Vor drei Wochen erhielt ich einen sehr schmeichelhaften Brief von der Universität Cambridge mit dem Vorschlag, als Richter beim Adam-Smith-Preis für Wirtschaftswissenschaften zu fungieren:
Lieber Robert,
Ich heiße Gregory Harris. Ich bin einer der Organisatoren des Adam Smith-Preises.
Jedes Jahr aktualisieren wir ein Team unabhängiger Experten, um die Qualität konkurrierender Projekte zu bewerten: http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize
Unsere Kollegen haben Sie als erfahrenen Spezialisten auf diesem Gebiet empfohlen.
Wir brauchen Ihre Hilfe bei der Bewertung mehrerer Projekte für den Adam Smith Award.
Warten auf Ihre Antwort.
Grüße, Gregory Harris
Ich würde mich nicht als "Experte" für Wirtschaftswissenschaften bezeichnen, aber die Anfrage der Universität schien nicht unglaublich. Ich habe ein Abonnement für
The Economist und verstehe sehr grob, wie und warum die Zentralbanken die Zinssätze festlegen. Ich habe das Kapital im 21. Jahrhundert gelesen und im Grunde die Essenz der ersten Hälfte verstanden.
Einige Beiträge in
meinem Blog sind mit "Wirtschaft" gekennzeichnet. Vielleicht kann ich einen Beitrag zur neuen Disziplin der Computerökonomie leisten. Im Großen und Ganzen schien es ziemlich wahrscheinlich, dass die Organisatoren des Adam-Smith-Preises meinen Standpunkt hören wollten. Ich nahm viel unbezahlte Arbeit an, aber das Angebot war trotzdem sehr angenehm.
Tief im Inneren hatte ich jedoch das Gefühl, dass es ein gewisses Missverständnis gab. Plötzlich war ich mit Robert Heaton verwechselt mit einem Professor Hobert Riton von der University of California in San Diego, einem Spezialisten für Handelstheorie von Heckscher-Olin, der geduldig auf die Möglichkeit wartet, durch transatlantische Zusammenarbeit Karriere zu machen. Trotzdem habe ich mich entschlossen, an diesem Faden zu ziehen und die Fantasie leicht zu kitzeln.
Reflexiv führte ich einige grundlegende Sicherheitsüberprüfungen durch. Die E-Mail wurde von
@cam.ac.uk gesendet. Ich fahre mit der Maus über den Link im Brief -
http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize . Sie zeigte auf dieselbe URL wie im Text der gültigen Subdomain
cam.ac.uk Es kam mir etwas seltsam vor, dass die Seite im persönlichen Verzeichnis grh327 statt auf der Seite der Fakultät für Wirtschaftswissenschaften abgelegt wird; aber in Ordnung, es ist wahrscheinlich so weniger Bürokratie. Ich folgte dem Link und las ein wenig über die Geschichte des Adam-Smith-Preises.
Wenn "Gregory" dieser Seite nur sieben zusätzliche Wörter hinzufügen würde: "Die Seite sollte im Mozilla Firefox-Browser angezeigt werden" - ich würde es definitiv vermasseln. Aber dazu später mehr.
Dann ging ich auf die
cam.ac.uk von
cam.ac.uk und stellte sicher, dass es sich tatsächlich um die Domäne der Universität Cambridge handelt. Ich googelte schnell Gregory Harris aus Cambridge, fand aber wenig. Ich erinnere mich vage an einen LinkedIn-Account. Dies ist jedoch normal, nicht jeder hat ein Twitter-Profil oder einen kulinarischen Blog.
Ich erinnere mich, dass mir der Brief an Gregory sehr kurz und schlecht formuliert erschien. Ich dachte auch, dass es schön für ihn wäre, ein paar Lektionen zu nehmen, wie man Fremde im Internet effektiv bittet, freie Arbeit für ihn zu leisten. Er hatte Glück, dass mir solche Kleinigkeiten egal waren. Er hatte auch Glück, dass es mir egal war, dass er „das“ im Satz verpasst hat.
We need your assistance in evaluating several projects for Adam Smith Prize . Anscheinend war es mir auch egal, dass er „Organisatoren“ mit einem Großbuchstaben schrieb und dass er nicht zu verstehen schien, dass ein Absatz mehr als einen Satz enthalten könnte.
Zu dieser Zeit dachte ich nur, dass er kein sehr guter Schriftsteller ist.
Ich schickte Gregory eine kurze Antwort, nachdem ich zuvor Interesse bekundet und um weitere Informationen gebeten hatte.
Hallo Gregory
Danke für Ihren Brief. Natürlich bin ich interessiert. Können Sie uns etwas mehr darüber erzählen, was dafür benötigt wird und wer mich empfohlen hat?
Alles Gute Rob
Gregory antwortete schnell - ich war im Geschäft!
Hallo Rob
Vielen Dank für die schnelle Antwort.
Ihre Kandidatur stand auf der Liste der Kandidaten, die wir von der University of California in San Francisco erhalten haben.
Wir senden Ihnen eine Beschreibung mehrerer Projekte sowie eine Liste mit Fragen und Kriterien für deren Bewertung.
Ich denke, der Plan wird Mitte Juni fertig sein.
Viele Grüße, Gregory
Ich fühlte mich wie ein Trickster. Der arme Hobert Riton sitzt ganz allein in seinem Büro in San Diego und wundert sich, warum ihn niemand einlädt, den Wettbewerb zu beurteilen. Ich beschloss, meine Zweifel mit meinem neuen Freund Gregory zu teilen, ohne Zweifel an meinen Fähigkeiten zu verbergen. Wenn er mich immer noch zum Wettbewerb mitnehmen will, dann ist das nicht meine Schuld.
Hallo Gregory
Ich fange an zu denken, plötzlich gab es eine Art Verwirrung. Ich habe mehrere Bücher von Paul Krugman gelesen, aber nie Wirtschaftswissenschaften studiert oder studiert. Ich bin Softwareentwickler - dies ist mein Beruf und meine Ausbildung (https://www.linkedin.com/in/robertjheaton/). Was denkst du darüber? Gibt es einen anderen Robert Heaton in San Francisco, der etwas mehr über die Wirtschaft weiß?
Rob
Gregory stimmte jedoch zu (schneller als ich gehofft hatte), dass möglicherweise ein Fehler aufgetreten war.
Hallo Rob
Ja, ein Fehler ist möglich. Ich werde mich mit Kollegen beraten und Sie in Kürze kontaktieren.
Viele Grüße, Gregory
Das war das Letzte, was ich von Gregory Harris gehört habe. Es schien, dass die Geschichte vorbei war.
Aber am Freitag kam ein Brief von Coinbase:
Guten Tag,
Möglicherweise haben Sie kürzlich eine E-Mail von einer Person namens Gregory Harris oder Neil Morris erhalten, die sich als Organisatoren des Wettbewerbs an der Universität von Cambridge ausgibt. Dies sind gefälschte Profile eines fortgeschrittenen Angreifers, der versucht, Malware auf Ihrem Computer zu installieren ...
Wenn Sie darüber nachdenken, machte es wirklich Sinn.
Ich wäre fast einer technisch fortgeschrittenen gezielten Phishing-Kampagne zum Opfer gefallen. Soweit ich verstehen kann (dies wurde eindeutig nirgendwo geschrieben, und ich könnte mich irren), haben die Angreifer die E-Mail-Konten und Webseiten der Universität Cambridge kompromittiert, die zwei Personen namens Gregory Harris und Neil Morris gehören. Anschließend verwendeten sie diese Konten, um eine Phishing-Kampagne durchzuführen, um jedes Opfer zu ermutigen, eine der beiden gefährdeten Seiten unter
http://people.ds.cam.ac.uk zu besuchen. Wenn das Opfer den Firefox-Browser verwendet hat, hat das böswillige Javascript auf der Seite
eine 0-Tage-Sicherheitsanfälligkeit in Firefox verwendet , die es dem Exploit ermöglichte, über die Sandbox im Browser hinauszugehen und die Malware direkt im Betriebssystem auszuführen.
Ich folgte mehrmals sorglos dem Link von Gregory Harris. Glücklicherweise habe ich Chrome verwendet, sodass der böswillige JavaScript-Exploit nichts bewirkt hat. Aber wenn die Angreifer ein wenig getan hätten und am Anfang der Seite nur sieben Wörter hinzugefügt hätten: „Die Seite sollte im Mozilla Firefox-Browser angezeigt werden“, wäre ich vergewaltigt worden. Ich würde über die dummen Webentwickler lachen, die die grundlegende Cross-Browser-Kompatibilität noch nicht implementiert haben, und den Link in Firefox selbstgefällig kopieren. Es ist nicht einmal klar, warum die Angreifer dies nicht getan haben. Vielleicht hatten sie nicht die volle Kontrolle über den Inhalt der Seite oder sie versuchten, so fein wie möglich zu handeln.
Zunächst zielten Angreifer auf Mitarbeiter des Coinbase-Kryptowährungsaustauschs ab. Aber sie erweiterten die Kampagne bald auf ein breiteres Publikum von Personen, die angeblich mit Kryptowährung in Verbindung gebracht werden. Sie wollten wahrscheinlich unsere süßen, nicht auffindbaren Blockchain-Stücke stehlen. Auf jeden Fall hatten sie kein Glück, denn ich besaß nie eine Kryptowährung, außer ein paar Sternchen, die ich kostenlos erhielt und mein Passwort vergaß. Wenn sie oder andere Übeltäter helfen würden, sie zurückzugeben, wäre ich sehr dankbar.
Mit zwei echten Profilen, einer 0-Tage-Firefox-Sicherheitsanfälligkeit und einer Liste von E-Mail-Adressen von Personen, die mit Kryptowährung in Verbindung stehen (plus mir), machten sich die Angreifer an die Arbeit. Sie nutzten rücksichtslos die leicht gehypte Einbildung unschuldiger Menschen in ihren Fähigkeiten und ihrer Bedeutung aus - und infizierten einen Trojaner mit allen, die den Link in Firefox unter MacOS geöffnet hatten. Firefox-Schwachstellen wurden behoben und Webseiten aus Phishing-E-Mails werden entfernt. Aber ich wäre überrascht, wenn zumindest ein paar Leute nicht auf ein paar Satoshi oder eine Milliarde kommen würden.
Ich bin mir nicht sicher, welche Rolle die Universität Cambridge in dieser Geschichte spielt. Ich weiß nicht, ob "Gregory Harris" und "Neil Morris" echte Menschen sind, deren Universitätskonten kompromittiert wurden, oder ob es sich um falsche Persönlichkeiten handelt, die von denen geschaffen wurden, die das gesamte Computersystem der Universität kompromittiert haben, oder ich verstehe einfach nicht, was passiert ist. Nur für den Fall, ich möchte meine Nase nicht öffentlich in das Online-Leben von Gregory oder Neal stecken, wenn es sich um echte Menschen handelt, aber ich vermute stark, dass es sich immer noch um gefälschte Konten handelt. Dies ist eine absolut unbegründete Annahme sowie alles, was folgt. Wenn Sie also an der Universität Cambridge arbeiten, senden Sie mir bitte keine Hassstrahlen. Bitte sagen Sie uns, was wirklich passiert ist.
Ich konnte online keine Anzeichen von Gregory Harris oder Neil Morris finden, außer ihren angeblichen LinkedIn-Profilen. Dies ist wieder normal. Nicht jeder hat Instagram- oder Star Wars-Fanfiction. Das LinkedIn-Profil von Gregory Harris wurde jedoch kürzlich gelöscht. Er wird weiterhin in der Google-Suche angezeigt, ist jedoch nicht auf LinkedIn verfügbar. Und während Neil Morris 'Profil noch vorhanden ist, ist es wahrscheinlich eine Fälschung.
Auf den ersten Blick sieht Neals Profil einigermaßen vernünftig aus.
Eine schnelle Google-Suche zeigt jedoch, dass die Beschreibung von einem anderen LinkedIn-Profil kopiert wurde.
Dies reicht mir, um meinen Verdacht zu bestätigen. Aber wenn Sie genauer hinschauen, werden wir einige weitere lustige Details finden:
- Neals Beschreibung seines Master-Abschlusses ist etwas seltsam. Er schrieb „Fünf Kurse und eine Abschlussarbeit“, listet dann aber nur vier Kurse auf.
- Neal verbrachte sieben Jahre in der High School. Dies ist der Standard in Großbritannien. Aber seine letzten zwei Jahre fielen anscheinend mit den ersten zwei Jahren an der Universität zusammen. Es macht keinen Sinn.
- Neal beschreibt seine voruniversitäre Ausbildung als "High School". Wir haben keine "High School" in Großbritannien - wir nennen es "Secondary School". Es könnte sinnvoll sein, wenn Neil Amerikaner wäre oder versuchen würde, mit einem amerikanischen Publikum zu kommunizieren, aber es gibt keine Anzeichen dafür.
- LinkedIn Profilfoto. - Stock Foto Cambridge University. Anfangs habe ich nicht aufgepasst, aber angesichts des Vorstehenden scheint dies ein wenig seltsam. Liebt er seine Universität wirklich so sehr, dass er sein Foto in seinem beruflichen Profil verwendet? Nicht einmal ein Foto eines Büros, sondern einer Universität? Es ist wahrscheinlicher, dass jemand versucht, ein falsches Profil zu erstellen, das dem Gelegenheitsleser sagt: "Ich arbeite an der Universität Cambridge, es gibt nichts zu sehen."
Neil, wenn du existierst und dies dein echtes LinkedIn-Profil ist, dann tut es mir leid. Aber wenn Sie so eine echte Person sind, warum haben Sie dann die Selbstbeschreibung eines anderen kopiert?
Ich glaube nicht, dass es meinerseits ein Versehen war, auf den Link in der Phishing-E-Mail zu klicken. Der Exploit für die 0-Tage-Browser-Sicherheitsanfälligkeit in der Subdomain
cam.ac.uk nicht Teil meines persönlichen Bedrohungsmodells, und ich halte dies für angemessen. Sicherheit sollte mit Pragmatismus in Einklang gebracht werden. Es ist nicht möglich, irgendetwas auf der Welt mit einer GPG-Signatur in einem Vertrauensnetzwerk zu signieren, das zu Bruce Schneier führt. Mein
Twitter ist jedoch bereits bereit, diese Aussage in privaten Nachrichten zu kritisieren.
Diese Episode hinterließ jedoch ein Gefühl von unglaublicher Unbeholfenheit. Obwohl die Geschichte glücklich endet, fiel ich immer noch auf den Haken eines Phishing-Angriffs herein und schluckte fast den Köder. Ich hatte nur Glück, dass der Angriffsvektor für Software, die ich nicht verwende, 0 Tage betrug und nicht für etwas Normaleres. Wenn der Briefwechsel etwas fortgesetzt worden wäre, hätte ich wahrscheinlich Makros für Microsoft Office-Dokumente eingefügt, die von Gregory Harris gesendet wurden, und könnte sogar das von ihm gesendete Programm ausführen, wenn er sagte, dass dies Teil des Registrierungsprozesses sei. Wie ich bereits erwähnt habe, habe ich keine Kryptowährung, aber es gibt Geld auf Konten in der Internetbank, was im Allgemeinen wünschenswert ist, um es zu behalten.
Ich weiß nicht, was die Moral dieser Geschichte ist. Vielleicht ist die wichtigste Schlussfolgerung, dass Sie bei der Kommunikation mit Fremden im Internet wachsam bleiben sollten, auch wenn diese legitime E-Mail-Adressen mit gültigen DKIM-Signaturen haben. Darüber hinaus ist es sehr leicht, eine große Anzahl von Inkonsistenzen und Kuriositäten zu übersehen, wenn Sie an die Geschichte eines anderen glauben, insbesondere wenn diese Geschichte für Sie angenehm ist. Rückblickend war es völlig absurd zu glauben, dass die Universität von Cambridge mich einladen würde, einen wirtschaftlichen Wettbewerb zu beurteilen, und wenn ich die E-Mail von Gregory Harris lese, ist sofort klar, dass dies kein Online-Kommunikationsprofi ist. Aber ich habe nicht kritisch gedacht und wurde durch ein falsches Sicherheitsgefühl aufgrund der Mail von
@cam.ac.uk und meinem eigenen Ego
@cam.ac.uk .
Und die letzte Moral. Überlegen Sie zweimal, bevor Sie anderen bescheiden (und auch unbescheiden) sagen, dass Sie eingeladen wurden, den Adam-Smith-Preis für Wirtschaftswissenschaften zu beurteilen.