Bromista convertido en guardabosques: phishing y caza de ballenas con James Linton

En 2017, James Linton trabajaba como diseñador digital de UX (Experiencia de usuario), sin tener idea de lo que le llevaría a algunas bromas en los próximos meses. Ahora, trabaja para ayudar a las personas a comprender todas las formas de phishing y caza de ballenas.

Hoy en día, el phishing es un término muy conocido y se ha dividido en una miríada de otros, como la caza de ballenas, el phishing selectivo, el vishing, el SMishing, el dishing y cada vez más términos especializados. Si bien el phishing comenzó refiriéndose solo al correo electrónico, ahora cubre cualquier forma de ataque que se base en el fraude de suplantación de identidad que utiliza la comunicación electrónica. Spear phishing es una forma de phishing que está al menos parcialmente dirigida, personalizada para el destinatario, y se convierte en caza de ballenas cuando ese destinatario es un individuo de alto perfil.

Cuando Linton estaba comenzando, todo era phishing de lanza, no es que estuviera familiarizado con él la primera vez que lo hizo.

Enseñar a un hombre a hacer phishing…

“Yo era el bromista de la oficina. Lo llamo bromear, probablemente esté al borde de ser desagradable. Conseguía el cigarrillo electrónico de mi amigo, lo mojaba en chile y lo volvía a poner en su escritorio. Así que solo estaba tomando esos hi-jinx y volviéndolos digitales.

“Creo que el desencadenante fue solo mirar mi bandeja de entrada y, mientras trabajaba en UX, estaba pensando en cómo tratamos de reducir la información técnica para hacer que la experiencia sea más humana. Acabábamos de cambiar a GMail, estaba mirando los mensajes y me di cuenta de que no había nada de una persona allí.

“Mi director ejecutivo nos envió un correo electrónico a todos y nos reíamos de algunas de las cosas que había escrito, y pensé que no había nada allí. No hay voz, no hay cara, solo confío en que esto es de él. No sentí la necesidad de hacer clic y mirar el detalle del encabezado ni nada por el estilo. Entonces, el siguiente paso fue, bueno, si me hacía pasar por él y usaba ese tipo de tono, sabía que no haría clic para revelar la dirección de correo electrónico del nombre para mostrar.

“No puedo recordar exactamente lo que escribí. Algo así como venir a la sala de reuniones después del trabajo y si tienes un abogado, infórmales de la reunión. Estaba un poco cerca del hueso, supongo, y lo envié y lo vi aparecer en su segunda pantalla. Estaba esperando que hiciera clic y resulta que nunca revisa esa pantalla. Eventualmente lo hizo, y vi que lo leyó, y en el momento en que terminó, simplemente se giró para mirarme mientras me estaba riendo a carcajadas, así que ese primer intento no funcionó”.

Linton no tardaría mucho en ver el potencial del enfoque y pensar un poco más en su próximo intento, dejando que un colega en otro piso supiera que había sido seleccionado para los Juegos entre empresas, para volar a competir con la comida y el alojamiento de lujo. Reclutar a un espía en el mismo piso le permitió mantenerse actualizado sobre lo que estaba sucediendo. El colega se enamoró de él y estaba encantado de ser seleccionado.

“Supongo que la empatía no ocupaba un lugar destacado en mi lista de cosas en ese momento. Lo justifiqué con lo que vi hacer a otras personas. Videos de YouTube de bromas, Jeremy Beadle, creciendo con todas estas causas tribales rebeldes. Parecía justificado, siempre y cuando alguien lo encontrara divertido, podrías hacer cosas como esta”.

Muy rápidamente, ese humor cambiaría cuando Linton aprendió una lección importante. “Él ahora se acercaba al actual CEO para agradecerle el honor, y realmente me sentí mal muy rápido. Me estaba implosionando, y la lección es 'no pretendas ser alguien mientras todavía están en el edificio'".

“No pretendas ser alguien mientras todavía están en el edificio”.

el primer golpe

Después de algunas llamadas cercanas que involucraron la asignación de misiones secretas a colegas del CEO (junto con algunos mensajes de aborto de emergencia), Linton se alejó de los colegas de trabajo de phishing. Se necesitaría rencor para él para dar un paso adelante en lo que ahora se conoce como caza de ballenas (entonces conocido como phishing de lanza).

“Tuve un poco de ida y vuelta con Barclays. Incluso el Defensor del Pueblo Financiero había estado involucrado, y sentí que todo había terminado. Había perdido la discusión, y me sentí un poco ofendido por eso. No fue a mi favor, pero eso no significa que no pueda reírme el último, supongo.”**
**

Jes Staley era el CEO de Barclays en ese momento, y los titulares recientes se habían centrado en gran medida en sus intentos de silenciar a un denunciante en 2016 . John McFarlane era el presidente de Barclays en ese momento, y cuando Linton encontró un artículo que hablaba sobre la historia de la denuncia de irregularidades, se aferró a él.

“Eran alrededor de las 8 p.m. en ese momento, así que creé una cuenta de Gmail nuevamente y miré el artículo de noticias. Había leído sobre el presidente y pensé que era una buena dinámica. Fomenta una conversación sincera, especialmente después de un día difícil en el que ambos estuvieron involucrados. Empecé a pensar en qué estaría haciendo él ahora. ¿Llorando en un McDonald's en coche? ¿Sentado en una silla en el club fumando un cigarro?

Más tarde resultó que Staley estaba en casa en ese momento y en su iPad. La mayoría de los dispositivos en Barclays tenían una advertencia visible para los remitentes de correo electrónico externos, pero los dispositivos móviles estaban exentos (cambiaron la política poco después).

Esta vez la broma había ido un poco más allá de la oficina y los medios se dieron cuenta. Después de enviar las capturas de pantalla a algunos periodistas, el Financial Times recogió la historia y la publicó. Celebrity lo siguió rápidamente.

“No hice ningún trabajo. La gente me chocaba los cinco en el trabajo y hablaba de esta victoria para el hombrecito. Y supongo que este fue todo el empaque adictivo que impulsó el siguiente paso. Pensé bien, quiero construir algo a partir de esta pequeña cosa. ¿Cuáles son sus componentes? ¿Puedo hacer más?

“Creo que lo principal fue que la gente se sorprendiera porque simplemente no conocían la escala. Cualquiera podría configurar estas cosas en un teléfono, una cuenta de correo electrónico gratuita y pretender ser otra persona ante el director general de un banco”.

Después de ese éxito inicial con Barclays, las cosas se intensificaron rápidamente, con las porras de Twitter brindando aliento.

Trolleando al Banco de Inglaterra

Siguiendo con el tema del banco, otro objetivo era Mark Carney, el gobernador del Banco de Inglaterra. Para su crédito, un comentario sexista del falso Anthony Habgood, entonces presidente de la corte en el banco, fue rápidamente derribado.

Las redadas bancarias continuaron y los bancos de Wall Street se agregaron a la lista de objetivos.

“Sentí que podía llegar a la bandeja de entrada de cualquier persona, salvo que me atrapara un filtro. Y luego la gente comenzó a enviarme direcciones de correo electrónico”.

Como Linton estaba publicando sus trofeos en __ Twitter __ en ese momento, las inclinaciones políticas eran una fuerte influencia. Hacerse pasar por Steve Bannon ante los editores de Breitbart, como Alexander Marlow, fue revelador.

Phishing a la ballena

Hasta este momento, la identidad de Linton no se conocía públicamente, más allá de pequeños círculos de amigos y familiares. Eso cambiaría muy rápidamente con la broma más famosa y dramática de todas. También el que resultó ser un paso demasiado lejos para su empleador en ese momento. Mejor si lo cuenta con sus propias palabras.

“Me di cuenta de que nuestra gerencia en el trabajo estaba en esta sala de reuniones con paredes de vidrio, lo cual era inusual, fuera de lugar. Y pensé que me pregunto si eso se trata de mí. Creo que fue al 100%, porque no recuerdo si fue un día después o un par de veces, pero éramos propiedad de grandes empresas estadounidenses, por lo que tenían que consultar con los propietarios.

“Desde el punto de vista legal, era lo que tenían que hacer. Me suspendieron, no me permitieron regresar a mi escritorio, no contactar a nadie con quien trabajé y ellos no podían contactarme. Pusieron mi computadora en una bolsa grande sellada y la enviaron para que la probaran. Supongo que estaban pensando que estaría lleno de malware , y virus, y esas cosas, pero solo habrían sido capturas de pantalla de conversaciones por correo electrónico.

“Realmente no sabía lo que hacían los criminales. No tenía las habilidades para hacer eso. Realmente nunca hice nada para cubrir mis huellas”.

¿Y cuál fue el incidente de la caza de ballenas que llevó las cosas a este punto?

**
**Puede haber sido la suplantación exitosa de Donald Trump Jr a Eric Trump, o una serie de otras bromas contra la Casa Blanca del entonces presidente Donald Trump en ese momento. Ciertamente llamó la atención.

salvando las ballenas

El futuro se ve muy diferente, con años de aprendizaje y comprensión de los principios de lo que captó instintivamente en sus primeras bromas que ahora se utilizan para proteger a las personas en lugar de hacerse pasar por ellas. Una combinación de charlas, contenido de capacitación y probar nuevas ideas con su nueva empresa. El conjunto y un nuevo enfoque para modelar las amenazas de phishing constituyen algunos de los hilos en los que está trabajando, pero la clave es disfrutar de lo que está haciendo.

No hay un objetivo para una gran salida, o la caza de inversiones, simplemente persiguiendo la libertad de probar ideas, usar las que funcionan y hacer lo suyo.

“Podrías hacer x, y, z y luego en tres años podrías salir. Bueno, encontré alegría en la construcción de esta empresa. Quiero seguir desarrollándolo. ¿Por qué lo vendería o lo regalaría? No se trata de eso. Se trata de tener algo que he construido.

“Lo peor llega a lo peor, dejaré todo y volveré y haré arte o algo de escritura o tengo algunas ideas para películas. Me encanta esto en este momento, pero si eso cambia, lo revisaré mañana, haré otra cosa. No siento que tenga que conquistar el mundo de la tecnología por ningún tramo de mi imaginación”.

Para obtener más información sobre lo que está haciendo Linton ahora y conversar con él sobre su contenido de capacitación, charlas e ideas, puede encontrarlo en LinkedIn