Tiga minggu lalu saya menerima surat yang sangat bagus dari Cambridge University dengan proposal untuk bertindak sebagai hakim di Adam Smith Prize in Economics:
Robert terkasih,
Nama saya Gregory Harris. Saya adalah salah satu dari Penyelenggara Hadiah Adam Smith.
Setiap tahun kami memperbarui tim ahli independen untuk menilai kualitas proyek yang bersaing: http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize
Rekan kami telah merekomendasikan Anda sebagai spesialis berpengalaman dalam bidang ini.
Kami membutuhkan bantuan Anda dalam mengevaluasi beberapa proyek untuk Adam Smith Award.
Menunggu balasan Anda.
Salam, Gregory Harris
Saya tidak akan menyebut diri saya seorang "ahli" di bidang ekonomi, tetapi permintaan universitas sepertinya tidak bisa dipercaya. Saya berlangganan
The Economist , dan saya mengerti - sangat kasar - bagaimana dan mengapa bank sentral menetapkan suku bunga. Saya membaca Capital di Abad 21 dan pada dasarnya memahami esensi dari babak pertama.
Beberapa posting di
blog saya ditandai dengan "ekonomi." Mungkin saya dapat memberikan kontribusi pada disiplin baru ekonomi komputasi. Secara keseluruhan, tampaknya sangat mungkin bahwa penyelenggara Hadiah Adam Smith ingin mendengarkan pendapat saya. Saya mengasumsikan banyak pekerjaan yang tidak dibayar, tetapi tawaran itu masih sangat menyenangkan.
Namun, jauh di lubuk hati saya merasa ada kesalahpahaman tertentu. Tiba-tiba, saya bingung dengan Robert Heaton dengan beberapa profesor Hobert Riton dari University of California di San Diego, seorang spesialis dalam teori perdagangan Heckscher-Olin, yang dengan sabar menunggu kesempatan untuk mengejar karir melalui kerja sama transatlantik. Namun demikian, saya memutuskan untuk menarik utas ini dan sedikit menggelitik fantasi.
Secara refleks, saya melakukan beberapa pemeriksaan keamanan dasar. Email itu dikirim dari
@cam.ac.uk Saya mengarahkan mouse ke tautan dalam surat itu -
http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize . Dia menunjuk ke URL yang sama seperti pada teks di subdomain
cam.ac.uk valid. Rasanya agak aneh bagi saya bahwa halaman tersebut ditempatkan di direktori pribadi grh327 bukan halaman fakultas ekonomi; tetapi baik-baik saja, birokrasi itu mungkin jauh lebih sedikit. Saya mengikuti tautan dan membaca sedikit tentang sejarah Hadiah Adam Smith.
Jika "Gregory" hanya menambahkan tujuh kata tambahan ke halaman ini: "Halaman tersebut harus dilihat di browser Mozilla Firefox" - Saya pasti akan mengacaukannya. Tetapi lebih lanjut tentang itu nanti.
Kemudian saya pergi ke
cam.ac.uk dan memastikan bahwa itu memang domain dari Universitas Cambridge. Saya dengan cepat mencari Google di Gregory Harris dari Cambridge, tetapi tidak banyak menemukan. Samar-samar saya ingat beberapa akun LinkedIn. Tapi ini normal, tidak semua orang memiliki profil Twitter atau blog kuliner.
Saya ingat bahwa surat untuk Gregory bagi saya tampaknya sangat singkat dan tidak ditulis dengan baik. Saya juga berpikir bahwa akan baik baginya untuk mengambil beberapa pelajaran tentang cara bertanya secara efektif kepada orang asing di Internet untuk melakukan pekerjaan gratis untuknya. Dia beruntung karena aku tidak peduli dengan hal sepele seperti itu. Dia juga beruntung bahwa saya tidak peduli bahwa dia melewatkan "the" dalam kalimat
We need your assistance in evaluating several projects for Adam Smith Prize . Rupanya, saya juga tidak peduli bahwa dia menulis "Penyelenggara" dengan huruf kapital dan dia sepertinya tidak mengerti bahwa sebuah paragraf dapat memuat lebih dari satu kalimat.
Saat itu, saya hanya berpikir bahwa dia bukan penulis yang sangat baik.
Saya mengirim Gregory jawaban singkat, setelah sebelumnya menyatakan minat dan meminta informasi lebih lanjut.
Halo Gregory
Terima kasih untuk email anda Tentu saja saya tertarik. Bisakah Anda memberi tahu lebih banyak tentang apa yang dibutuhkan untuk ini dan siapa yang merekomendasikan saya?
Semua yang terbaik Rob
Gregory dengan cepat menjawab - Saya dalam bisnis!
Halo Rob
Terima kasih atas balasan cepatnya.
Pencalonan Anda ada dalam daftar kandidat yang kami terima dari University of California, San Francisco.
Kami akan mengirimkan kepada Anda deskripsi beberapa proyek dan daftar pertanyaan serta kriteria untuk evaluasi mereka.
Saya pikir rencananya akan siap pada pertengahan Juni.
Salam, Gregory
Saya mulai merasa seperti penipu. Hobert Riton yang malang duduk sendirian di kantornya di San Diego dan bertanya-tanya mengapa tidak ada yang mengundangnya untuk menilai kontes. Saya memutuskan untuk berbagi keraguan saya dengan teman baru saya Gregory, tidak menyembunyikan keraguan tentang keterampilan saya. Jika dia masih ingin membawa saya ke kompetisi, maka ini bukan salah saya.
Halo Gregory
Saya mulai berpikir, tiba-tiba ada semacam kebingungan. Saya membaca beberapa buku karya Paul Krugman, tetapi saya tidak pernah belajar atau belajar ekonomi. Saya seorang insinyur perangkat lunak - ini adalah pekerjaan dan pendidikan saya (https://www.linkedin.com/in/robertjheaton/). Apa yang Anda pikirkan tentang ini? Apakah ada Robert Heaton lain di San Francisco yang tahu sedikit tentang ekonomi?
Rob
Namun, Gregory setuju (lebih cepat dari yang saya harapkan) bahwa mungkin ada kesalahan.
Halo Rob
Ya, sebuah kesalahan mungkin terjadi. Saya akan berkonsultasi dengan rekan kerja dan akan segera menghubungi Anda.
Salam, Gregory
Itu adalah hal terakhir yang saya dengar dari Gregory Harris. Tampaknya ceritanya sudah berakhir.
Tetapi pada hari Jumat, sebuah surat datang dari Coinbase:
Halo
Anda mungkin baru saja menerima email dari seseorang bernama Gregory Harris atau Neil Morris yang menyamar sebagai penyelenggara kompetisi Universitas Cambridge. Ini adalah profil palsu milik penyerang tingkat lanjut yang mencoba memasang malware di komputer Anda ...
Jika Anda memikirkannya, itu benar-benar masuk akal.
Saya hampir menjadi korban kampanye phishing yang ditargetkan secara teknis tingkat lanjut. Sejauh yang saya mengerti (ini jelas tidak ditulis di mana pun, dan saya bisa saja salah), para penyerang berkompromi dengan akun email dan halaman web di Universitas Cambridge, yang dimiliki oleh dua orang bernama Gregory Harris dan Neil Morris. Mereka kemudian menggunakan akun-akun ini untuk melakukan kampanye phishing untuk mendorong setiap korban mengunjungi salah satu dari dua halaman yang disusupi di
http://people.ds.cam.ac.uk . Jika korban menggunakan browser Firefox, maka Javascript berbahaya pada halaman tersebut
menggunakan kerentanan 0-hari di Firefox , yang memungkinkan eksploit melampaui kotak pasir di browser dan menjalankan malware langsung di sistem operasi.
Saya riang beberapa kali mengikuti tautan yang dikirim oleh Gregory Harris. Untungnya, saya menggunakan Chrome, jadi eksploitasi JavaScript berbahaya tidak melakukan apa-apa. Tetapi jika penyerang melakukan sedikit dan menambahkan hanya tujuh kata di awal halaman "Halaman harus dilihat di browser Mozilla Firefox" - Saya akan diperkosa. Saya akan menertawakan pengembang web bodoh yang belum menerapkan kompatibilitas lintas-browser dasar, dan akan dengan bangga menyalin tautan di Firefox. Bahkan tidak jelas mengapa para penyerang tidak. Mungkin mereka tidak memiliki kendali penuh atas konten halaman atau mereka berusaha untuk bertindak sebaik mungkin.
Awalnya, penyerang menargetkan karyawan di pertukaran cryptocurrency Coinbase. Tetapi mereka segera memperluas kampanye ke khalayak yang lebih luas dari orang-orang yang diduga terkait dengan cryptocurrency. Mereka mungkin ingin mencuri potongan blockchain kami yang manis dan tidak bisa dilacak. Bagaimanapun, mereka tidak beruntung, karena saya tidak pernah memiliki cryptocurrency, kecuali beberapa bintang, yang saya terima secara gratis dan lupa kata sandi saya. Jika mereka atau beberapa pelaku pria lain membantu mengembalikannya, saya akan sangat berterima kasih.
Memiliki dua profil nyata, kerentanan Firefox 0 hari dan daftar alamat email orang-orang yang terkait dengan cryptocurrency (plus saya), para penyerang mulai bekerja. Mereka dengan kejam mengeksploitasi kesombongan orang yang tidak bersalah sedikit dalam kemampuan dan kepentingan mereka - dan menginfeksi Trojan dengan semua orang yang membuka tautan di Firefox pada MacOS. Kerentanan Firefox sekarang sudah diperbaiki, dan halaman web dari email phishing dihapus. Tapi saya akan terkejut jika setidaknya beberapa orang tidak mendapatkan pasangan Satoshi atau satu miliar.
Tidak yakin apa peran Universitas Cambridge dalam cerita ini. Saya tidak tahu apakah "Gregory Harris" dan "Neil Morris" adalah orang-orang nyata yang akun universitasnya dikompromikan, atau apakah kepribadian palsu ini dibuat oleh mereka yang membahayakan seluruh sistem komputasi universitas, atau saya tidak mengerti apa yang terjadi. Untuk berjaga-jaga, saya tidak ingin secara terbuka menyodok hidung saya ke kehidupan online Gregory atau Neal, jika ini adalah orang-orang nyata, tetapi saya sangat curiga bahwa ini masih merupakan akun palsu. Ini adalah asumsi yang sama sekali tidak berdasar, serta segala sesuatu yang mengikuti, jadi jika Anda bekerja di Universitas Cambridge, tolong jangan kirim sinar kebencian kepada saya. Tolong beri tahu kami apa yang sebenarnya terjadi.
Saya tidak dapat menemukan tanda-tanda Gregory Harris atau Neil Morris online kecuali dugaan profil LinkedIn mereka. Sekali lagi, ini normal. Tidak semua orang memiliki fiksi penggemar Instagram atau Star Wars. Namun, profil LinkedIn Gregory Harris baru-baru ini dihapus - dia masih muncul di pencarian Google tetapi tidak tersedia di LinkedIn. Dan sementara profil Neil Morris masih ada, itu mungkin palsu.
Sekilas, profil Neal terlihat cukup masuk akal.
Tetapi pencarian Google cepat menunjukkan bahwa deskripsi disalin dari profil LinkedIn lain.
Ini cukup bagi saya untuk mengkonfirmasi kecurigaan saya. Tetapi jika Anda melihat lebih dekat, kami akan menemukan beberapa detail lucu:
- Deskripsi Neal tentang gelar masternya agak aneh. Dia menulis "Lima Kursus dan Tesis," tetapi kemudian hanya daftar empat program.
- Neal menghabiskan tujuh tahun di sekolah menengah. Ini adalah standar di Inggris. Tetapi dua tahun terakhirnya, tampaknya, bertepatan dengan dua tahun pertama di universitas. Itu tidak masuk akal.
- Neal menggambarkan pendidikan pra-universitasnya sebagai "Sekolah Menengah". Kami tidak memiliki "Sekolah Menengah" di Inggris - kami menyebutnya "Sekolah Menengah". Masuk akal jika Neil adalah orang Amerika atau mencoba berkomunikasi dengan audiens Amerika, tetapi tidak ada tanda-tanda ini.
- Foto profil LinkedIn - Foto Bursa Universitas Cambridge. Pada awalnya saya tidak memperhatikan, tetapi dalam terang di atas, ini tampaknya sedikit aneh. Apakah dia benar-benar mencintai universitasnya sehingga dia menggunakan fotonya di profil profesionalnya? Bahkan bukan foto kantor, tapi universitas? Lebih mungkin seseorang mencoba membuat profil palsu yang memberi tahu pembaca biasa: "Saya bekerja di Universitas Cambridge, tidak ada yang perlu ditonton."
Neil, jika Anda ada dan ini adalah profil LinkedIn asli Anda, maka saya minta maaf. Tetapi jika Anda adalah orang yang nyata, mengapa Anda menyalin deskripsi diri orang lain?
Saya pikir itu bukan kesalahan saya untuk mengklik tautan di email phishing. Eksploitasi untuk kerentanan browser 0-hari di subdomain
cam.ac.uk bukan bagian dari model ancaman pribadi saya, dan saya pikir ini masuk akal. Keamanan harus diimbangi dengan pragmatisme. Tidak mungkin untuk menandatangani apa pun di dunia dengan tanda tangan GPG di jaringan kepercayaan yang mengarah ke Bruce Schneier. Namun,
twitter saya sudah siap untuk kritik pedas terhadap pernyataan ini, dalam pesan pribadi.
Namun, episode ini meninggalkan perasaan canggung yang luar biasa. Meskipun ceritanya berakhir dengan bahagia, saya masih terpikat oleh serangan phishing, dan hampir menelan umpan. Saya hanya beruntung bahwa vektor serangan adalah 0 hari untuk perangkat lunak yang tidak saya gunakan, dan bukan sesuatu yang lebih biasa. Jika pertukaran surat berlanjut sedikit, saya mungkin akan memasukkan makro untuk dokumen Microsoft Office yang dikirim oleh Gregory Harris, dan bahkan dapat menjalankan program yang dia kirim jika dia mengatakan bahwa ini adalah bagian dari proses pendaftaran. Seperti yang sudah saya sebutkan, saya tidak memiliki cryptocurrency, tetapi ada uang di rekening di bank Internet, yang secara umum diinginkan untuk disimpan.
Saya tidak tahu apa moral dari cerita ini. Mungkin kesimpulan utamanya adalah Anda harus tetap waspada saat berkomunikasi dengan orang asing di Internet, bahkan jika mereka memiliki alamat email yang sah dengan tanda tangan DKIM yang valid. Selain itu, sangat mudah untuk mengabaikan sejumlah besar ketidakkonsistenan dan keanehan jika Anda percaya pada cerita orang lain, terutama jika cerita ini menyenangkan bagi Anda. Melihat ke belakang, benar-benar tidak masuk akal untuk percaya bahwa Universitas Cambridge akan mengundang saya untuk menilai kompetisi ekonomi, dan ketika saya membaca email dari Gregory Harris, segera jelas bahwa ini bukan profesional komunikasi online. Tetapi saya tidak berpikir kritis dan dibuai oleh rasa aman yang salah karena surat dari
@cam.ac.uk dan ego saya sendiri.
Dan moral terakhir. Berpikir dua kali sebelumnya dengan rendah hati (dan tidak sopan juga) mengatakan kepada orang lain bahwa Anda diundang untuk menilai Hadiah Adam Smith di bidang Ekonomi.