Il y a trois semaines, j'ai reçu une lettre très flatteuse de l'Université de Cambridge avec une proposition pour agir en tant que juge au prix Adam Smith en économie:
Cher Robert,
Je m'appelle Gregory Harris. Je suis l'un des organisateurs du prix Adam Smith.
Chaque année, nous mettons à jour une équipe d'experts indépendants pour évaluer la qualité des projets concurrents: http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize
Nos collègues vous ont recommandé en tant que spécialiste expérimenté dans ce domaine.
Nous avons besoin de votre aide pour évaluer plusieurs projets pour le prix Adam Smith.
En attente de votre réponse.
Cordialement, Gregory Harris
Je ne m’appellerais pas «expert» en économie, mais la demande de l’université ne semblait pas incroyable. J'ai un abonnement à
The Economist , et je comprends - très grossièrement - comment et pourquoi les banques centrales fixent les taux d'intérêt. J'ai lu Capital au 21e siècle et j'ai compris l'essentiel de la première moitié.
Plusieurs articles de
mon blog sont étiquetés «économie». Je peux peut-être apporter une contribution à la nouvelle discipline de l'économie informatique. Dans l'ensemble, il semblait tout à fait probable que les organisateurs du prix Adam Smith voudraient entendre mon point de vue. J'assumais beaucoup de travail non rémunéré, mais l'offre était toujours très agréable.
Cependant, au fond, je sentais qu'il y avait un certain malentendu. Soudain, j'ai été confondu avec Robert Heaton avec un professeur Hobert Riton de l'Université de Californie à San Diego, spécialiste de la théorie du commerce de Heckscher - Olin, qui attend patiemment l'occasion de poursuivre une carrière grâce à la coopération transatlantique. Néanmoins, j'ai décidé de tirer sur ce fil et de titiller légèrement le fantasme.
Par réflexe, j'ai effectué quelques vérifications de sécurité de base. L'e-mail a été envoyé par
@cam.ac.uk Je passe la souris sur le lien dans la lettre -
http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize . Elle a pointé la même URL que dans le texte du sous-domaine
cam.ac.uk valide. Il m'a paru un peu étrange que la page soit placée dans le répertoire personnel grh327 au lieu de la page de la faculté d'économie; mais bon, c'est probablement moins de bureaucratie. J'ai suivi le lien et lu un peu l'histoire du Prix Adam Smith.
Si "Gregory" n'a ajouté que sept mots supplémentaires à cette page: "La page doit être consultée dans le navigateur Mozilla Firefox" - je le ferais sans aucun doute. Mais plus à ce sujet plus tard.
Ensuite, je suis allé sur la
cam.ac.uk je me suis assuré que c'était bien le domaine de l'Université de Cambridge. J'ai rapidement googlé Gregory Harris de Cambridge, mais j'ai trouvé peu. Je me souviens vaguement d'un compte LinkedIn. Mais c'est normal, tout le monde n'a pas de profil Twitter ou de blog culinaire.
Je me souviens que la lettre à Grégoire me semblait très courte et mal formulée. J'ai également pensé qu'il serait bien pour lui de prendre quelques leçons sur la façon de demander efficacement à des étrangers sur Internet de faire du travail gratuit pour lui. Il a eu de la chance que je ne me soucie pas de ces bagatelles. Il a également eu de la chance que je m'en fous qu'il ait raté «le» dans la phrase
We need your assistance in evaluating several projects for Adam Smith Prize . Apparemment, je m'en fichais aussi qu'il ait écrit «Organisateurs» avec une majuscule et qu'il ne semblait pas comprendre qu'un paragraphe pouvait contenir plus d'une phrase.
A cette époque, je pensais juste qu'il n'était pas un très bon écrivain.
J'ai envoyé une réponse courte à Gregory, ayant déjà exprimé son intérêt et demandé plus d'informations.
Bonjour Gregory
Merci pour votre email. Bien sûr, je suis intéressé. Pourriez-vous nous en dire un peu plus sur ce qui est nécessaire pour cela et qui m'a recommandé?
Tous les meilleurs Rob
Gregory a rapidement répondu - j'étais en affaires!
Bonjour Rob
Merci pour la réponse rapide.
Votre candidature figurait sur la liste des candidats que nous avons reçue de l'Université de Californie à San Francisco.
Nous vous ferons parvenir une description de plusieurs projets et une liste de questions et critères pour leur évaluation.
Je pense que le plan sera prêt à la mi-juin.
Cordialement, Gregory
J'ai commencé à me sentir comme une sorte de filou. Le pauvre Hobert Riton est assis dans son bureau à San Diego tout seul et se demande pourquoi personne ne l'invite à juger le concours. J'ai décidé de partager mes doutes avec mon nouvel ami Gregory, ne cachant pas de doutes sur mes compétences. S'il veut toujours m'emmener à la compétition, ce n'est pas de ma faute.
Bonjour Gregory
Je commence à penser, tout à coup il y a eu une sorte de confusion. J'ai lu plusieurs livres de Paul Krugman, mais je n'ai jamais étudié ou étudié l'économie. Je suis ingénieur logiciel - c'est ma profession et mes études (https://www.linkedin.com/in/robertjheaton/). Qu'en pensez-vous? Y a-t-il un autre Robert Heaton à San Francisco qui en sait un peu plus sur l'économie?
Rob
Cependant, Gregory a convenu (plus vite que je l'espérais) qu'il pourrait y avoir eu une erreur.
Bonjour Rob
Oui, une erreur est possible. Je consulterai mes collègues et vous contacterai sous peu.
Cordialement, Gregory
C'était la dernière chose que j'ai entendu de Gregory Harris. Il semblait que l'histoire était terminée.
Mais vendredi, une lettre est venue de Coinbase:
Bonjour
Vous avez peut-être récemment reçu un courriel d'une personne nommée Gregory Harris ou Neil Morris se faisant passer pour les organisateurs du concours de l'Université de Cambridge. Ce sont de faux profils appartenant à un attaquant avancé qui tente d'installer des logiciels malveillants sur votre ordinateur ...
Si vous y réfléchissez, cela avait vraiment du sens.
J'ai failli être la proie d'une campagne de phishing ciblée techniquement avancée. Pour autant que je puisse comprendre (ce n'était clairement écrit nulle part, et je peux me tromper), les attaquants ont compromis les comptes de messagerie et les pages Web de l'Université de Cambridge, détenus par deux personnes nommées Gregory Harris et Neil Morris. Ils ont ensuite utilisé ces comptes pour mener une campagne de phishing afin d'encourager chaque victime à visiter l'une des deux pages compromises à l'
http://people.ds.cam.ac.uk . Si la victime a utilisé le navigateur Firefox, le Javascript malveillant sur la page a
utilisé une vulnérabilité de 0 jour dans Firefox , ce qui a permis à l'exploit d'aller au-delà du bac à sable du navigateur et d'exécuter le malware directement dans le système d'exploitation.
J'ai insouci plusieurs fois suivi le lien envoyé par Gregory Harris. Heureusement, j'ai utilisé Chrome, donc l'exploit JavaScript malveillant n'a rien fait. Mais si les attaquants ont fait un peu et n'ont ajouté que sept mots au début de la page "La page devrait être consultée dans le navigateur Mozilla Firefox" - j'aurais été violée. Je me moquerais des stupides développeurs Web qui n'ont pas encore implémenté la compatibilité de base entre les navigateurs, et copierais le lien dans Firefox avec suffisance. On ne sait même pas pourquoi les attaquants ne l'ont pas fait. Peut-être qu'ils n'avaient pas le plein contrôle sur le contenu de la page ou ils ont essayé d'agir aussi finement que possible.
Initialement, les attaquants ont ciblé des employés sur l'échange de crypto-monnaie Coinbase. Mais ils ont rapidement étendu la campagne à un public plus large de personnes prétendument associées à la crypto-monnaie. Ils voulaient probablement voler nos morceaux de blockchain doux et introuvables. En tout cas, ils n'ont pas eu de chance, car je n'ai jamais possédé de crypto-monnaie, à l'exception de quelques stellaires, que j'ai reçues gratuitement et oublié mon mot de passe. Si eux ou d'autres malfaiteurs aidaient à les renvoyer, je leur en serais très reconnaissant.
Possédant deux vrais profils, une vulnérabilité Firefox de 0 jour et une liste d'adresses e-mail de personnes associées à la crypto-monnaie (plus moi), les attaquants se sont mis au travail. Ils ont impitoyablement exploité la vanité légèrement hypée de personnes innocentes dans leurs capacités et leur importance - et infecté un cheval de Troie avec tous ceux qui ont ouvert le lien dans Firefox sur MacOS. Les vulnérabilités de Firefox sont désormais corrigées et les pages Web des e-mails de phishing sont supprimées. Mais je serais surpris si au moins quelques personnes n'obtenaient pas quelques Satoshi ou un milliard.
Je ne sais pas quel rôle l'Université de Cambridge joue dans cette histoire. Je ne sais pas si "Gregory Harris" et "Neil Morris" sont de vraies personnes dont les comptes universitaires ont été compromis, ou sont-ce de fausses personnalités créées par ceux qui ont compromis tout le système informatique de l'université, ou je ne comprends tout simplement pas ce qui s'est passé. Au cas où, je ne veux pas m'introduire publiquement dans la vie en ligne de Gregory ou Neal, si ce sont de vraies personnes, mais je soupçonne fortement que ce sont toujours de faux comptes. C'est une supposition absolument infondée, ainsi que tout ce qui suit, donc si vous travaillez à l'Université de Cambridge, ne m'envoyez pas de rayons de haine. Veuillez nous dire ce qui s'est réellement passé.
Je n'ai trouvé aucun signe de Gregory Harris ou Neil Morris en ligne, à l'exception de leurs prétendus profils LinkedIn. Encore une fois, c'est normal. Tout le monde n'a pas de fan fiction sur Instagram ou Star Wars. Cependant, le profil LinkedIn de Gregory Harris a récemment été supprimé. Il apparaît toujours sur la recherche Google mais n'est pas disponible sur LinkedIn. Et bien que le profil de Neil Morris soit toujours là, c'est probablement un faux.
À première vue, le profil de Neal semble raisonnablement raisonnable.
Mais une recherche rapide sur Google montre que la description est copiée à partir d'un autre profil LinkedIn.
Cela me suffit pour confirmer mes soupçons. Mais si vous regardez de plus près, nous trouverons des détails plus amusants:
- La description que fait Neal de sa maîtrise est un peu étrange. Il a écrit «Cinq cours et une thèse», mais ne répertorie ensuite que quatre cours.
- Neal a passé sept ans au lycée. C'est la norme au Royaume-Uni. Mais ses deux dernières années ont apparemment coïncidé avec les deux premières années à l'université. Cela n'a aucun sens.
- Neal décrit son éducation préuniversitaire comme «High School». Nous n'avons pas de «lycée» au Royaume-Uni - nous l'appelons «école secondaire». Cela pourrait avoir du sens si Neil était un Américain ou essayait de communiquer avec un public américain, mais il n'y a aucun signe de cela.
- Photo de profil LinkedIn - Photo Université de Cambridge. Au début, je n'y ai pas prêté attention, mais à la lumière de ce qui précède, cela semble un peu étrange. Aime-t-il tellement son université qu'il utilise sa photo dans son profil professionnel? Pas même une photo d'un bureau, mais d'une université? Il est plus probable que quelqu'un essaie de créer un faux profil qui dit au lecteur occasionnel: "Je travaille à l'Université de Cambridge, il n'y a rien à regarder."
Neil, si tu existes et que c'est ton vrai profil LinkedIn, alors je suis désolé. Mais si vous êtes une telle personne réelle, pourquoi avez-vous copié la description de soi de quelqu'un d'autre?
Je ne pense pas que ce soit une erreur de ma part de cliquer sur le lien dans l'e-mail de phishing. L'exploit pour la vulnérabilité du navigateur 0-day sur le sous
cam.ac.uk domaine
cam.ac.uk ne
cam.ac.uk pas partie de mon modèle de menace personnel, et je pense que c'est raisonnable. La sécurité doit être équilibrée avec le pragmatisme. Il n'est pas possible de signer quoi que ce soit au monde avec une signature GPG sur un réseau de confiance qui mène à Bruce Schneier. Cependant, mon
twitter est déjà prêt pour une critique exaspérante de cette déclaration, dans des messages privés.
Cependant, cet épisode a laissé un sentiment de maladresse incroyable. Bien que l'histoire se termine joyeusement, je suis toujours tombé sous le coup d'une attaque de phishing et j'ai presque avalé l'appât. J'ai eu la chance que le vecteur d'attaque soit de 0 jour pour les logiciels que je n'utilise pas, et pas quelque chose de plus ordinaire. Si l'échange de lettres se poursuivait un peu, j'aurais probablement inclus des macros pour les documents Microsoft Office envoyés par Gregory Harris, et je pourrais même exécuter le programme qu'il a envoyé s'il disait que cela faisait partie du processus d'enregistrement. Comme je l'ai déjà mentionné, je n'ai pas de crypto-monnaie, mais il y a de l'argent dans les comptes de la banque Internet, ce qui est généralement souhaitable à conserver.
Je ne sais pas quelle est la morale de cette histoire. La principale conclusion est peut-être que vous devez rester vigilant lorsque vous communiquez avec des inconnus sur Internet, même s'ils ont des adresses électroniques légitimes avec des signatures DKIM valides. De plus, il est très facile d'ignorer un grand nombre d'incohérences et de bizarreries si vous croyez à l'histoire de quelqu'un d'autre, surtout si cette histoire vous plaît. Avec le recul, il était complètement absurde de croire que l'Université de Cambridge m'inviterait à juger une compétition économique, et quand j'ai lu le courriel de Gregory Harris, il est immédiatement clair que ce n'est pas un professionnel des communications en ligne. Mais je n'y ai pas réfléchi et j'ai été bercé par un faux sentiment de sécurité à cause du courrier de
@cam.ac.uk et de mon propre ego.
Et la dernière morale. Réfléchissez bien avant de dire modestement (et impudiquement aussi) aux autres que vous avez été invité à juger le prix Adam Smith en économie.