure if I logged into the fake website or if I had the sense to point my browser to the real PayPal website myself before logging in. I think I did, I hope I did, and in any case I just checked my account for fraudulous activity and changed my password. The first e-mail was really bad, but I was convinced enough that it came from PayPal to forget about it, just making a mental note that their copywriting was really really poor.

This made the second scam e-mail seem all the more real: when I got it, I thought “oh, so that last e-mail must really have been a fake, this is what a real one looks like.” Poor unsuspecting me.

At this point, I still thought the second e-mail was a “real” one, but that the ssl2-paypal people had someway managed to hack a redirect on the official PayPal site. I hadn’t looked at the e-mail source yet, see?

Anyway, I decided to report the first e-mail I had received.

Coming back home at the end of the day, I had an automated response from PayPal regarding my complaint. It again stated all the security measures to take, in particular the one about always typing https://paypal.com in your browser. And I thought: “you doofuses, you had better stop putting clickable links in your e-mails if you want people to get used to typing the address!”

I was going to respond to them with a more politically correct comment in that direction when I went to have a second look at the e-mail (which, I remind you, I still thought legitimate) I had got in the morning. And that is when I realised that the beautiful blue link was in fact a fake link, disguised as a real one. You can put anything in the href attribute of an achor tag — the catch here is that their link looks a lot like the blue links e-mail reading programs create when they encounter plain-text URL’s.

So, there we go. I was nearly caught by those not-that-dumb spammers. Remember the golden rule:

Always TYPE the address in your browser, don’t CLICK on links in PayPal or other e-mails.

Similar Posts: