Software-engineer Robert Heaton was één van de doelwitten van de recente Firefox-zerodayaanval, maar raakte niet besmet omdat hij Google Chrome gebruikte. Hadden de aanvallers echter gevraagd om Firefox te gebruiken, dan had hij dat gedaan, zo laat hij in een analyse van de aanval weten.
De aanval begon met een e-mail die de ontvanger uitnodigde om als jurylid verschillende projecten voor de Adam Smith Prize te beoordelen. De projecten waren via de meegestuurde link te bekijken. De e-mail was begin juni verstuurd en was afkomstig van een e-mailadres van de Universiteit van Cambridge. De link in het bericht wees naar een domein van de universiteit. Heaton controleerde zowel het adres als het domein.
Hij deed zelfs onderzoek naar de afzender. Voor deze personage hadden de aanvallers een nepprofiel met de naam Gregory Harris op LinkedIn aangemaakt. De foutjes in het profiel vielen Heaton niet direct op en hij opende de link in de e-mail. Hij stuurde de aanvallers zelf verschillende e-mails, die daarop reageerden. Afgelopen vrijdag ontving hij bericht van cryptobeurs Coinbase. Medewerkers van Coinbase waren het oorspronkelijke doelwit, maar de aanvallers hadden de aanval uitgebreid naar personen waarvan ze dachten dat die zich met cryptovaluta bezighielden.
De website van de aanvallers maakte gebruik van twee zerodaylekken in Firefox. Via de kwetsbaarheden werden er bij Mac-gebruikers twee backdoors op het systeem geïnstalleerd. Aangezien Heaton Chrome gebruikte raakte hij niet besmet. Als de kwaadaardige pagina had gevraagd om die via Firefox te bekijken, had hij dit gedaan. "Na een paar keer heen en weer mailen had ik waarschijnlijk ook macro's ingeschakeld voor Office-documenten die Gregory Harris me stuurde."
De software-engineer vindt niet hij onvoorzichtig is geweest door het klikken op de link in de phishingmail. "Zerodays in browsers die worden misbruikt via een subdomein van cam.ac.uk bevinden zich niet in mijn persoonlijke dreigingsmodel en ik denk dat dit verstandig is", zo laat hij weten. Toch erkent Heaton dat hij niet kritisch nadacht en een vals gevoel van veiligheid kreeg door het @cam.ac.uk e-mailadres en zijn eigen ego dat hij als jurylid was uitgenodigd.
Deze posting is gelocked. Reageren is niet meer mogelijk.