Я был в семи словах от того, чтобы стать жертвой таргетированного фишинга

Три недели назад я получил очень лестное письмо из Кембриджского университета с предложением выступить судьёй на премии Адама Смита по экономике:

Дорогой Роберт,

Меня зовут Грегори Харрис. Я один из Организаторов премии Адама Смита.

Каждый год мы обновляем команду независимых специалистов для оценки качества конкурирующих проектов: http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize

Наши коллеги рекомендовали вас как опытного специалиста в этой области.

Нам нужна ваша помощь в оценке нескольких проектов для премии Адама Смита.

Ждём вашего ответа.

С наилучшими пожеланиями, Грегори Харрис
Я бы не назвал себя «экспертом» по экономике, но запрос университета не казался чем-то невероятным. У меня есть подписка на The Economist, и я понимаю — очень грубо — как и почему центральные банки устанавливают процентные ставки. Я читал «Капитал в двадцать первом веке» и в основном понял суть первой половины. Несколько постов в моём блоге помечены тегом «экономика». Возможно, я могу внести некий вклад в новую дисциплину вычислительной экономики. В целом казалось вполне вероятным, что организаторы премии Адама Смита захотят услышать мою точку зрения. Я предполагал много неоплачиваемой работы, но всё равно предложение было очень приятным.

Тем не менее, в глубине души я чувствовал, что возникло некое недопонимание. Вдруг меня — Роберта Хитона — перепутали с каким-нибудь профессором Хобертом Ритоном из Калифорнийского университета в Сан-Диего, специалистом по торговой теории Хекшера — Олина, который терпеливо ждёт возможности продолжить карьеру через трансатлантическое сотрудничество. Тем не менее, я решил потянуть за эту ниточку и слегка пощекотать фантазию.

Рефлекторно я выполнил некоторые базовые проверки безопасности. Письмо было отправлено с адреса @cam.ac.uk. Я навёл мышь на ссылку в письме — http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize. Она указывала на тот же URL, что и в тексте, на валидном поддомене cam.ac.uk. Мне показалось немного странным, что страница размещена в личном каталоге grh327 вместо страницы факультета экономики; но ладно уж, вероятно, так меньше бюрократии. Я пошёл по ссылке и немного почитал об истории премии Адама Смита.

Если бы «Грегори» добавил на эту страницу всего семь дополнительных слов: «Страницу следует просматривать в браузере Mozilla Firefox» — я бы точно облажался. Но об этом позже.

Затем я зашёл на главную страницу cam.ac.uk и убедился, что это действительно домен Кембриджского университета. Я быстро погуглил «Грегори Харриса из Кембриджа», но мало что нашёл. Смутно помню какую-то учётную запись LinkedIn. Но это нормально, не у каждого есть профиль в Twitter или кулинарный блог.

Помню, что письмо Грегори показалось мне очень коротким и плохо сформулированным. Я ещё подумал, что ему неплохо бы взять несколько уроков, как эффективно просить незнакомцев в интернете делать для него бесплатную работу. Ему повезло, что меня не волновали такие мелочи. Ему также повезло, что мне было всё равно, что он пропустил “the” в предложении We need your assistance in evaluating several projects for Adam Smith Prize. Видимо, меня также не волновало, что он написал «Организаторы» с заглавной буквы и что он, похоже, не понимает, что абзац может содержать больше одного предложения.

В то время я просто думал, что он не очень хороший писатель.

Я послал Грегори короткий ответ, предварительно выразив интерес и попросив предоставить дополнительную информацию.

Здравствуйте, Грегори,

Спасибо за ваше письмо. Конечно, мне интересно. Не могли бы вы рассказать немного больше о том, что для этого нужно и кто меня рекомендовал?

Всего лучшего, Роб
Грегори быстро ответил — я был в деле!

Здравствуйте, Роб,

Спасибо за быстрый ответ.

Ваша кандидатура была в списке кандидатов, который мы получили от Университе́та штата Калифорния в Сан-Франци́ско.

Мы вышлем вам описание нескольких проектов и список вопросов и критериев для их оценки.

Думаю, план будет готов к середине июня.

С наилучшими пожеланиями, Грегори
Я начал чувствовать себя словно какой-то обманщик. Бедняга Хоберт Ритон сидит в своём офисе в Сан-Диего в полном одиночестве и удивляется, почему никто не приглашает его судьёй на конкурс. Я решил поделиться своими сомнениями со своим новым другом Грегори, не скрывая сомнений в своих навыках. Если он всё равно захочет взять меня на конкурс, то это не моя вина.

Здравствуйте, Грегори,

Я начинаю думать, вдруг возникла какая-то путаница. Я прочитал несколько книг Пола Кругмана, но никогда не изучал и не занимался экономикой. Я инженер-программист — это моё занятие и образование (https://www.linkedin.com/in/robertjheaton/). Что вы думаете на этот счёт? Может быть, в Сан-Франциско есть ещё один Роберт Хитон, который знает немного больше об экономике?

Роб
Однако Грегори согласился (быстрее, чем я надеялся), что, возможно, произошла ошибка.

Здравствуйте, Роб,

Да, возможна ошибка. Я проконсультируюсь с коллегами и вскоре свяжусь с вами.

С наилучшими пожеланиями, Грегори
Это было последнее, что я слышал от Грегори Харриса. Казалось, что на этом история закончена.

Но в пятницу пришло письмо от Coinbase:

Здравствуйте,

Возможно, вы недавно получили электронное письмо от человека по имени Грегори Харрис или Нил Моррис, выдающих себя за организаторов конкурса Кембриджского университета. Это поддельные профили, принадлежащие продвинутому злоумышленнику, который пытается установить вредоносное ПО на ваш компьютер…
Если подумать, это действительно имело смысл.

Я чуть не стал жертвой технически продвинутой кампании по таргетированному фишингу. Насколько я могу понять (это нигде явно не писали, и я вполне могу ошибаться), злоумышленники скомпрометировали учётные записи электронной почты и веб-страницы в Кембриджском университете, принадлежащие двум людям по имени «Грегори Харрис» и «Нил Моррис». Затем использовали эти учётные записи для проведения кампании по фишингу с целью подтолкнуть каждую жертву посетить одну из двух скомпрометированных страниц, размещённых на http://people.ds.cam.ac.uk. Если жертва использовала браузер Firefox, то вредоносный Javascript на странице использовал 0-day уязвимость в Firefox, которая позволяла эксплоиту выйти за пределы песочницы в браузере и запустить вредоносное ПО непосредственно в операционной системе.

Я беззаботно несколько раз переходил по ссылке, которую прислал «Грегори Харрис». К счастью, я использовал Chrome, поэтому JavaScript-эксплоит злоумышленников ничего не сделал. Но если бы злоумышленники сделали малость и добавили в начале страницы всего семь слов «Страницу следует просматривать в браузере Mozilla Firefox» — меня бы поимели. Я бы посмеялся над неумехами веб-разработчиками, которые до сих пор не реализовали базовую кросс-браузерную совместимость, и самодовольно скопировал бы ссылку в Firefox. Даже непонятно, почему злоумышленники так не сделали. Возможно, у них не было полного контроля над содержанием страницы или они старались действовать максимально тонко.

Изначально злоумышленники нацеливались на сотрудников криптовалютной биржи Coinbase. Но вскоре расширили кампанию на более широкую аудиторию людей, предположительно связанных с криптовалютой. Вероятно, они хотели похитить наши сладкие неотслеживаемые кусочки блокчейна. В любом случае, им не повезло, потому что я никогда не владел никакой криптовалютой, кроме нескольких стелларов, которые получил бесплатно и забыл пароль. Если бы они или какие-то другие злоумышленники помогли их вернуть, я был бы очень благодарен.

Обладая двумя настоящими профилями, 0-day уязвимостью Firefox и списком адресов электронной почты людей, связанных с криптовалютой (плюс я), злоумышленники приступили к работе. Они безжалостно эксплуатировали слегка раздутое самомнение невинных людей в своих способностях и важности — и заражали трояном каждого, кто открывал ссылку в Firefox на MacOS. Уязвимости Firefox теперь исправлены, а веб-страницы из фишинговых писем удалены. Но я удивлюсь, если хотя бы несколько человек не попали на парочку сатоши или на миллиард.

Не уверен, какую роль в этой истории играет Кембриджский университет. Не знаю, являются ли «Грегори Харрис» и «Нил Моррис» реальными людьми, чьи университетские аккаунты были скомпрометированы, или это фейковые личности, созданные тем, кто скомпрометировал всю университетскую вычислительную систему, или я просто совершенно не понимаю, что произошло. На всякий случай не хочу публично совать нос в онлайновую жизнь Грегори или Нила, если это реальные люди, но сильно подозреваю, что это всё-таки фейковые аккаунты. Это абсолютно безосновательное предположение, как и всё последующее, так что если вы работаете в Кембриджском университете, прошу не направлять в меня лучи ненависти. Пожалуйста, расскажите, что произошло на самом деле.

Я не смог найти в онлайне никаких следов Грегори Харриса или Нила Морриса, кроме их предполагаемых профилей LinkedIn. Ещё раз, это нормально. Не каждый ведёт Instagram или пишет фанфики Star Wars. Тем не менее, LinkedIn-профиль Грегори Харриса недавно удалён — он по-прежнему появляется в поиске Google, но не доступен в LinkedIn. И хотя профиль Нила Морриса всё ещё там, это наверняка подделка.

На первый взгляд, профиль Нила выглядит достаточно разумно.

Но быстрый поиск Google показывает, что описание скопировано из другого профиля LinkedIn.

Для меня этого достаточно, чтобы подтвердить подозрения. Но если посмотреть ближе, обнаружим ещё несколько забавных деталей:

  • Описание Нилом своей степени магистра немного странно. Он написал «пять курсов и диссертация», но затем перечисляет только четыре курса.

  • Нил провёл семь лет в средней школе. Это стандарт в Великобритании. Но его последние два года, видимо, совпали с первыми двумя годами в университете. Это не имеет смысла.
  • Нил описывает свое довузовское образование как “High School”. У нас в Великобритании нет “High School” — мы называем её “Secondary School”. Это могло иметь смысл, если бы Нил был американцем или пытался общаться с американской аудиторией, но никаких признаков этого нет.

  • Фотография его профиля LinkedIn — стоковое фото Кембриджского университета. Я сначала не обратил внимания, но в свете всего вышесказанного это кажется немного странным. Действительно ли он так любит свой университет, что использует его фотографию в своём профессиональном профиле? Даже не фотографию офиса, а университета? Более вероятно, что некто пытается сделать фальшивый профиль, который говорит случайному читателю: «Я работаю в Кембриджском университете, тут нечего смотреть».

Нил, если вы существуете и это ваш реальный профиль LinkedIn, то прошу прощения. Но если вы такой реальный человек, то зачем скопировали чужое самоописание?

Не думаю, что с моей стороны было оплошностью нажать на ссылку в фишинговом письме. Эксплоит для 0-day уязвимости браузера на поддомене cam.ac.uk не входит в мою личную модель угроз, и я думаю, что это разумно. Безопасность следует балансировать с прагматизмом. Невозможно всё в мире подписать GPG-подписью в сети доверия, которая ведёт к Брюсу Шнайеру. Впрочем, мой твиттер уже готов к желчной критике этого утверждения, в личных сообщениях.

Тем не менее, этот эпизод оставил чувство невероятной неловкости. Хотя история заканчивается благополучно, я всё равно попался на крючок фишинг-атаки, и практически заглотил наживку. Мне просто повезло, что вектором атаки была 0-day для программного обеспечения, которое я не использую, а не что-то более заурядное. Если бы обмен письмами немного продолжился, вероятно, я бы включил макросы для документов Microsoft Office, которые прислал Грегори Харрис, и мог бы даже запустить программу, которую он прислал, если бы он сказал, что это часть процесса регистрации. Как я уже упоминал, у меня нет криптовалюты, но есть деньги на счетах в интернет-банке, которые вообще-то желательно сохранить.

Не знаю, какова мораль этой истории. Наверное, главный вывод в том, что следует сохранять бдительность при общении с незнакомцами в интернете, даже если у них легитимные адреса электронной почты c валидными DKIM-подписями. Кроме того, очень легко упустить из внимания большое количество несоответствий и странностей, если вы верите в чью-то историю, особенно если эта история вам приятна. Оглядываясь назад, совершенно абсурдно было поверить, что Кембриджский университет пригласит меня судьёй на экономический конкурс, а перечитывая электронную почту Грегори Харриса, сразу видно, что это не профессионал по онлайн-коммуникациям. Но я не думал критически и был убаюкан ложным чувством безопасности из-за почты с адреса @cam.ac.uk и собственного эго.

И последняя мораль. Дважды подумайте, прежде чем скромно (и нескромно тоже) рассказывать окружающим, что вас пригласили судить премию Адама Смита по экономике.

Оставить комментарий