Hace tres semanas recibí una carta muy halagadora de la Universidad de Cambridge con una propuesta para actuar como juez en el Premio Adam Smith en Economía:
Querido Robert
Me llamo Gregory Harris. Soy uno de los organizadores del Premio Adam Smith.
Cada año actualizamos un equipo de expertos independientes para evaluar la calidad de los proyectos en competencia: http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize
Nuestros colegas lo han recomendado como un especialista experimentado en este campo.
Necesitamos su ayuda para evaluar varios proyectos para el Premio Adam Smith.
Esperando tu respuesta.
Saludos, Gregory Harris
No me llamaría un "experto" en economía, pero la solicitud de la universidad no parecía increíble. Tengo una suscripción a
The Economist y entiendo, muy groseramente, cómo y por qué los bancos centrales establecen las tasas de interés. Leí Capital en el siglo XXI y básicamente entendí la esencia de la primera mitad.
Varias publicaciones en
mi blog están etiquetadas con "economía". Quizás pueda hacer alguna contribución a la nueva disciplina de la economía informática. En general, parecía bastante probable que los organizadores del Premio Adam Smith quisieran escuchar mi punto. Asumí mucho trabajo no remunerado, pero aún así la oferta fue muy agradable.
Sin embargo, en el fondo sentí que había un cierto malentendido. De repente, me confundí con Robert Heaton con un profesor Hobert Riton de la Universidad de California en San Diego, especialista en la teoría comercial de Heckscher - Olin, que espera pacientemente la oportunidad de seguir una carrera a través de la cooperación transatlántica. Sin embargo, decidí tirar de este hilo y hacerle cosquillas a la fantasía.
Reflexivamente, realicé algunos controles básicos de seguridad. El correo electrónico fue enviado desde
@cam.ac.uk Pase el mouse sobre el enlace de la carta:
http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize . Señaló la misma URL que en el texto del subdominio
cam.ac.uk válido. Me pareció un poco extraño que la página se coloque en el directorio personal grh327 en lugar de la página de la facultad de economía; pero está bien, probablemente sea menos burocracia. Seguí el enlace y leí un poco sobre la historia del Premio Adam Smith.
Si "Gregory" agregara solo siete palabras adicionales a esta página: "La página debería verse en el navegador Mozilla Firefox" - Definitivamente la arruinaría. Pero más sobre eso más tarde.
Luego fui a la
cam.ac.uk y me aseguré de que realmente fuera el dominio de la Universidad de Cambridge. Rápidamente busqué en Google a Gregory Harris de Cambridge, pero encontré poco. Recuerdo vagamente alguna cuenta de LinkedIn. Pero esto es normal, no todos tienen un perfil de Twitter o un blog culinario.
Recuerdo que la carta a Gregory me pareció muy breve y mal redactada. También pensé que sería bueno para él tomar algunas lecciones sobre cómo pedirle a extraños en Internet que trabajen gratis para él. Tuvo suerte de que no me importaran esas tonterías. También tuvo suerte de que no me importara que se haya perdido "the" en la oración
We need your assistance in evaluating several projects for Adam Smith Prize . Aparentemente, tampoco me importó que escribiera "Organizadores" con una letra mayúscula y que no parecía entender que un párrafo podía contener más de una oración.
En ese momento, pensé que no era un muy buen escritor.
Le envié a Gregory una respuesta breve, previamente había expresado interés y pidiendo más información.
Hola gregory
Gracias por tu correo Por supuesto que estoy interesado. ¿Podría contarnos un poco más sobre lo que se necesita para esto y quién me recomendó?
Todo lo mejor Rob
Gregory respondió rápidamente: ¡estaba en el negocio!
Hola rob
Gracias por la rápida respuesta.
Su candidatura estaba en la lista de candidatos que recibimos de la Universidad de California, San Francisco.
Le enviaremos una descripción de varios proyectos y una lista de preguntas y criterios para su evaluación.
Creo que el plan estará listo para mediados de junio.
Saludos cordiales, Gregory
Empecé a sentirme como una especie de embaucador. El pobre Hobert Riton se sienta solo en su oficina en San Diego y se pregunta por qué nadie lo invita a juzgar el concurso. Decidí compartir mis dudas con mi nuevo amigo Gregory, sin esconder dudas sobre mis habilidades. Si todavía quiere llevarme a la competencia, entonces no es mi culpa.
Hola gregory
Estoy empezando a pensar, de repente hubo algún tipo de confusión. Leí varios libros de Paul Krugman, pero nunca estudié ni estudié economía. Soy ingeniero de software, esta es mi ocupación y educación (https://www.linkedin.com/in/robertjheaton/). ¿Qué opinas sobre esto? ¿Hay otro Robert Heaton en San Francisco que sepa un poco más sobre la economía?
Rob
Sin embargo, Gregory estuvo de acuerdo (más rápido de lo que esperaba) en que podría haber habido un error.
Hola rob
Sí, un error es posible. Consultaré con colegas y nos pondremos en contacto con usted a la brevedad.
Saludos cordiales, Gregory
Eso fue lo último que escuché de Gregory Harris. Parecía que la historia había terminado.
Pero el viernes, llegó una carta de Coinbase:
Hola
Es posible que haya recibido recientemente un correo electrónico de una persona llamada Gregory Harris o Neil Morris haciéndose pasar por los organizadores de la competencia de la Universidad de Cambridge. Estos son perfiles falsos que pertenecen a un atacante avanzado que está tratando de instalar malware en su computadora ...
Si lo piensas, realmente tenía sentido.
Casi caigo presa de una campaña de phishing dirigida técnicamente avanzada. Hasta donde puedo entender (esto claramente no estaba escrito en ninguna parte, y podría estar equivocado), los atacantes comprometieron las cuentas de correo electrónico y las páginas web de la Universidad de Cambridge, propiedad de dos personas llamadas Gregory Harris y Neil Morris. Luego usaron estas cuentas para realizar una campaña de phishing para alentar a cada víctima a visitar una de las dos páginas comprometidas en
http://people.ds.cam.ac.uk . Si la víctima usaba el navegador Firefox, entonces el Javascript malicioso en la página
usaba una vulnerabilidad de 0 días en Firefox , lo que permitía que el exploit fuera más allá del sandbox en el navegador y ejecutara el malware directamente en el sistema operativo.
Despreocupado varias veces seguí el enlace enviado por Gregory Harris. Afortunadamente, utilicé Chrome, por lo que el exploit malicioso de JavaScript no hizo nada. Pero si los atacantes hicieron un poco y agregaron solo siete palabras al comienzo de la página "La página debería verse en el navegador Mozilla Firefox", habría sido violada. Me reiría de los estúpidos desarrolladores web que aún no han implementado la compatibilidad básica entre navegadores, y copiarían con suficiencia el enlace en Firefox. Ni siquiera está claro por qué los atacantes no lo hicieron. Quizás no tenían control total sobre el contenido de la página o intentaron actuar lo más finamente posible.
Inicialmente, los atacantes atacaron a los empleados en el intercambio de criptomonedas de Coinbase. Pero pronto expandieron la campaña a un público más amplio de personas presuntamente asociadas con la criptomoneda. Probablemente querían robar nuestras piezas de blockchain dulces e imposibles de rastrear. En cualquier caso, no tuvieron suerte, porque nunca tuve ninguna criptomoneda, a excepción de algunos stellars, que recibí gratis y olvidé mi contraseña. Si ellos u otros malhechores ayudaran a devolverlos, estaría muy agradecido.
Al poseer dos perfiles reales, una vulnerabilidad de Firefox de 0 días y una lista de direcciones de correo electrónico de personas asociadas con la criptomoneda (más yo), los atacantes se pusieron a trabajar. Explotaron sin piedad la presunción ligeramente exagerada de personas inocentes en sus habilidades e importancia, e infectaron un troyano con todos los que abrieron el enlace en Firefox en MacOS. Las vulnerabilidades de Firefox ahora están reparadas, y las páginas web de correos electrónicos de phishing se eliminan. Pero me sorprendería que al menos algunas personas no se subieran a un par de Satoshi o mil millones.
No estoy seguro de qué papel juega la Universidad de Cambridge en esta historia. No sé si "Gregory Harris" y "Neil Morris" son personas reales cuyas cuentas universitarias se vieron comprometidas, o son estas personalidades falsas creadas por aquellos que comprometieron todo el sistema informático de la universidad, o simplemente no entiendo lo que sucedió. Por si acaso, no quiero meter mi nariz públicamente en la vida en línea de Gregory o Neal, si se trata de personas reales, pero sospecho firmemente que todavía son cuentas falsas. Esta es una suposición absolutamente infundada, así como todo lo que sigue, así que si trabajas en la Universidad de Cambridge, no me envíes rayos de odio. Cuéntanos qué sucedió realmente.
No pude encontrar ninguna señal de Gregory Harris o Neil Morris en línea, excepto sus supuestos perfiles de LinkedIn. Una vez más, esto es normal. No todos tienen fanfics de Instagram o Star Wars. Sin embargo, el perfil de Gregory Harris en LinkedIn se ha eliminado recientemente; sigue apareciendo en la búsqueda de Google pero no está disponible en LinkedIn. Y aunque el perfil de Neil Morris todavía está allí, probablemente sea falso.
A primera vista, el perfil de Neal parece razonablemente razonable.
Pero una búsqueda rápida en Google muestra que la descripción se copia de otro perfil de LinkedIn.
Esto es suficiente para que confirme mis sospechas. Pero si miras más de cerca, encontraremos algunos detalles más divertidos:
- La descripción de Neal de su maestría es un poco extraña. Escribió "Cinco cursos y una tesis", pero luego enumera solo cuatro cursos.
- Neal pasó siete años en la escuela secundaria. Este es el estándar en el Reino Unido. Pero sus últimos dos años, aparentemente, coincidieron con los primeros dos años en la universidad. No tiene sentido
- Neal describe su educación preuniversitaria como "High School". No tenemos una "escuela secundaria" en el Reino Unido, la llamamos "escuela secundaria". Podría tener sentido si Neil fuera estadounidense o intentara comunicarse con una audiencia estadounidense, pero no hay señales de esto.
- Foto de perfil de LinkedIn - Foto de Stock Universidad de Cambridge. Al principio no le presté atención, pero a la luz de lo anterior, esto parece un poco extraño. ¿Realmente ama tanto a su universidad que usa su foto en su perfil profesional? ¿Ni siquiera una fotografía de una oficina, sino una universidad? Es más probable que alguien esté tratando de hacer un perfil falso que le diga al lector casual: "Yo trabajo en la Universidad de Cambridge, no hay nada que ver".
Neil, si existes y este es tu perfil real de LinkedIn, lo siento. Pero si eres una persona tan real, ¿por qué copiaste la autodescripción de otra persona?
No creo que haya sido un descuido de mi parte hacer clic en el enlace del correo electrónico de phishing. El exploit para la vulnerabilidad del navegador de 0 días en el subdominio
cam.ac.uk no
cam.ac.uk parte de mi modelo de amenaza personal, y creo que esto es razonable. La seguridad debe equilibrarse con el pragmatismo. No es posible firmar nada en el mundo con una firma GPG en una red de confianza que lleve a Bruce Schneier. Sin embargo, mi
twitter ya
está listo para criticar a esta declaración, en mensajes privados.
Sin embargo, este episodio dejó una sensación de increíble incomodidad. Aunque la historia termina felizmente, todavía me enamoré de un ataque de phishing y casi me tragué el anzuelo. Tuve la suerte de que el vector de ataque fuera de 0 días para el software que no uso, y no algo más común. Si el intercambio de cartas continuara un poco, probablemente incluiría macros para documentos de Microsoft Office enviados por Gregory Harris, e incluso podría ejecutar el programa que envió si dijera que es parte del proceso de registro. Como ya mencioné, no tengo criptomonedas, pero hay dinero en cuentas en el banco de Internet, que en general es deseable mantener.
No sé cuál es la moraleja de esta historia. Quizás la conclusión principal es que debe mantenerse alerta cuando se comunique con extraños en Internet, incluso si tienen direcciones de correo electrónico legítimas con firmas DKIM válidas. Además, es muy fácil pasar por alto una gran cantidad de inconsistencias y rarezas si crees en la historia de otra persona, especialmente si esta historia es agradable para ti. Mirando hacia atrás, era completamente absurdo creer que la Universidad de Cambridge me invitaría a juzgar una competencia económica, y cuando leo el correo electrónico de Gregory Harris, queda claro de inmediato que este no es un profesional de las comunicaciones en línea. Pero no pensé críticamente y me sentí arrullado por una falsa sensación de seguridad debido al correo de
@cam.ac.uk y mi propio ego.
Y la última moraleja. Piénselo dos veces antes, modestamente (y también sin modestia), diciéndole a los demás que fue invitado a juzgar el Premio Adam Smith en Economía.