Los programas de recompensas por errores están diseñados para descubrir vulnerabilidades y hay recompensas por hacerlo. Pero cada vez más usuarios gratuitos informan debilidades en los sitios web de las pymes que en realidad no son puntos débiles y quieren sacar provecho como ayudantes en necesidad.
Las empresas utilizan cada vez más programas de recompensas por errores para descubrir posibles vulnerabilidades de seguridad. Sin embargo, el próspero negocio también exige el aprovechamiento gratuito, algunos de los cuales tienen motivaciones delictivas: los llamados "cazarrecompensas mendigos" tienen la vista puesta principalmente en las pequeñas empresas.
Programas de recompensas por errores explotados
La búsqueda de errores en sus propios productos y, como resultado, el cierre de posibles puertas de enlace para ataques cibernéticos se está convirtiendo cada vez más en el foco de atención de los fabricantes de software con la creciente digitalización. Con este fin, muchas empresas han establecido los llamados programas de recompensas por errores que recompensan la detección y el informe serios de brechas de seguridad significativas. Pero como suele ser el caso con los conceptos populares, los estafadores no están muy lejos y, a menudo, realizan un "recorrido de mendigos" con poca comprensión de la seguridad de TI y métodos dudosos. Los delincuentes cibernéticos, también conocidos como "Beg Bounty Hunters", informan errores falsos y configuraciones incorrectas e intentan sacar provecho de las empresas más pequeñas con esta estafa y un supuesto potencial de alto riesgo como ayudantes en necesidad.
Supuestas debilidades que no son reales
“La plantilla de Beg Bounty Hunters es extensa y con intenciones muy diferentes. De ético y bien intencionado a límite o francamente criminal”, dijo Chester Wisniewski, investigador principal de amenazas en Sophos. “Sin embargo, el hecho es que ninguna de las 'vulnerabilidades' que examiné en este contexto valía la pena pagar. Hay millones de sitios web mal protegidos y muchos de los propietarios de dominios no saben cómo mejorar la seguridad. Este grupo objetivo en particular puede ser fácilmente intimidado y convencido de servicios sospechosos con mensajes que suenan profesionales sobre posibles brechas de seguridad. Los destinatarios de tales correos electrónicos deben tomarlos en serio, ya que pueden indicar una situación de seguridad peligrosa, pero bajo ninguna circunstancia deben aceptar el servicio ofrecido. En tal caso, tiene más sentido pedirle a un socio de TI local confiable que evalúe la situación para que se puedan eliminar los peligros existentes".
Beg cazarrecompensas y sus tácticas
En el último año, ha habido un aumento de informes, particularmente de pequeñas empresas, de que supuestos expertos en seguridad los están contactando por vulnerabilidades en su sitio web. Los científicos forenses de Sophos analizaron algunas de estas ofertas: en cada uno de los ejemplos, el presunto investigador de seguridad envió el supuesto "informe de vulnerabilidad" o "pedir recompensa" a una dirección de correo electrónico a la que se podía acceder abiertamente en el sitio web del destinatario. Esto lleva a la conclusión de que los mensajes son una combinación de escaneo automático en busca de supuestas fallas de seguridad o configuraciones incorrectas, la copia posterior de los resultados del escaneo en una plantilla de correo electrónico y el uso de una dirección de correo electrónico no diferenciada para enviar. Todo con el objetivo de recibir una retribución por solucionar el "problema".
Precios descarados por poca ayuda
El precio de los mensajes de mendicidad analizados oscilaba entre 150 y 2.000 dólares por error, según la gravedad. Además, las investigaciones sacaron a la luz que los pagos iniciales por una vulnerabilidad a veces dieron lugar a una escalada de reclamos por otras vulnerabilidades. Los "expertos" repentinamente exigieron $5.000 para reparar otras supuestas vulnerabilidades de seguridad, y la comunicación también se volvió más agresiva.
Brazen se adelanta: un ejemplo
Uno de los ejemplos analizados por Sophos comienza con una afirmación falsa justo al principio. The Beg Bounty Hunter afirma haber encontrado una vulnerabilidad en el sitio web del destinatario y afirma que no hay un registro DMARC para proteger contra la suplantación de correo electrónico. Sin embargo, este no es un punto débil ni el problema tiene nada que ver directamente con el sitio web. Si bien la publicación de registros DMARC puede ayudar a prevenir ataques de phishing, es una tarea compleja que no ocupa un lugar destacado en las listas de tareas pendientes de seguridad de la mayoría de las organizaciones. Entonces, incluso si el problema existe, en el contexto del correo electrónico Beg Bounty, se presenta como más grande de lo que realmente es para obligar al destinatario a pagar una recompensa.
Más información en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.