Schwachstellen-Lügner kassieren Belohnungen

Schwachstellen-Lügner kassieren Belohnungen
Anzeige

Beitrag teilen

Bug-Bounty-Programme sollen Schwachstellen aufdecken und dafür gibt es Belohnungen. Aber immer mehr Trittbrettfahrer melden Schwachstellen bei KMU-Webseiten die gar keine sind und wollen als Helfer in der Not abkassieren.

Unternehmen nutzen immer häufiger Bug Bounty Programme zum Aufdecken potentieller Sicherheitslücken. Das florierende Geschäft ruft aber auch teilweise kriminell motivierte Trittbrettfahren auf den Plan – die sogenannten „Beg Bounty Hunter“ haben vornehmlich kleine Unternehmen im Visier.

Anzeige

Bug-Bounty-Programme ausgenutzt

Die Suche nach Bugs in den eigenen Produkten und in der Folge das Schließen potentieller Einfallstüren für Cyberangriffe steht mit zunehmender Digitalisierung immer mehr im Fokus von Softwareherstellern. Zu diesem Zweck haben viele Unternehmen sogenannte Bug-Bounty-Programme ins Leben gerufen, mit denen das seriöse Auffinden und Melden von signifikanten Sicherheitslücken belohnt werden. Doch wie so oft bei beliebten Konzepten sind auch Betrüger nicht weit und gehen mit oft wenig IT-Security-Verständnis und dubiosen Methoden auf „Betteltour“. Die deshalb auch als „Beg Bounty Hunter“ bezeichneten Cyberganoven melden gefälschte Bugs und Fehlkonfigurationen und versuchen, gerne bei eher kleineren Unternehmen, mit dieser Masche und einem vorgetäuschten großen Gefahrenpotential als Helfer in der Not abzukassieren.

Vermeintliche Schwachstellen die gar keine sind

„Die Riege der Beg Bounty Hunter ist weitläufig und mit ganz unterschiedlichen Intentionen unterwegs. Von ethisch und gut gemeint bis hin zu grenzwertigen oder schlicht kriminellen Methoden ist alles dabei“, so Chester Wisniewski, Principal Threat Researcher bei Sophos. „Fakt ist allerdings, dass keine der ‚Schwachstellen‘, die ich in diesem Zusammenhang untersucht habe, eine Zahlung wert waren. Es existieren Millionen schlecht gesicherter Webseiten und viele der Domain-Inhaber wissen nicht, wie sie die Sicherheit verbessern können. Gerade diese Zielgruppe lässt sich mit entsprechend professionell klingenden Nachrichten über potentielle Sicherheitslücken leicht einschüchtern und von suspekten Dienstleistungen überzeugen. Empfänger solcher Mails sollten diese zwar ernst nehmen, denn sie können auf eine gefährliche Sicherheitslage hindeuten, sie sollten sich aber auf keinen Fall auf die angebotene Leistung einlassen. Sinnvoller ist es in einem solchen Fall, einen vertrauenswürdigen IT-Partner vor Ort um eine Bewertung der Situation zu bitten, um gegebenenfalls bestehende Gefahren beseitigen zu lassen.“

Anzeige

Beg Bounty Hunter und ihre Taktik

Seit letztem Jahr mehren sich die Berichte, insbesondere von kleinen Unternehmen, dass vermeintliche Security-Experten sie wegen Schwachstellen bei ihrer Website kontaktieren. Die Forensiker von Sophos haben einige dieser Angebote analysiert: In jedem der Beispiele wurde der angebliche „Schwachstellenbericht“ oder das „Beg Bounty“ vom angeblichen Sicherheitsexperten an eine E-Mail-Adresse gesendet, die auf der Website des Empfängers offen zugänglich war. Damit liegt die Schlussfolgerung nahe, dass es sich bei den Nachrichten um eine Kombination aus automatisiertem Scannen nach vermeintlichen Sicherheitslücken oder Fehlkonfigurationen, einem anschließenden Kopieren der Scan-Ergebnisse in eine E-Mail-Vorlage und dem Nutzen einer undifferenzierten Mail-Adresse für den Versand handelt. Alles mit dem Ziel, ein Honorar für die Lösung des „Problems“ zu erhalten.

Dreiste Preise für kleine Hilfen

Die Preisspanne bei den untersuchten Beg-Bounty-Nachrichten ersteckte sich von 150 bis 2.000 US-Dollar pro Fehler, je nach Schweregrad. Zudem brachten die Nachforschungen zu Tage, dass es bei Erstzahlungen für eine Schwachstelle teilweise zu einer Eskalation der Forderungen für weitere Schwachstellen kam. Die „Experten“ verlangten plötzlich 5.000 US-Dollar für die Behebung weiterer, vermeintlicher Sicherheitslücken und auch die Kommunikation wurde aggressiver.

Dreist kommt weiter – ein Beispiel

Eines der von Sophos analysierten Beispiele beginnt gleich zu Beginn mit einer falschen Aussage. Der Beg Bounty Hunter behauptet, eine Schwachstelle auf der Webseite des Adressaten gefunden zu haben und erklärt, dass kein DMARC-Datensatz zum Schutz vor E-Mail-Spoofing existiert. Allerdings ist das weder eine Schwachstelle noch hat die Thematik direkt mit der Webseite zu tun. Die Veröffentlichung von DMARC-Datensätzen kann zwar dazu beitragen, Phishing-Angriffe zu verhindern, ist aber eine komplexe Aufgabe, die bei den meisten Unternehmen nicht weit oben auf der Liste der Security-Aufgaben steht. Und auch wenn das Problem also tatsächlich existiert, wird es im Zusammenhang mit der Beg-Bounty-E-Mail als größer dargestellt als es tatsächlich ist, um den Empfänger zur Zahlung einer Belohnung zu treiben.

Mehr dazu bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen