I programmi di bug bounty sono progettati per scoprire le vulnerabilità e ci sono ricompense per farlo. Ma sempre più free rider segnalano punti deboli nei siti Web delle PMI che non sono in realtà punti deboli e vogliono incassare come aiutanti bisognosi.
Le aziende utilizzano sempre più programmi di bug bounty per scoprire potenziali vulnerabilità della sicurezza. Tuttavia, il fiorente business richiede anche il free-riding, in parte a sfondo criminale: i cosiddetti "cacciatori di taglie dell'elemosina" hanno principalmente gli occhi puntati sulle piccole imprese.
Programmi bug bounty sfruttati
La ricerca di bug nei propri prodotti e, di conseguenza, la chiusura di potenziali gateway per attacchi informatici sta diventando sempre più al centro dell'attenzione dei produttori di software con la crescente digitalizzazione. A tal fine, molte aziende hanno istituito i cosiddetti programmi bug bounty che premiano la scoperta e la segnalazione serie di lacune di sicurezza significative. Ma come spesso accade con concetti popolari, i truffatori non sono lontani e spesso fanno un "giro dei mendicanti" con poca comprensione della sicurezza IT e metodi dubbi. I criminali informatici, noti anche come "Beg Bounty Hunters", segnalano falsi bug e configurazioni errate e cercano di incassare aziende più piccole con questa truffa e un presunto potenziale ad alto rischio come aiutanti bisognosi.
Presunte debolezze che non sono reali
“La squadra di Beg Bounty Hunters è ampia e con intenzioni molto diverse. Da etico e ben intenzionato a borderline o addirittura criminale", ha affermato Chester Wisniewski, Principal Threat Researcher di Sophos. “Il fatto è, tuttavia, che nessuna delle 'vulnerabilità' che ho esaminato in questo contesto valeva la pena pagare. Esistono milioni di siti Web scarsamente protetti e molti proprietari di domini non sanno come migliorare la sicurezza. Questo gruppo target in particolare può essere facilmente intimidito e convinto di servizi sospetti con messaggi dal suono professionale su potenziali lacune di sicurezza. I destinatari di tali e-mail dovrebbero prenderle sul serio, perché possono indicare una situazione di sicurezza pericolosa, ma non dovrebbero in nessun caso accettare il servizio offerto. In tal caso, ha più senso chiedere a un partner IT locale affidabile di valutare la situazione in modo da poter eliminare eventuali pericoli esistenti."
Prega i cacciatori di taglie e le loro tattiche
Nell'ultimo anno, ci sono state segnalazioni crescenti, in particolare da parte di piccole imprese, secondo cui presunti esperti di sicurezza le stanno contattando in merito alle vulnerabilità nel loro sito web. Gli scienziati forensi di Sophos hanno analizzato alcune di queste offerte: in ciascuno degli esempi, il presunto "rapporto sulla vulnerabilità" o "presunta ricompensa" è stato inviato dal presunto ricercatore di sicurezza a un indirizzo e-mail apertamente accessibile sul sito Web del destinatario. Ciò porta alla conclusione che i messaggi sono una combinazione di scansione automatica per presunte lacune di sicurezza o configurazioni errate, successiva copia dei risultati della scansione in un modello di posta elettronica e utilizzo di un indirizzo di posta elettronica indifferenziato per l'invio. Il tutto con l'obiettivo di percepire un compenso per la risoluzione del "problema".
Prezzi sfacciati per un piccolo aiuto
I messaggi di elemosina analizzati avevano un prezzo compreso tra $ 150 e $ 2.000 per errore, a seconda della gravità. Inoltre, le indagini hanno portato alla luce che i pagamenti iniziali per una vulnerabilità a volte portavano a un'escalation di reclami per ulteriori vulnerabilità. Gli "esperti" hanno improvvisamente chiesto 5.000 dollari per correggere altre presunte vulnerabilità di sicurezza e anche la comunicazione è diventata più aggressiva.
Brazen va avanti – un esempio
Uno degli esempi analizzati da Sophos inizia con una dichiarazione falsa proprio all'inizio. The Beg Bounty Hunter afferma di aver trovato una vulnerabilità sul sito web del destinatario e afferma che non esiste alcun record DMARC per proteggere dallo spoofing della posta elettronica. Tuttavia, questo non è né un punto debole né il problema ha nulla a che fare direttamente con il sito web. Sebbene la pubblicazione di record DMARC possa aiutare a prevenire gli attacchi di phishing, è un'attività complessa che non figura in cima agli elenchi di attività di sicurezza della maggior parte delle organizzazioni. Quindi, anche se il problema esiste, nel contesto dell'e-mail Beg Bounty, viene descritto come più grande di quanto non sia in realtà per spingere il destinatario a pagare una taglia.
Ulteriori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.