Хабрахабр

[Перевод] Я был в семи словах от того, чтобы стать жертвой таргетированного фишинга

Три недели назад я получил очень лестное письмо из Кембриджского университета с предложением выступить судьёй на премии Адама Смита по экономике:

Дорогой Роберт,

Я один из Организаторов премии Адама Смита. Меня зовут Грегори Харрис.

Каждый год мы обновляем команду независимых специалистов для оценки качества конкурирующих проектов: http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize

Наши коллеги рекомендовали вас как опытного специалиста в этой области.

Нам нужна ваша помощь в оценке нескольких проектов для премии Адама Смита.

Ждём вашего ответа.

С наилучшими пожеланиями, Грегори Харрис

Я бы не назвал себя «экспертом» по экономике, но запрос университета не казался чем-то невероятным. У меня есть подписка на The Economist, и я понимаю — очень грубо — как и почему центральные банки устанавливают процентные ставки. Я читал «Капитал в двадцать первом веке» и в основном понял суть первой половины. Несколько постов в моём блоге помечены тегом «экономика». Возможно, я могу внести некий вклад в новую дисциплину вычислительной экономики. В целом казалось вполне вероятным, что организаторы премии Адама Смита захотят услышать мою точку зрения. Я предполагал много неоплачиваемой работы, но всё равно предложение было очень приятным.
Тем не менее, в глубине души я чувствовал, что возникло некое недопонимание. Вдруг меня — Роберта Хитона — перепутали с каким-нибудь профессором Хобертом Ритоном из Калифорнийского университета в Сан-Диего, специалистом по торговой теории Хекшера — Олина, который терпеливо ждёт возможности продолжить карьеру через трансатлантическое сотрудничество. Тем не менее, я решил потянуть за эту ниточку и слегка пощекотать фантазию.

Письмо было отправлено с адреса @cam.ac.uk. Рефлекторно я выполнил некоторые базовые проверки безопасности. Она указывала на тот же URL, что и в тексте, на валидном поддомене cam.ac.uk. Я навёл мышь на ссылку в письме — http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize. Я пошёл по ссылке и немного почитал об истории премии Адама Смита. Мне показалось немного странным, что страница размещена в личном каталоге gh327 вместо страницы факультета экономики; но ладно уж, вероятно, так меньше бюрократии.

Но об этом позже. Если бы «Грегори» добавил на эту страницу всего семь дополнительных слов: «Страницу следует просматривать в браузере Mozilla Firefox» — я бы точно облажался.

Я быстро погуглил «Грегори Харриса из Кембриджа», но мало что нашёл. Затем я зашёл на главную страницу cam.ac.uk и убедился, что это действительно домен Кембриджского университета. Но это нормально, не у каждого есть профиль в Twitter или кулинарный блог. Смутно помню какую-то учётную запись LinkedIn.

Я ещё подумал, что ему неплохо бы взять несколько уроков, как эффективно просить незнакомцев в интернете делать для него бесплатную работу. Помню, что письмо Грегори показалось мне очень коротким и плохо сформулированным. Ему также повезло, что мне было всё равно, что он пропустил “the” в предложении We need your assistance in evaluating several projects for Adam Smith Prize. Ему повезло, что меня не волновали такие мелочи. Видимо, меня также не волновало, что он написал «Организаторы» с заглавной буквы и что он, похоже, не понимает, что абзац может содержать больше одного предложения.

В то время я просто думал, что он не очень хороший писатель.

Я послал Грегори короткий ответ, предварительно выразив интерес и попросив предоставить дополнительную информацию.

Здравствуйте, Грегори,

Конечно, мне интересно. Спасибо за ваше письмо. Не могли бы вы рассказать немного больше о том, что для этого нужно и кто меня рекомендовал?

Всего лучшего, Роб

Грегори быстро ответил — я был в деле!

Здравствуйте, Роб,

Спасибо за быстрый ответ.

Ваша кандидатура была в списке кандидатов, который мы получили от Университе́та штата Калифорния в Сан-Франци́ско.

Мы вышлем вам описание нескольких проектов и список вопросов и критериев для их оценки.

Думаю, план будет готов к середине июня.

С наилучшими пожеланиями, Грегори

Я начал чувствовать себя словно какой-то обманщик. Бедняга Хоберт Ритон сидит в своём офисе в Сан-Диего в полном одиночестве и удивляется, почему никто не приглашает его судьёй на конкурс. Я решил поделиться своими сомнениями со своим новым другом Грегори, не скрывая сомнений в своих навыках. Если он всё равно захочет взять меня на конкурс, то это не моя вина.

Здравствуйте, Грегори,

Я прочитал несколько книг Пола Кругмана, но никогда не изучал и не занимался экономикой. Я начинаю думать, вдруг возникла какая-то путаница. Что вы думаете на этот счёт? Я инженер-программист — это моё занятие и образование (https://www.linkedin.com/in/robertjheaton/). Может быть, в Сан-Франциско есть ещё один Роберт Хитон, который знает немного больше об экономике?

Роб

Однако Грегори согласился (быстрее, чем я надеялся), что, возможно, произошла ошибка.

Здравствуйте, Роб,

Я проконсультируюсь с коллегами и вскоре свяжусь с вами. Да, возможна ошибка.

С наилучшими пожеланиями, Грегори

Это было последнее, что я слышал от Грегори Харриса. Казалось, что на этом история закончена.

Но в пятницу пришло письмо от Coinbase:

Здравствуйте,

Это поддельные профили, принадлежащие продвинутому злоумышленнику, который пытается установить вредоносное ПО на ваш компьютер... Возможно, вы недавно получили электронное письмо от человека по имени Грегори Харрис или Нил Моррис, выдающих себя за организаторов конкурса Кембриджского университета.

Если подумать, это действительно имело смысл.

Насколько я могу понять (это нигде явно не писали, и я вполне могу ошибаться), злоумышленники скомпрометировали учётные записи электронной почты и веб-страницы в Кембриджском университете, принадлежащие двум людям по имени «Грегори Харрис» и «Нил Моррис». Я чуть не стал жертвой технически продвинутой кампании по таргетированному фишингу. Если жертва использовала браузер Firefox, то вредоносный Javascript на странице использовал 0-day уязвимость в Firefox, которая позволяла эксплоиту выйти за пределы песочницы в браузере и запустить вредоносное ПО непосредственно в операционной системе. Затем использовали эти учётные записи для проведения кампании по фишингу с целью подтолкнуть каждую жертву посетить одну из двух скомпрометированных страниц, размещённых на http://people.ds.cam.ac.uk.

К счастью, я использовал Chrome, поэтому JavaScript-эксплоит злоумышленников ничего не сделал. Я беззаботно несколько раз переходил по ссылке, которую прислал «Грегори Харрис». Я бы посмеялся над неумехами веб-разработчиками, которые до сих пор не реализовали базовую кросс-браузерную совместимость, и самодовольно скопировал бы ссылку в Firefox. Но если бы злоумышленники сделали малость и добавили в начале страницы всего семь слов «Страницу следует просматривать в браузере Mozilla Firefox» — меня бы поимели. Возможно, у них не было полного контроля над содержанием страницы или они старались действовать максимально тонко. Даже непонятно, почему злоумышленники так не сделали.

Но вскоре расширили кампанию на более широкую аудиторию людей, предположительно связанных с криптовалютой. Изначально злоумышленники нацеливались на сотрудников криптовалютной биржи Coinbase. В любом случае, им не повезло, потому что я никогда не владел никакой криптовалютой, кроме нескольких стелларов, которые получил бесплатно и забыл пароль. Вероятно, они хотели похитить наши сладкие неотслеживаемые кусочки блокчейна. Если бы они или какие-то другие злоумышленники помогли их вернуть, я был бы очень благодарен.

Они безжалостно эксплуатировали слегка раздутое самомнение невинных людей в своих способностях и важности — и заражали трояном каждого, кто открывал ссылку в Firefox на MacOS. Обладая двумя настоящими профилями, 0-day уязвимостью Firefox и списком адресов электронной почты людей, связанных с криптовалютой (плюс я), злоумышленники приступили к работе. Но я удивлюсь, если хотя бы несколько человек не попали на парочку сатоши или на миллиард. Уязвимости Firefox теперь исправлены, а веб-страницы из фишинговых писем удалены.

Не знаю, являются ли «Грегори Харрис» и «Нил Моррис» реальными людьми, чьи университетские аккаунты были скомпрометированы, или это фейковые личности, созданные тем, кто скомпрометировал всю университетскую вычислительную систему, или я просто совершенно не понимаю, что произошло. Не уверен, какую роль в этой истории играет Кембриджский университет. Это абсолютно безосновательное предположение, как и всё последующее, так что если вы работаете в Кембриджском университете, прошу не направлять в меня лучи ненависти. На всякий случай не хочу публично совать нос в онлайновую жизнь Грегори или Нила, если это реальные люди, но сильно подозреваю, что это всё-таки фейковые аккаунты. Пожалуйста, расскажите, что произошло на самом деле.

Ещё раз, это нормально. Я не смог найти в онлайне никаких следов Грегори Харриса или Нила Морриса, кроме их предполагаемых профилей LinkedIn. Тем не менее, LinkedIn-профиль Грегори Харриса недавно удалён — он по-прежнему появляется в поиске Google, но не доступен в LinkedIn. Не каждый ведёт Instagram или пишет фанфики Star Wars. И хотя профиль Нила Морриса всё ещё там, это наверняка подделка.

На первый взгляд, профиль Нила выглядит достаточно разумно.

Но быстрый поиск Google показывает, что описание скопировано из другого профиля LinkedIn.

Но если посмотреть ближе, обнаружим ещё несколько забавных деталей: Для меня этого достаточно, чтобы подтвердить подозрения.

  • Описание Нилом своей степени магистра немного странно. Он написал «пять курсов и диссертация», но затем перечисляет только четыре курса.

  • Нил провёл семь лет в средней школе. Это стандарт в Великобритании. Но его последние два года, видимо, совпали с первыми двумя годами в университете. Это не имеет смысла.
  • Нил описывает свое довузовское образование как “High School”. У нас в Великобритании нет “High School” — мы называем её “Secondary School”. Это могло иметь смысл, если бы Нил был американцем или пытался общаться с американской аудиторией, но никаких признаков этого нет.

  • Фотография его профиля LinkedIn — стоковое фото Кембриджского университета. Я сначала не обратил внимания, но в свете всего вышесказанного это кажется немного странным. Действительно ли он так любит свой университет, что использует его фотографию в своём профессиональном профиле? Даже не фотографию офиса, а университета? Более вероятно, что некто пытается сделать фальшивый профиль, который говорит случайному читателю: «Я работаю в Кембриджском университете, тут нечего смотреть».

Но если вы такой реальный человек, то зачем скопировали чужое самоописание? Нил, если вы существуете и это ваш реальный профиль LinkedIn, то прошу прощения.

Эксплоит для 0-day уязвимости браузера на поддомене cam.ac.uk не входит в мою личную модель угроз, и я думаю, что это разумно. Не думаю, что с моей стороны было оплошностью нажать на ссылку в фишинговом письме. Невозможно всё в мире подписать GPG-подписью в сети доверия, которая ведёт к Брюсу Шнайеру. Безопасность следует балансировать с прагматизмом. Впрочем, мой твиттер уже готов к желчной критике этого утверждения, в личных сообщениях.

Хотя история заканчивается благополучно, я всё равно попался на крючок фишинг-атаки, и практически заглотил наживку. Тем не менее, этот эпизод оставил чувство невероятной неловкости. Если бы обмен письмами немного продолжился, вероятно, я бы включил макросы для документов Microsoft Office, которые прислал Грегори Харрис, и мог бы даже запустить программу, которую он прислал, если бы он сказал, что это часть процесса регистрации. Мне просто повезло, что вектором атаки была 0-day для программного обеспечения, которое я не использую, а не что-то более заурядное. Как я уже упоминал, у меня нет криптовалюты, но есть деньги на счетах в интернет-банке, которые вообще-то желательно сохранить.

Наверное, главный вывод в том, что следует сохранять бдительность при общении с незнакомцами в интернете, даже если у них легитимные адреса электронной почты c валидными DKIM-подписями. Не знаю, какова мораль этой истории. Оглядываясь назад, совершенно абсурдно было поверить, что Кембриджский университет пригласит меня судьёй на экономический конкурс, а перечитывая электронную почту Грегори Харриса, сразу видно, что это не профессионал по онлайн-коммуникациям. Кроме того, очень легко упустить из внимания большое количество несоответствий и странностей, если вы верите в чью-то историю, особенно если эта история вам приятна. Но я не думал критически и был убаюкан ложным чувством безопасности из-за почты с адреса @cam.ac.uk и собственного эго.

Дважды подумайте, прежде чем скромно (и нескромно тоже) рассказывать окружающим, что вас пригласили судить премию Адама Смита по экономике. И последняя мораль.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть