Prankster virou Gamekeeper: Phishing and Whaling com James Linton

Em 2017, James Linton trabalhava como designer de UX (User Experience) digital, sem ter ideia do que algumas pegadinhas nos próximos meses levariam. Agora, ele trabalha para ajudar as pessoas a entender todas as formas de phishing e baleias.

Hoje em dia, phishing é um termo bem conhecido e se dividiu em uma miríade de outros, como baleias, spear phishing, vishing, SMishing, dishing e cada vez mais termos de nicho. Enquanto o phishing começou se referindo apenas a e-mail, agora ele abrange qualquer forma de ataque baseado em fraude de representação que usa comunicação eletrônica. Spear phishing é uma forma de phishing que é pelo menos parcialmente direcionada, personalizada para o destinatário, e se torna baleia quando esse destinatário é um indivíduo de alto perfil.

Quando Linton estava começando, era tudo spear phishing, não que ele estivesse familiarizado com isso na primeira vez que o fez.

Ensine um homem a phishing…

“Eu era o curinga do escritório. Eu chamo isso de brincadeira, provavelmente é apenas ser desagradável. Eu pegava o cigarro eletrônico do meu amigo, molhava na pimenta e colocava de volta na mesa dele. Então, foi só pegar aqueles hi-jinx e ir para o digital.

“Acho que o gatilho foi apenas olhar para minha caixa de entrada e, enquanto trabalhava em UX, pensei em como tentamos reduzir as informações técnicas para tornar a experiência mais humana. Tínhamos acabado de mudar para o GMail, e eu estava olhando as mensagens e percebi que não havia nada de uma pessoa ali.

“Meu CEO enviou um e-mail para todos nós e estávamos rindo de algumas das coisas que ele escreveu, e eu pensei que não havia nada ali. Não há voz, não há rosto, só estou confiando que isso é dele. Não senti necessidade de clicar e ver os detalhes do cabeçalho ou algo assim. Portanto, o próximo passo foi, bem, se eu fingisse ser ele e combinasse com esse tipo de tom, sabia que não clicaria para revelar o endereço de e-mail do nome de exibição.

“Não consigo lembrar exatamente o que escrevi. Algo como ir à sala de reunião depois do trabalho e, se você tiver um advogado, informe-o sobre a reunião. Estava um pouco perto do osso, eu acho, e eu enviei e vi aparecer em sua segunda tela. Eu estava esperando que ele clicasse e descobri que ele nunca checa aquela tela. Eventualmente ele o fez, e eu o vi lendo, e no segundo que ele terminou, ele apenas se virou para olhar para mim enquanto eu estava tendo um colapso, então a primeira tentativa não funcionou.

Não demoraria muito para Linton ver o potencial da abordagem e pensar um pouco mais em sua próxima tentativa, deixando um colega em outro andar saber que ele havia sido selecionado para os Jogos Intercompanhia, para ser levado para competir com comida e acomodação de luxo. Recrutar um espião no mesmo andar permitiu que ele se mantivesse atualizado sobre o que estava acontecendo. O colega caiu nessa e ficou encantado com a seleção.

“Acho que a empatia não estava no topo da minha lista de coisas na época. Justifiquei com o que vi outras pessoas fazendo. Vídeos de pegadinhas no YouTube, Jeremy Beadle, crescendo com todas essas causas tribais rebeldes. Parecia justificado, desde que alguém achasse engraçado que você pudesse fazer coisas assim.

Muito rapidamente, esse humor mudaria quando Linton aprendesse uma lição importante. “Ele agora estava caminhando até o atual CEO para agradecê-lo pela honra, e eu realmente me senti mal muito rápido. Estava implodindo em mim, e a lição é 'não finja ser alguém enquanto eles ainda estão no prédio'.”

“Não finja ser alguém enquanto eles ainda estão no prédio.”

O Primeiro Golpe

Depois de algumas ligações envolvendo a atribuição de missões secretas a colegas do CEO (junto com algumas mensagens de cancelamento de emergência), Linton se afastou dos colegas de trabalho de phishing. Seria preciso rancor para ele entrar no que agora é conhecido como caça às baleias (então conhecido como spear phishing).

“Tive algumas idas e vindas com o Barclays. Até o ombudsman financeiro estava envolvido, e eu senti que estava meio que acabado. Eu havia perdido a discussão e me senti um pouco ofendido por isso. Não foi a meu favor, mas isso não significa que eu não posso rir por último, eu acho.”**
**

Jes Staley era o CEO do Barclays na época, e as manchetes recentes foram fortemente sobre suas tentativas de silenciar um denunciante em 2016 . John McFarlane era o presidente do Barclays na época e, quando Linton se deparou com um artigo falando sobre a denúncia, ele se agarrou a ele.

“Era por volta das 20h naquele horário, então criei uma conta do Gmail novamente e olhei para o artigo de notícias. Eu li sobre o presidente e achei que é uma boa dinâmica. Isso encoraja uma conversa franca, especialmente depois de um dia difícil em que vocês dois estiveram envolvidos. Comecei a pensar sobre o que ele estaria fazendo agora? Chorando em um drive-thru do McDonald's? Sentado em uma cadeira no clube fumando um charuto?

Descobriu-se mais tarde que Staley estava em casa na hora e em seu iPad. A maioria dos dispositivos no Barclays tinha um aviso visível para remetentes de e-mail externos, mas os dispositivos móveis eram isentos (eles mudaram a política logo depois).

Desta vez, a pegadinha foi um pouco além do escritório e a mídia percebeu. Depois de enviar as capturas de tela para alguns jornalistas, o Financial Times pegou a história e a publicou. Celebridade seguiu rapidamente.

“Eu não fiz nenhum trabalho. As pessoas estavam me cumprimentando no trabalho e falando sobre essa vitória para o homenzinho. E acho que essa foi toda a embalagem viciante que alimentou a próxima etapa. Pensei bem, quero construir algo com essa coisinha. Quais são seus componentes? Posso fazer mais disso?”

“Acho que o principal foi a surpresa das pessoas porque simplesmente não conheciam a escala. Qualquer um pode configurar essas coisas em um telefone, conta de e-mail gratuita e fingir ser outra pessoa para o CEO de um banco.”

Depois desse sucesso inicial com o Barclays, as coisas aumentaram rapidamente, com a torcida do Twitter fornecendo encorajamento.

Trollando o Banco da Inglaterra

Continuando com o tema do banco, outro alvo foi Mark Carney, o Governador do Banco da Inglaterra. Para seu crédito, uma observação sexista do falso Anthony Habgood, então presidente do tribunal do banco, foi rapidamente derrubada.

As incursões bancárias continuaram, com os bancos de Wall Street adicionados à lista de alvos.

“Senti que poderia acessar a caixa de entrada de qualquer pessoa, exceto ser pego por um filtro. E então as pessoas começaram a me enviar endereços de e-mail.”

Como Linton estava postando seus troféus no __ Twitter __ na época, as tendências políticas eram uma forte influência. Representar Steve Bannon para editores da Breitbart, como Alexander Marlow, foi revelador.

Phishing the Whale

Até este ponto a identidade de Linton não era conhecida publicamente, além de pequenos círculos de amigos e familiares. Isso mudaria muito rapidamente com a brincadeira mais famosa e dramática de todas. Também aquele que acabou sendo um passo longe demais para seu empregador na época. Melhor se ele contar com suas próprias palavras.

“Percebi que nossa gerência no trabalho estava nesta sala de reuniões com laterais de vidro, o que era incomum, fora do personagem. E eu pensei, eu me pergunto se isso é sobre mim. Acho que foi 100%, porque não me lembro se foi um dia depois ou alguns, mas éramos propriedade de grandes empresas americanas, então eles tiveram que consultar os proprietários.

“Do ponto de vista legal, era o que eles tinham que fazer. Fui suspenso, sem permissão para voltar à minha mesa, para não entrar em contato com ninguém com quem trabalhei e eles não deveriam entrar em contato comigo. Meu computador foi colocado em um grande saco lacrado e enviado para testes. Acho que eles estavam pensando que estaria cheio de malware , vírus e outras coisas, mas seriam apenas capturas de tela de conversas por e-mail.

“Eu realmente não sabia o que os criminosos faziam. Não tinha as habilidades para fazer isso. Nunca fiz nada para cobrir meus rastros.

E qual foi o incidente baleeiro que trouxe as coisas a esse ponto?

**
** Pode ter sido a representação bem-sucedida de Donald Trump Jr para Eric Trump, ou uma série de outras pegadinhas contra a Casa Branca do então presidente Donald Trump na época. Com certeza chamou a atenção.

salvando as baleias

O futuro parece muito diferente, com anos de aprendizado e compreensão dos princípios do que ele instintivamente apreendeu em suas primeiras travessuras, agora sendo usados para proteger as pessoas, em vez de se passar por elas. Uma mistura de palestras, conteúdo de treinamento e experimentando novas ideias com seu novo empreendimento O todo e uma nova abordagem para modelar ameaças de phishing compõem alguns dos tópicos em que ele está trabalhando, mas a chave para isso é gostar do que está fazendo.

Não há objetivo de uma grande saída ou caça de investimentos, simplesmente buscar a liberdade de experimentar ideias, usar aquelas que funcionam e fazer o que quiser.

“Você poderia fazer x, y, z e então em três anos você poderia sair. Bem, encontrei alegria em construir esta empresa. Eu quero continuar desenvolvendo isso. Por que eu iria vendê-lo ou doá-lo? Não é sobre isso. É sobre ter algo que eu construí.

“O pior acontece, vou desistir de tudo e voltar e fazer arte ou alguma escrita ou tenho algumas ideias para filmes. Estou amando isso no momento, mas se isso mudar, vou verificar amanhã, fazer outra coisa. Não sinto que deva conquistar o mundo da tecnologia nem de longe.”

Para saber mais sobre o que Linton está fazendo agora e conversar com ele sobre seu conteúdo de treinamento, palestras e ideias, você pode encontrá-lo em LinkedIn