Schwachstellen-Lügner kassieren Belohnungen

Schwachstellen-Lügner kassieren Belohnungen
Anzeige

Beitrag teilen

Bug-Bounty-Programme sollen Schwachstellen aufdecken und dafür gibt es Belohnungen. Aber immer mehr Trittbrettfahrer melden Schwachstellen bei KMU-Webseiten die gar keine sind und wollen als Helfer in der Not abkassieren.

Unternehmen nutzen immer häufiger Bug Bounty Programme zum Aufdecken potentieller Sicherheitslücken. Das florierende Geschäft ruft aber auch teilweise kriminell motivierte Trittbrettfahren auf den Plan – die sogenannten „Beg Bounty Hunter“ haben vornehmlich kleine Unternehmen im Visier.

Anzeige

Bug-Bounty-Programme ausgenutzt

Die Suche nach Bugs in den eigenen Produkten und in der Folge das Schließen potentieller Einfallstüren für Cyberangriffe steht mit zunehmender Digitalisierung immer mehr im Fokus von Softwareherstellern. Zu diesem Zweck haben viele Unternehmen sogenannte Bug-Bounty-Programme ins Leben gerufen, mit denen das seriöse Auffinden und Melden von signifikanten Sicherheitslücken belohnt werden. Doch wie so oft bei beliebten Konzepten sind auch Betrüger nicht weit und gehen mit oft wenig IT-Security-Verständnis und dubiosen Methoden auf „Betteltour“. Die deshalb auch als „Beg Bounty Hunter“ bezeichneten Cyberganoven melden gefälschte Bugs und Fehlkonfigurationen und versuchen, gerne bei eher kleineren Unternehmen, mit dieser Masche und einem vorgetäuschten großen Gefahrenpotential als Helfer in der Not abzukassieren.

Vermeintliche Schwachstellen die gar keine sind

„Die Riege der Beg Bounty Hunter ist weitläufig und mit ganz unterschiedlichen Intentionen unterwegs. Von ethisch und gut gemeint bis hin zu grenzwertigen oder schlicht kriminellen Methoden ist alles dabei“, so Chester Wisniewski, Principal Threat Researcher bei Sophos. „Fakt ist allerdings, dass keine der ‚Schwachstellen‘, die ich in diesem Zusammenhang untersucht habe, eine Zahlung wert waren. Es existieren Millionen schlecht gesicherter Webseiten und viele der Domain-Inhaber wissen nicht, wie sie die Sicherheit verbessern können. Gerade diese Zielgruppe lässt sich mit entsprechend professionell klingenden Nachrichten über potentielle Sicherheitslücken leicht einschüchtern und von suspekten Dienstleistungen überzeugen. Empfänger solcher Mails sollten diese zwar ernst nehmen, denn sie können auf eine gefährliche Sicherheitslage hindeuten, sie sollten sich aber auf keinen Fall auf die angebotene Leistung einlassen. Sinnvoller ist es in einem solchen Fall, einen vertrauenswürdigen IT-Partner vor Ort um eine Bewertung der Situation zu bitten, um gegebenenfalls bestehende Gefahren beseitigen zu lassen.“

Anzeige

Beg Bounty Hunter und ihre Taktik

Seit letztem Jahr mehren sich die Berichte, insbesondere von kleinen Unternehmen, dass vermeintliche Security-Experten sie wegen Schwachstellen bei ihrer Website kontaktieren. Die Forensiker von Sophos haben einige dieser Angebote analysiert: In jedem der Beispiele wurde der angebliche „Schwachstellenbericht“ oder das „Beg Bounty“ vom angeblichen Sicherheitsexperten an eine E-Mail-Adresse gesendet, die auf der Website des Empfängers offen zugänglich war. Damit liegt die Schlussfolgerung nahe, dass es sich bei den Nachrichten um eine Kombination aus automatisiertem Scannen nach vermeintlichen Sicherheitslücken oder Fehlkonfigurationen, einem anschließenden Kopieren der Scan-Ergebnisse in eine E-Mail-Vorlage und dem Nutzen einer undifferenzierten Mail-Adresse für den Versand handelt. Alles mit dem Ziel, ein Honorar für die Lösung des „Problems“ zu erhalten.

Dreiste Preise für kleine Hilfen

Die Preisspanne bei den untersuchten Beg-Bounty-Nachrichten ersteckte sich von 150 bis 2.000 US-Dollar pro Fehler, je nach Schweregrad. Zudem brachten die Nachforschungen zu Tage, dass es bei Erstzahlungen für eine Schwachstelle teilweise zu einer Eskalation der Forderungen für weitere Schwachstellen kam. Die „Experten“ verlangten plötzlich 5.000 US-Dollar für die Behebung weiterer, vermeintlicher Sicherheitslücken und auch die Kommunikation wurde aggressiver.

Dreist kommt weiter – ein Beispiel

Eines der von Sophos analysierten Beispiele beginnt gleich zu Beginn mit einer falschen Aussage. Der Beg Bounty Hunter behauptet, eine Schwachstelle auf der Webseite des Adressaten gefunden zu haben und erklärt, dass kein DMARC-Datensatz zum Schutz vor E-Mail-Spoofing existiert. Allerdings ist das weder eine Schwachstelle noch hat die Thematik direkt mit der Webseite zu tun. Die Veröffentlichung von DMARC-Datensätzen kann zwar dazu beitragen, Phishing-Angriffe zu verhindern, ist aber eine komplexe Aufgabe, die bei den meisten Unternehmen nicht weit oben auf der Liste der Security-Aufgaben steht. Und auch wenn das Problem also tatsächlich existiert, wird es im Zusammenhang mit der Beg-Bounty-E-Mail als größer dargestellt als es tatsächlich ist, um den Empfänger zur Zahlung einer Belohnung zu treiben.

Mehr dazu bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Incident-Response auf dem Prüfstand

Unternehmen und Organisationen stehen bei einem Cyberangriff enorm unter Druck, denn die richtige Reaktion auf einen Vorfall ist zeitintensiv, erfordert ➡ Weiterlesen

Angreifer nutzen Exchange-Schwachstelle für Kryptominer

Sophos Labs hat einen Angreifer ausgemacht, der eine Exchange-Schwachstelle für Kryptomining nutzt: "Admins sollten den Exchange Server auf Web-Shells scannen ➡ Weiterlesen

Container-Scanning in Cloud-Umgebungen 

Mehr Sicherheit in Cloud-Umgebungen durch Container-Scanning. Sophos Cloud Optix identifiziert jetzt auch Schwachstellen in Container-Images und ermöglicht automatisierte Reaktionen. Sophos baut ➡ Weiterlesen

Realität der KI in der Cybersecurity

Es herrscht ein großer Hype um den Einsatz von künstlicher Intelligenz (KI) in der Cybersecurity. Die Wahrheit ist, dass sich ➡ Weiterlesen