Hata ödül programları güvenlik açıklarını ortaya çıkarmak için tasarlanmıştır ve bunu yapmanın ödülleri vardır. Ancak giderek daha fazla bedava kullanıcı, KOBİ web sitelerinde aslında zayıf noktalar olmayan ve ihtiyacı olan yardımcılar olarak para kazanmak isteyen zayıflıkları bildiriyor.
Şirketler, potansiyel güvenlik açıklarını ortaya çıkarmak için böcek ödül programlarını giderek daha fazla kullanıyor. Bununla birlikte, gelişen iş aynı zamanda, bazıları suçla motive olan beleşçiliği de gerektiriyor - sözde "kelle avcıları" öncelikle küçük şirketlere odaklanmış durumda.
Hata ödül programlarından yararlanıldı
Kendi ürünlerindeki hataları aramak ve bunun sonucunda siber saldırılar için potansiyel ağ geçitlerini kapatmak, dijitalleşmenin artmasıyla birlikte yazılım üreticilerinin odak noktası haline geliyor. Bu amaçla, birçok şirket, önemli güvenlik açıklarının ciddi şekilde bulunmasını ve rapor edilmesini ödüllendiren sözde hata ödül programları oluşturmuştur. Ancak, popüler kavramlarda sıklıkla olduğu gibi, dolandırıcılar uzakta değildir ve genellikle BT güvenliği ve şüpheli yöntemler hakkında çok az bilgi sahibi olarak bir "dilenci turuna" çıkarlar. "Ödül Avcıları Beg" olarak da bilinen siber dolandırıcılar, sahte hataları ve yanlış yapılandırmaları bildiriyor ve bu dolandırıcılık ve sözde yüksek risk potansiyeli ile ihtiyaç sahibi yardımcılar olarak küçük şirketlerden para kazanmaya çalışıyor.
Gerçek olmayan sözde zayıflıklar
“Beg Bounty Hunters'ın ekibi geniş ve çok farklı amaçlara sahip. Sophos'ta Baş Tehdit Araştırmacısı Chester Wisniewski, "Etik ve iyi niyetli olmaktan sınırda veya düpedüz suçluya kadar" dedi. “Ancak gerçek şu ki, bu bağlamda incelediğim 'güvenlik açıklarının' hiçbiri bedelini ödemeye değmezdi. Milyonlarca zayıf güvenlikli web sitesi var ve alan sahiplerinin çoğu güvenliği nasıl geliştireceklerini bilmiyor. Özellikle bu hedef grup, potansiyel güvenlik açıkları hakkında profesyonel görünen mesajlarla kolayca korkutulabilir ve şüpheli hizmetlere ikna edilebilir. Bu tür e-postaların alıcıları, tehlikeli bir güvenlik durumu gösterebilecekleri için ciddiye almalı, ancak sunulan hizmeti hiçbir koşulda kabul etmemelidir. Böyle bir durumda, mevcut tehlikelerin ortadan kaldırılabilmesi için güvenilir bir yerel BT ortağından durumu değerlendirmesini istemek daha mantıklıdır."
Ödül avcılarına yalvarın ve taktikleri
Geçen yıl, özellikle küçük işletmelerden, sözde güvenlik uzmanlarının web sitelerindeki güvenlik açıkları hakkında kendileriyle iletişime geçtiklerine dair artan raporlar var. Sophos adli bilim adamları bu tekliflerden bazılarını analiz ettiler: Örneklerin her birinde, sözde "güvenlik açığı raporu" veya "ödül dilenmek" sözde güvenlik araştırmacısı tarafından alıcının web sitesinde açıkça erişilebilen bir e-posta adresine gönderilmişti. Bu, mesajların, iddia edilen güvenlik açıkları veya yanlış yapılandırmalar için otomatik taramanın, ardından tarama sonuçlarının bir e-posta şablonuna kopyalanmasının ve e-posta göndermek için farklılaştırılmamış bir e-posta adresinin kullanımının bir kombinasyonu olduğu sonucuna götürür. Hepsi "sorunu" çözmek için bir ücret almak amacıyla.
Biraz yardım için küstah fiyatlar
Analiz edilen ödül mesajları, önem derecesine bağlı olarak hata başına 150 ila 2.000 ABD Doları arasında değişiyordu. Ek olarak, soruşturmalar, bir güvenlik açığı için yapılan ilk ödemelerin bazen daha fazla güvenlik açığı için taleplerin artmasına yol açtığını ortaya çıkardı. "Uzmanlar" diğer sözde güvenlik açıklarını düzeltmek için aniden 5.000 dolar talep ettiler ve iletişim de daha agresif hale geldi.
Brazen öne geçiyor – bir örnek
Sophos'un incelediği örneklerden biri en baştan yanlış bir ifadeyle başlıyor. Beg Bounty Hunter, alıcının web sitesinde bir güvenlik açığı bulduğunu iddia ediyor ve e-posta sahtekarlığına karşı koruma sağlayacak bir DMARC kaydı olmadığını belirtiyor. Ancak bu ne zayıf bir noktadır ne de sorunun doğrudan web sitesiyle ilgisi vardır. DMARC kayıtlarını yayınlamak, kimlik avı saldırılarını önlemeye yardımcı olsa da, çoğu kuruluşun güvenlik yapılacaklar listesinde üst sıralarda yer almayan karmaşık bir görevdir. Bu nedenle, Beg Bounty e-postası bağlamında sorun mevcut olsa bile, alıcıyı bir ödül ödemeye zorlamak için gerçekte olduğundan daha büyük olarak tasvir edilir.
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.