Farceur devenu garde-chasse : hameçonnage et chasse à la baleine avec James Linton

En 2017, James Linton travaillait en tant que concepteur UX (expérience utilisateur) numérique, sans aucune idée de ce à quoi mèneraient quelques farces au cours des prochains mois. Maintenant, il travaille à aider les gens à comprendre toutes les formes de phishing et de chasse à la baleine.

De nos jours, le phishing est un terme bien connu et s'est scindé en une myriade d'autres tels que le whaling, le spear phishing, le vishing, le SMishing, le dishing et de plus en plus de termes de niche. Alors que le phishing ne concernait au départ que les e-mails, il couvre désormais toute forme d'attaque reposant sur la fraude par usurpation d'identité qui utilise la communication électronique. Le spear phishing est une forme de phishing qui est au moins en partie ciblée, personnalisée en fonction du destinataire, et qui devient de la chasse à la baleine lorsque ce destinataire est une personne de premier plan.

À l'époque où Linton a commencé, tout n'était que du harponnage, pas qu'il le connaisse la première fois qu'il l'a fait.

Apprenez à un homme à hameçonner…

"J'étais le farceur du bureau. J'appelle ça plaisanter, c'est probablement à la limite d'être méchant. Je prenais la cigarette électronique de mon ami et la trempais dans du piment, la remettais sur son bureau. Donc, il ne s'agissait que de prendre ces hi-jinx et de passer au numérique.

"Je pense que le déclencheur ne faisait que regarder ma boîte de réception, et pendant que je travaillais dans UX, je réfléchissais à la façon dont nous essayons de réduire les informations techniques pour rendre l'expérience plus humaine. Nous venions de passer à GMail, et je regardais les messages et j'ai réalisé qu'il n'y avait rien d'une personne là-bas.

"Mon PDG nous avait envoyé un e-mail et nous riions de certaines des choses qu'il avait écrites, et je pensais juste qu'il n'y avait rien là-dedans. Il n'y a pas de voix, il n'y a pas de visage, j'espère juste que ça vient de lui. Je n'ai pas ressenti le besoin de cliquer et de regarder le détail de l'en-tête ou quelque chose comme ça. Donc, la prochaine étape était, eh bien, si je faisais semblant d'être lui et correspondais à ce genre de ton, je savais que je ne cliquerais pas pour révéler l'adresse e-mail du nom d'affichage.

« Je ne me souviens pas exactement de ce que j'ai écrit. Quelque chose comme venir à la salle de réunion après le travail et si vous avez un avocat, informez-le de la réunion. C'était un peu proche de l'os, je suppose, et je l'ai envoyé et je l'ai vu apparaître sur son deuxième écran. J'attendais qu'il clique dessus, et il s'avère qu'il ne vérifie jamais cet écran. Finalement, il l'a fait, et je l'ai vu le lire, et à la seconde où il a fini, il s'est juste retourné pour me regarder alors que je craquais, donc cette première tentative n'a pas fonctionné.

Il ne fallut pas longtemps à Linton pour voir le potentiel de l'approche et réfléchir un peu plus à sa prochaine tentative, faisant savoir à un collègue à un autre étage qu'il avait été sélectionné pour les Jeux interentreprises, pour être envoyé par avion à rivaliser avec la nourriture et l'hébergement de luxe. Recruter un espion au même étage lui permettait de se tenir au courant de ce qui se passait. Le collègue a craqué et s'est réjoui d'avoir été sélectionné.

"Je suppose que l'empathie n'était pas en haut de ma liste de choses à l'époque. Je l'ai justifié par ce que j'ai vu d'autres personnes faire. Vidéos YouTube de farces, Jeremy Beadle, grandissant avec toutes ces causes tribales rebelles. Cela semblait justifié, tant que quelqu'un trouvait ça drôle, vous pouviez faire des choses comme ça.

Très rapidement, cet humour allait changer au fur et à mesure que Linton apprenait une leçon importante. "Il s'approchait maintenant du PDG actuel pour le remercier de cet honneur, et je me suis vraiment senti très vite malade. C'était en train d'imploser sur moi, et la leçon est 'ne fais pas semblant d'être quelqu'un tant qu'il est encore dans le bâtiment'.

"Ne faites pas semblant d'être quelqu'un pendant qu'il est encore dans le bâtiment."

La première frappe

Après quelques appels rapprochés impliquant l'attribution de missions secrètes à des collègues du PDG (ainsi que des messages d'abandon d'urgence), Linton s'est éloigné de ses collègues de travail hameçonneurs. Il lui faudrait de la rancune pour se lancer dans ce qu'on appelle maintenant la chasse à la baleine (alors connue sous le nom de spear phishing).

« J'avais eu quelques allers-retours avec Barclays. Même le médiateur financier avait été impliqué, et j'avais juste l'impression que c'était un peu fini. J'avais perdu l'argument, et je me sentais un peu lésé par cela. Ce n'était pas en ma faveur, mais cela ne voulait pas dire que je ne pouvais pas avoir le dernier mot, je suppose. »**
**

Jes Staley était le PDG de Barclays à l'époque, et les gros titres récents avaient été fortement consacrés à ses tentatives de faire taire un dénonciateur en 2016 . John McFarlane était le président de Barclays à l'époque, et lorsque Linton est tombé sur un article parlant de l'histoire de la dénonciation, il s'y est accroché.

"Il était environ 20 heures à ce moment-là, alors j'ai recréé un compte Gmail et j'ai regardé l'article de presse. J'avais lu sur le président et je pensais que c'était une bonne dynamique. Cela encourage une conversation franche, surtout après une journée difficile dans laquelle vous avez tous les deux été impliqués. J'ai commencé à penser à ce qu'il ferait maintenant ? Pleurer au drive d'un McDonald's ? Assis sur une chaise au club en fumant un cigare ?

Il s'est avéré plus tard que Staley était à la maison à ce moment-là et sur son iPad. La plupart des appareils de Barclays avaient un avertissement visible pour les expéditeurs d'e-mails externes, mais les appareils mobiles étaient exemptés (ils ont modifié la politique peu de temps après).

Cette fois, la farce était allée un peu plus loin que le bureau, et les médias l'ont remarqué. Après avoir envoyé les captures d'écran à quelques journalistes, le Financial Times a repris l'histoire et l'a publiée. La célébrité a suivi rapidement.

« Je n'ai fait aucun travail. Les gens me tapaient dans les mains au travail et parlaient de cette victoire pour le petit homme. Et je suppose que ce sont tous les emballages addictifs qui ont alimenté l'étape suivante. J'ai bien pensé, je veux construire quelque chose à partir de cette petite chose. Quels sont ses composants ? Puis-je en faire plus ?

"Je pense que le principal était que les gens étaient surpris parce qu'ils ne connaissaient tout simplement pas l'échelle. N'importe qui pourrait configurer ces choses sur un téléphone, un compte de messagerie gratuit et prétendre être quelqu'un d'autre pour le PDG d'une banque.

Après ce premier succès avec Barclays, les choses ont rapidement dégénéré, les encouragements de Twitter encourageants.

Traquer la Banque d'Angleterre

S'en tenir au thème de la banque, une autre cible était Mark Carney, le gouverneur de la Banque d'Angleterre. A son crédit, une remarque sexiste du faux Anthony Habgood, alors président du tribunal de la banque, a été rapidement invalidée.

Les raids bancaires se sont poursuivis, les banques de Wall Street ayant été ajoutées à la liste des cibles.

"J'avais l'impression de pouvoir accéder à la boîte de réception de n'importe qui, à moins d'être pris par un filtre. Et puis les gens ont commencé à m'envoyer des adresses e-mail.

Alors que Linton publiait ses trophées sur __ Twitter __ à l'époque, les tendances politiques exerçaient une forte influence. Se faire passer pour Steve Bannon auprès des éditeurs de Breitbart, comme Alexander Marlow, était révélateur.

Hameçonner la baleine

Jusqu'à présent, l'identité de Linton n'était pas connue du public, au-delà de petits cercles d'amis et de famille. Cela changerait très rapidement avec la farce la plus célèbre et la plus dramatique de toutes. Aussi celui qui s'est avéré être un pas trop loin pour son employeur de l'époque. Mieux s'il le dit dans ses propres mots.

"J'ai remarqué que notre direction au travail se trouvait dans cette salle de réunion vitrée, ce qui était inhabituel, hors de caractère. Et j'ai pensé que je me demandais si c'était à propos de moi. Je pense que c'était à 100 %, parce que je ne me souviens pas si c'était un jour plus tard ou quelques jours, mais nous appartenions à de grandes entreprises américaines, alors ils ont dû consulter les propriétaires.

« D'un point de vue juridique, c'était ce qu'ils devaient faire. J'ai été suspendu, pas autorisé à retourner à mon bureau, à ne pas contacter les personnes avec qui je travaillais et ils ne devaient pas me contacter. Mon ordinateur a été mis dans un grand sac scellé et envoyé pour des tests. Je suppose qu'ils pensaient que ce serait plein de malware , et des virus, etc., mais cela n'aurait été que des captures d'écran de conversations par e-mail.

« Je ne savais pas vraiment ce que faisaient les criminels. Je n'avais pas les compétences pour le faire. Je n'ai jamais vraiment rien fait pour couvrir mes traces.

Et quel a été l'incident de la chasse à la baleine qui a amené les choses à ce point ?

**
** Il peut s'agir de l'usurpation d'identité réussie de Donald Trump Jr auprès d'Eric Trump, ou d'un certain nombre d'autres farces contre la Maison Blanche du président Donald Trump à l'époque. Il a certainement retenu l'attention.

Sauver les baleines

L'avenir semble très différent, avec des années d'apprentissage et de compréhension des principes de ce qu'il a saisi instinctivement dans ses premières farces et qui sont maintenant utilisés pour protéger les gens plutôt que de se faire passer pour eux. Un mélange d'allocutions, de contenu de formation et d'essai de nouvelles idées avec sa nouvelle entreprise La totalité et une nouvelle approche pour modéliser les menaces de phishing constituent quelques-uns des fils sur lesquels il travaille, mais la clé est d'apprécier ce qu'il fait.

Il n'y a pas d'objectif pour une grande sortie ou une chasse aux investissements, il s'agit simplement de rechercher la liberté d'essayer des idées, d'utiliser celles qui fonctionnent et de faire son propre truc.

«Vous pourriez faire x, y, z et puis dans trois ans, vous pourriez sortir. Eh bien, j'ai trouvé de la joie dans la construction de cette entreprise. Je veux continuer à le développer. Pourquoi le vendrais-je ou le donnerais-je ? Ce n'est pas à propos de ça. Il s'agit d'avoir quelque chose que j'ai construit.

"Le pire arrive au pire, je vais tout abandonner et retourner faire de l'art ou de l'écriture ou j'ai des idées de films. J'adore ça en ce moment, mais si cela change, je vérifierai demain, je ferai autre chose. Je ne me sens pas obligé de conquérir le monde de la technologie par un effort d'imagination. »

Pour en savoir plus sur ce que Linton fait maintenant et pour discuter avec lui de son contenu de formation, de ses conférences et de ses idées, vous pouvez le trouver sur LinkedIn