Les programmes Bug Bounty sont conçus pour découvrir les vulnérabilités, et il y a des récompenses pour cela. Mais de plus en plus de resquilleurs signalent des faiblesses dans les sites Web des PME qui ne sont pas réellement des points faibles et veulent encaisser en tant qu'aides dans le besoin.
Les entreprises utilisent de plus en plus les programmes de primes de bogues pour découvrir les failles de sécurité potentielles. Cependant, l'entreprise florissante appelle également au free-riding, dont certains sont à motivation criminelle - les soi-disant «chasseurs de primes mendiants» visent principalement les petites entreprises.
Programmes de primes de bogues exploités
La recherche de bogues dans leurs propres produits et, par conséquent, la fermeture de passerelles potentielles pour les cyberattaques devient de plus en plus au centre des préoccupations des fabricants de logiciels avec une numérisation croissante. À cette fin, de nombreuses entreprises ont mis en place des programmes dits de primes de bogues qui récompensent la découverte et le signalement sérieux de failles de sécurité importantes. Mais comme c'est souvent le cas avec les concepts populaires, les fraudeurs ne sont pas loin et partent souvent en « tournée des mendiants » avec peu de compréhension de la sécurité informatique et des méthodes douteuses. Les cyber-escrocs, également connus sous le nom de "Beg Bounty Hunters", signalent de faux bugs et des erreurs de configuration et tentent de tirer profit des petites entreprises avec cette arnaque et un prétendu potentiel à haut risque en tant qu'aides dans le besoin.
Des faiblesses supposées qui ne sont pas réelles
"L'équipe de Beg Bounty Hunters est vaste et avec des intentions très différentes. D'éthique et bien intentionné à criminel limite ou carrément criminel », a déclaré Chester Wisniewski, chercheur principal sur les menaces chez Sophos. « Le fait est, cependant, qu'aucune des 'vulnérabilités' que j'ai examinées dans ce contexte ne valait la peine d'être payée. Il existe des millions de sites Web mal sécurisés et de nombreux propriétaires de domaines ne savent pas comment améliorer la sécurité. Ce groupe cible en particulier peut facilement être intimidé et convaincu des services suspects avec des messages à consonance professionnelle correspondants sur les failles de sécurité potentielles. Les destinataires de tels e-mails doivent les prendre au sérieux, car ils peuvent indiquer une situation de sécurité dangereuse, mais ils ne doivent en aucun cas accepter le service proposé. Dans un tel cas, il est plus logique de demander à un partenaire informatique local digne de confiance d'évaluer la situation afin d'éliminer tout danger existant."
Beg chasseurs de primes et leurs tactiques
Au cours de l'année écoulée, de plus en plus de rapports, en particulier de la part de petites entreprises, indiquent que de supposés experts en sécurité les contactent au sujet des vulnérabilités de leur site Web. Les experts judiciaires de Sophos ont analysé certaines de ces offres : Dans chacun des exemples, le prétendu « rapport de vulnérabilité » ou « mendicité » a été envoyé par le prétendu chercheur en sécurité à une adresse e-mail ouvertement accessible sur le site Web du destinataire. Cela conduit à la conclusion que les messages sont une combinaison d'analyse automatisée des failles de sécurité présumées ou de mauvaises configurations, de la copie ultérieure des résultats de l'analyse dans un modèle d'e-mail et de l'utilisation d'une adresse e-mail indifférenciée pour l'envoi. Le tout dans le but de recevoir une rémunération pour résoudre le "problème".
Des prix effrontés pour peu d'aide
Les messages Beg Bounty analysés variaient de 150 $ à 2.000 5.000 $ par erreur, selon la gravité. En outre, les enquêtes ont mis en lumière que les paiements initiaux pour une vulnérabilité entraînaient parfois une escalade des réclamations pour d'autres vulnérabilités. Les "experts" ont soudainement exigé XNUMX XNUMX dollars pour corriger d'autres failles de sécurité supposées, et la communication est également devenue plus agressive.
Brazen prend de l'avance - un exemple
L'un des exemples analysés par Sophos commence par une fausse déclaration dès le début. Le Beg Bounty Hunter affirme avoir trouvé une vulnérabilité sur le site Web du destinataire et déclare qu'il n'existe aucun enregistrement DMARC pour se protéger contre l'usurpation d'e-mails. Cependant, ce n'est pas un point faible et le problème n'a rien à voir directement avec le site Web. Bien que la publication d'enregistrements DMARC puisse aider à prévenir les attaques de phishing, il s'agit d'une tâche complexe qui ne figure pas en bonne place sur la liste des tâches de sécurité de la plupart des organisations. Ainsi, même si le problème existe, dans le contexte de l'e-mail Beg Bounty, il est décrit comme plus important qu'il ne l'est réellement afin de pousser le destinataire à payer une prime.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.