Os programas de recompensa de bugs são projetados para descobrir vulnerabilidades, e há recompensas por isso. Mas cada vez mais os free-riders estão relatando pontos fracos em sites de PME que não são realmente pontos fracos e querem lucrar como ajudantes necessitados.
As empresas estão cada vez mais usando programas de recompensa de bugs para descobrir possíveis vulnerabilidades de segurança. No entanto, o negócio próspero também exige carona, algumas das quais com motivação criminosa – os chamados “caçadores de recompensas mendigos” têm como alvo principal as pequenas empresas.
Programas de recompensa de bugs explorados
A busca por bugs em seus próprios produtos e, consequentemente, o fechamento de potenciais gateways para ataques cibernéticos está se tornando cada vez mais o foco dos fabricantes de software com o aumento da digitalização. Para esse fim, muitas empresas criaram os chamados programas de recompensa de bugs que recompensam a descoberta e o relato sério de falhas de segurança significativas. Mas, como costuma acontecer com conceitos populares, os fraudadores não estão longe e costumam fazer um “tour de pedinte” com pouco conhecimento sobre segurança de TI e métodos duvidosos. Os cibercriminosos, também conhecidos como "Beg Bounty Hunters", relatam bugs falsos e configurações incorretas e tentam lucrar com empresas menores com esse golpe e um potencial de alto risco fingido como ajudantes necessitados.
Fraquezas supostas que não são reais
“O plantel de Beg Bounty Hunters é extenso e com intenções muito diferentes. De éticos e bem-intencionados a criminosos limítrofes ou totalmente ”, disse Chester Wisniewski, Pesquisador Principal de Ameaças da Sophos. “O fato é, porém, que nenhuma das 'vulnerabilidades' que examinei neste contexto valia a pena pagar. Existem milhões de sites mal protegidos e muitos dos proprietários de domínio não sabem como melhorar a segurança. Esse grupo-alvo em particular pode ser facilmente intimidado e convencido de serviços suspeitos com mensagens de som profissional correspondentes sobre possíveis falhas de segurança. Os destinatários desses e-mails devem levá-los a sério, pois podem indicar uma situação de segurança perigosa, mas não devem, em hipótese alguma, concordar com o serviço oferecido. Nesse caso, faz mais sentido pedir a um parceiro de TI local confiável para avaliar a situação para que quaisquer perigos existentes possam ser eliminados."
Implore caçadores de recompensas e suas táticas
No ano passado, houve um número crescente de relatórios, principalmente de pequenas empresas, de que supostos especialistas em segurança estão entrando em contato com eles sobre vulnerabilidades em seu site. Os cientistas forenses da Sophos analisaram algumas dessas ofertas: em cada um dos exemplos, o suposto "relatório de vulnerabilidade" ou "implorar recompensa" foi enviado pelo suposto pesquisador de segurança para um endereço de e-mail que estava acessível abertamente no site do destinatário. Isso leva à conclusão de que as mensagens são uma combinação de varredura automatizada para supostas falhas de segurança ou configurações incorretas, cópia subsequente dos resultados da varredura em um modelo de e-mail e o uso de um endereço de e-mail indiferenciado para envio de arquivos . Tudo com o objetivo de receber uma taxa pela solução do "problema".
Preços descarados para pouca ajuda
As mensagens de recompensa analisadas variaram de US$ 150 a US$ 2.000 por erro, dependendo da gravidade. Além disso, as investigações revelaram que os pagamentos iniciais para uma vulnerabilidade às vezes levavam a uma escalada de reivindicações por outras vulnerabilidades. Os "especialistas" de repente exigiram US$ 5.000 para consertar outras supostas vulnerabilidades de segurança, e a comunicação também se tornou mais agressiva.
Brazen sai na frente – um exemplo
Um dos exemplos analisados pela Sophos começa com uma declaração falsa logo no início. O Beg Bounty Hunter afirma ter encontrado uma vulnerabilidade no site do destinatário e afirma que não há registro DMARC para proteção contra falsificação de e-mail. No entanto, isso não é um ponto fraco nem o problema tem a ver diretamente com o site. Embora a publicação de registros DMARC possa ajudar a evitar ataques de phishing, é uma tarefa complexa que não figura no topo da lista de tarefas de segurança da maioria das organizações. Portanto, mesmo que o problema exista, no contexto do e-mail Beg Bounty, ele é retratado como maior do que realmente é para forçar o destinatário a pagar uma recompensa.
Saiba mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.