バグ報奨金プログラムは、脆弱性を明らかにするように設計されており、そうすることで報奨金が支払われます。 しかし、実際には弱点ではない中小企業の Web サイトの弱点を報告し、困っているヘルパーとして利益を得ようとするただ乗りがますます増えています。
企業は潜在的なセキュリティの脆弱性を発見するためにバグ報奨金プログラムをますます利用しています。 しかし、繁栄しているビジネスはタダ乗りも要求しており、その中には犯罪を動機とするものもあります。いわゆる「物乞いバウンティ ハンター」は、主に中小企業に照準を合わせています。
悪用されたバグ報奨金プログラム
デジタル化が進むソフトウェア メーカーは、自社製品のバグを探し、その結果、サイバー攻撃の潜在的なゲートウェイを閉じることにますます関心を寄せています。 この目的のために、多くの企業は、重大なセキュリティ ギャップの深刻な発見と報告に報いる、いわゆるバグ報奨金プログラムを設定しています。 しかし、一般的な概念ではよくあることですが、詐欺師はそれほど遠くなく、IT セキュリティや怪しげな方法をほとんど理解していない状態で「物乞いツアー」に出かけることがよくあります。 「Beg Bounty Hunters」としても知られるサイバー詐欺師は、偽のバグや設定ミスを報告し、この詐欺と、必要なヘルパーとしての潜在的なリスクが高いふりをして、小規模な企業を利用しようとします。
本当ではない仮定の弱点
「Beg Bounty Hunters のチームは大規模で、非常に異なる意図を持っています。 倫理的で善意のあるものから、境界線上またはまったくの犯罪者まで」と、ソフォスのプリンシパル脅威研究員であるチェスター ウィスニエフスキー (Chester Wisniewski) は述べています。 「しかし、実際には、この文脈で私が調べた「脆弱性」のどれも、支払う価値がありませんでした。 セキュリティが不十分な Web サイトが何百万もあり、ドメイン所有者の多くはセキュリティを向上させる方法を知りません。 特に、このターゲット グループは、潜在的なセキュリティ ギャップに関する専門的なメッセージで、疑わしいサービスを簡単に脅し、確信させることができます。 このような電子メールの受信者は、危険なセキュリティ状況を示している可能性があるため、真剣に受け止める必要がありますが、提供されるサービスに決して同意しないでください。 そのような場合、既存の危険を排除できるように、信頼できる地元の IT パートナーに状況の評価を依頼する方が理にかなっています。」
賞金稼ぎとその戦術を請う
過去 XNUMX 年間、特に中小企業から、セキュリティの専門家と思われる人物が Web サイトの脆弱性について連絡しているという報告が増えています。 ソフォスのフォレンジック サイエンティストは、これらのオファーの一部を分析しました。それぞれの例で、疑わしい「脆弱性レポート」または「請願報奨金」が、疑わしいセキュリティ研究者によって、受信者の Web サイトで公然とアクセスできる電子メール アドレスに送信されました。 これにより、メッセージは、疑わしいセキュリティ ギャップまたは設定ミスの自動スキャン、その後のスキャン結果の電子メール テンプレートへのコピー、および送信用の差別化されていない電子メール アドレスの使用の組み合わせであるという結論に至ります。 すべて「問題」を解決するための料金を受け取ることを目的としています。
少しの助けのための厚かましい価格
分析された懇願報奨金メッセージの価格は、重大度に応じて、エラーごとに 150 ドルから 2.000 ドルの範囲でした。 さらに、調査により、5.000 つの脆弱性に対する最初の支払いが、別の脆弱性に対する請求のエスカレーションにつながることがあることが明らかになりました。 「専門家」は突然、他の想定されるセキュリティ脆弱性を修正するために XNUMX ドルを要求し、コミュニケーションもより攻撃的になりました。
厚かましく前進 – 例
ソフォスが分析した例の XNUMX つは、最初に誤った記述で始まります。 Beg Bounty Hunter は、受信者の Web サイトに脆弱性を発見したと主張し、電子メールのなりすましから保護するための DMARC レコードはないと述べています。 ただし、これは弱点ではなく、問題が Web サイトと直接関係があるわけでもありません。 DMARC レコードを公開すると、フィッシング攻撃を防ぐことができますが、これは複雑なタスクであり、ほとんどの組織のセキュリティ To Do リストでは高く評価されていません. したがって、問題が存在する場合でも、Beg Bounty メールのコンテキストでは、受信者に報奨金を支払うように仕向けるために、実際よりも大きく描かれています。
詳細については、Sophos.com をご覧ください。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。