Há três semanas, recebi uma carta muito lisonjeira da Universidade de Cambridge com uma proposta de atuar como juiz no Prêmio Adam Smith em Economia:
Dear Robert,
Meu nome é Gregory Harris. Sou um dos organizadores do Prêmio Adam Smith.
Todos os anos, atualizamos uma equipe de especialistas independentes para avaliar a qualidade dos projetos concorrentes: http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize
Nossos colegas o recomendaram como especialista experiente neste campo.
Precisamos da sua ajuda na avaliação de vários projetos para o Adam Smith Award.
Aguardando sua resposta.
Atenciosamente, Gregory Harris
Eu não me chamaria de "especialista" em economia, mas o pedido da universidade não parecia inacreditável. Tenho uma assinatura do
The Economist e entendo - muito grosseiramente - como e por que os bancos centrais definem as taxas de juros. Li Capital no século XXI e basicamente entendi a essência da primeira metade.
Várias postagens no
meu blog estão marcadas com "economia". Talvez eu possa dar alguma contribuição à nova disciplina da economia da computação. No geral, parecia bastante provável que os organizadores do Prêmio Adam Smith quisessem ouvir meu argumento. Assumi muito trabalho não remunerado, mas a oferta ainda era muito agradável.
No entanto, no fundo, senti que havia um certo mal-entendido. De repente, fiquei confuso com Robert Heaton com um professor Hobert Riton da Universidade da Califórnia em San Diego, especialista em teoria comercial de Heckscher - Olin, que espera pacientemente a oportunidade de seguir uma carreira através da cooperação transatlântica. No entanto, decidi puxar esse fio e agradar levemente a fantasia.
Reflexivamente, realizei algumas verificações básicas de segurança. O email foi enviado de
@cam.ac.uk Passei o mouse sobre o link na carta -
http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize . Ela apontou para o mesmo URL do texto no subdomínio
cam.ac.uk válido. Pareceu-me um pouco estranho que a página seja colocada no diretório pessoal grh327 em vez da página da faculdade de economia; mas tudo bem, provavelmente é menos burocracia. Segui o link e li um pouco sobre a história do Prêmio Adam Smith.
Se "Gregory" adicionou apenas sete palavras adicionais a esta página: "A página deve ser visualizada no navegador Mozilla Firefox" - eu definitivamente estragaria tudo. Mas mais sobre isso mais tarde.
Depois fui à
cam.ac.uk e me certifiquei de que era realmente o domínio da Universidade de Cambridge. Eu pesquisei rapidamente Gregory Harris, de Cambridge, mas encontrei pouco. Lembro-me vagamente de uma conta do LinkedIn. Mas isso é normal, nem todo mundo tem um perfil no Twitter ou blog de culinária.
Lembro que a carta a Gregory me pareceu muito curta e mal formulada. Eu também pensei que seria bom ele ter algumas lições sobre como pedir efetivamente a estranhos na Internet para fazer um trabalho gratuito para ele. Ele teve sorte de eu não me importar com essas insignificâncias. Ele também teve sorte de não ter me importado com o fato de ele ter perdido "o" na frase
We need your assistance in evaluating several projects for Adam Smith Prize . Aparentemente, eu também não me importei que ele escrevesse “Organizadores” com uma letra maiúscula e que ele não parecesse entender que um parágrafo poderia conter mais de uma frase.
Naquela época, eu apenas pensei que ele não era um escritor muito bom.
Enviei uma resposta curta a Gregory, tendo manifestado interesse anteriormente e pedindo mais informações.
Olá Gregory
Obrigado pelo seu email. Claro que estou interessado. Você poderia contar um pouco mais sobre o que é necessário para isso e quem me recomendou?
Tudo de bom Rob
Gregory respondeu rapidamente - eu estava no negócio!
Olá Rob
Obrigado pela resposta rápida.
Sua candidatura estava na lista de candidatos que recebemos da Universidade da Califórnia, em São Francisco.
Enviaremos uma descrição de vários projetos e uma lista de perguntas e critérios para sua avaliação.
Eu acho que o plano estará pronto em meados de junho.
Atenciosamente, Gregory
Comecei a me sentir como algum tipo de trapaceiro. O pobre Hobert Riton senta-se sozinho em seu escritório em San Diego e se pergunta por que ninguém o está convidando para julgar o concurso. Decidi compartilhar minhas dúvidas com meu novo amigo Gregory, sem esconder dúvidas sobre minhas habilidades. Se ele ainda quer me levar para a competição, isso não é culpa minha.
Olá Gregory
Estou começando a pensar, de repente houve algum tipo de confusão. Li vários livros de Paul Krugman, mas nunca estudei ou estudei economia. Sou engenheiro de software - essa é minha profissão e educação (https://www.linkedin.com/in/robertjheaton/). O que você acha disso? Existe outro Robert Heaton em São Francisco que sabe um pouco mais sobre a economia?
Rob
No entanto, Gregory concordou (mais rápido do que eu esperava) que poderia ter havido um erro.
Olá Rob
Sim, é possível um erro. Vou consultar os colegas e entrarei em contato com você em breve.
Atenciosamente, Gregory
Essa foi a última coisa que ouvi de Gregory Harris. Parecia que a história havia terminado.
Mas na sexta-feira, uma carta veio da Coinbase:
Olá
Você pode ter recebido recentemente um e-mail de uma pessoa chamada Gregory Harris ou Neil Morris posando como organizadora do concurso da Universidade de Cambridge. Esses são perfis falsos pertencentes a um invasor avançado que está tentando instalar malware no seu computador ...
Se você pensar sobre isso, realmente fazia sentido.
Quase fui vítima de uma campanha de phishing direcionada tecnicamente avançada. Tanto quanto eu posso entender (isso claramente não foi escrito em nenhum lugar, e eu poderia estar enganado), os atacantes comprometeram as contas de email e as páginas da Web na Universidade de Cambridge, de propriedade de duas pessoas chamadas Gregory Harris e Neil Morris. Eles então usaram essas contas para conduzir uma campanha de phishing para incentivar cada vítima a visitar uma das duas páginas comprometidas em
http://people.ds.cam.ac.uk . Se a vítima usava o navegador Firefox, o Javascript malicioso na página
usava uma vulnerabilidade de 0 dias no Firefox , o que permitia que a exploração ultrapassasse a área restrita do navegador e executasse o malware diretamente no sistema operacional.
Eu despreocupado várias vezes segui o link enviado por Gregory Harris. Felizmente, eu usei o Chrome, então a exploração maliciosa do JavaScript não fez nada. Mas se os atacantes fizessem um pouco e adicionassem apenas sete palavras no início da página "A página deve ser visualizada no navegador Mozilla Firefox" - eu teria sido estuprada. Eu ria dos desenvolvedores da web estúpidos que ainda não implementaram a compatibilidade básica entre navegadores e copiava presunçosamente o link no Firefox. Ainda não está claro por que os atacantes não o fizeram. Talvez eles não tivessem controle total sobre o conteúdo da página ou tentassem agir da melhor maneira possível.
Inicialmente, os invasores direcionavam os funcionários à troca de criptomoedas Coinbase. Mas eles logo expandiram a campanha para um público mais amplo de pessoas supostamente associadas à criptomoeda. Eles provavelmente queriam roubar nossas peças doces e não rastreáveis de blockchain. De qualquer forma, eles não tiveram sorte, porque eu nunca possuía nenhuma criptomoeda, exceto algumas estelares, que recebi de graça e esqueci minha senha. Se eles ou alguns outros malfeitores ajudassem a devolvê-los, ficaria muito grato.
Possuindo dois perfis reais, uma vulnerabilidade do Firefox em 0 dias e uma lista de endereços de email de pessoas associadas à criptomoeda (mais eu), os atacantes começaram a trabalhar. Eles exploraram implacavelmente o conceito levemente sensacionalista de pessoas inocentes em suas habilidades e importância - e infectaram um Trojan com todos que abriram o link no Firefox no MacOS. As vulnerabilidades do Firefox agora estão corrigidas e as páginas da Web dos emails de phishing são removidas. Mas eu ficaria surpreso se pelo menos algumas pessoas não pegassem Satoshi ou um bilhão.
Não tenho certeza do papel que a Universidade de Cambridge desempenha nesta história. Não sei se "Gregory Harris" e "Neil Morris" são pessoas reais cujas contas da universidade foram comprometidas ou são essas personalidades falsas criadas por quem comprometeu todo o sistema de computação da universidade, ou simplesmente não entendo o que aconteceu. Só para garantir, não quero colocar publicamente meu nariz na vida on-line de Gregory ou Neal, se são pessoas reais, mas suspeito fortemente que ainda sejam contas falsas. Esta é uma suposição absolutamente infundada, bem como tudo o que se segue, portanto, se você trabalha na Universidade de Cambridge, por favor, não envie raios de ódio para mim. Por favor, conte-nos o que realmente aconteceu.
Não encontrei nenhum sinal de Gregory Harris ou Neil Morris online, exceto os supostos perfis do LinkedIn. Mais uma vez, isso é normal. Nem todo mundo tem ficção de fãs no Instagram ou Star Wars. No entanto, o perfil de Gregory Harris no LinkedIn foi excluído recentemente - ele ainda aparece na pesquisa do Google, mas não está disponível no LinkedIn. E embora o perfil de Neil Morris ainda esteja lá, é provavelmente falso.
À primeira vista, o perfil de Neal parece razoavelmente razoável.
Mas uma rápida pesquisa no Google mostra que a descrição é copiada de outro perfil do LinkedIn.
Isso é suficiente para eu confirmar minhas suspeitas. Mas se você olhar mais de perto, encontraremos alguns detalhes mais engraçados:
- A descrição de Neal do seu mestrado é um pouco estranha. Ele escreveu "Cinco cursos e uma tese", mas depois lista apenas quatro cursos.
- Neal passou sete anos no ensino médio. Este é o padrão no Reino Unido. Mas seus últimos dois anos, aparentemente, coincidiram com os dois primeiros na universidade. Isso não faz sentido.
- Neal descreve sua educação pré-universitária como "High School". Não temos "High School" no Reino Unido - chamamos de "Secondary School". Poderia fazer sentido se Neil fosse americano ou tentasse se comunicar com um público americano, mas não há sinal disso.
- Foto de perfil do LinkedIn - Fotografia de Stock Universidade de Cambridge. No começo, não prestei atenção, mas, à luz do exposto, isso parece um pouco estranho. Ele realmente ama tanto sua universidade que usa sua foto em seu perfil profissional? Nem mesmo a fotografia de um escritório, mas uma universidade? É mais provável que alguém esteja tentando criar um perfil falso que diga ao leitor casual: "Eu trabalho na Universidade de Cambridge, não há nada para assistir".
Neil, se você existe e esse é o seu verdadeiro perfil do LinkedIn, desculpe-me. Mas se você é uma pessoa tão real, por que copiou a auto-descrição de outra pessoa?
Não acho que tenha sido um descuido da minha parte clicar no link no email de phishing. A exploração da vulnerabilidade do navegador de 0 dia no subdomínio
cam.ac.uk não faz parte do meu modelo de ameaças pessoais e acho que isso é razoável. A segurança deve ser equilibrada com o pragmatismo. Não é possível assinar nada no mundo com uma assinatura GPG em uma rede de confiança que leva a Bruce Schneier. No entanto, meu
twitter já
está pronto para críticas irritantes a essa afirmação, em mensagens privadas.
No entanto, este episódio deixou uma sensação de constrangimento incrível. Embora a história termine feliz, eu ainda me apaixonei por um ataque de phishing e quase engoli a isca. Tive a sorte de o vetor de ataque ser de 0 dia para o software que não uso, e não algo mais comum. Se a troca de cartas continuasse um pouco, eu provavelmente incluiria macros para documentos do Microsoft Office enviados por Gregory Harris e poderia executar o programa que ele enviou se dissesse que isso fazia parte do processo de registro. Como já mencionei, não tenho criptomoeda, mas há dinheiro em contas no banco da Internet, o que geralmente é desejável manter.
Não sei qual é a moral dessa história. Talvez a principal conclusão seja que você deve permanecer vigilante ao se comunicar com estranhos na Internet, mesmo se eles tiverem endereços de email legítimos com assinaturas DKIM válidas. Além disso, é muito fácil ignorar um grande número de inconsistências e esquisitices se você acredita na história de outra pessoa, especialmente se essa história lhe agradar. Olhando para trás, era completamente absurdo acreditar que a Universidade de Cambridge me convidaria para julgar uma competição econômica e, quando li o e-mail de Gregory Harris, ficou imediatamente claro que este não é um profissional de comunicação on-line. Mas não pensei criticamente e fui embalado por uma falsa sensação de segurança por causa das mensagens do
@cam.ac.uk e do meu próprio ego.
E a última moral. Pense duas vezes antes, modestamente (e também modestamente), dizendo a outros que você foi convidado a julgar o Prêmio Adam Smith em Economia.