Програми винагороди за помилки створені для виявлення вразливостей, і за це передбачена винагорода. Але все більше і більше безкоштовних райдерів повідомляють про слабкі сторони веб-сайтів малого та середнього бізнесу, які насправді не є слабкими, і хочуть заробити як помічники в потребі.
Компанії все частіше використовують програми винагород за помилки, щоб виявити потенційні вразливості безпеки. Проте процвітаючий бізнес також вимагає безкоштовних послуг, деякі з яких мають кримінальні мотиви – так звані «мисливці за головами» насамперед орієнтуються на невеликі компанії.
Використовуються програми винагороди за помилки
Пошук багів у власних продуктах і, як наслідок, закриття потенційних шлюзів для кібератак все більше стає центром уваги виробників програмного забезпечення зі збільшенням цифровізації. З цією метою багато компаній створили так звані програми винагороди за помилки, які винагороджують серйозні виявлення значних прогалин у безпеці та повідомлення про них. Але, як це часто буває з популярними концепціями, шахраї не за горами й часто вирушають у «жебрацький тур», мало розуміючи ІТ-безпеку та сумнівні методи. Кібер-шахраї, також відомі як «Мисливці за головами Beg», повідомляють про фальшиві помилки та неправильні конфігурації та намагаються заробити на менших компаніях за допомогою цього шахрайства та удаваного високого ризику, як помічників у потребі.
Уявні недоліки, які не є реальними
«Загін Beg Bounty Hunters великий і має дуже різні наміри. Від етичних і з добрими намірами до межових чи відверто злочинних», – сказав Честер Вишневскі, головний дослідник загроз у Sophos. «Однак факт полягає в тому, що жодна з «вразливостей», які я досліджував у цьому контексті, не варта того, щоб за них платити. Існують мільйони погано захищених веб-сайтів, і багато власників доменів не знають, як покращити безпеку. Особливо цю цільову групу можна легко залякати та переконати у підозрілих службах за допомогою відповідно професійно звучаючих повідомлень про потенційні прогалини в безпеці. Одержувачі таких електронних листів повинні сприймати їх серйозно, оскільки вони можуть вказувати на небезпечну ситуацію з безпекою, але вони ні в якому разі не повинні погоджуватися на запропоновані послуги. У такому випадку доцільніше попросити надійного місцевого ІТ-партнера оцінити ситуацію, щоб можна було усунути будь-які існуючі небезпеки».
Бег мисливці за головами та їх тактика
Минулого року з’явилося все більше повідомлень, особливо від малих підприємств, про те, що нібито експерти з безпеки зв’язуються з ними щодо вразливостей на їхньому веб-сайті. Криміналісти Sophos проаналізували деякі з цих пропозицій: у кожному з прикладів передбачуваний «звіт про вразливість» або «вимагати винагороди» були надіслані ймовірним дослідником безпеки на електронну адресу, яка була відкрито доступна на веб-сайті одержувача. Це дає підстави зробити висновок, що повідомлення є поєднанням автоматичного сканування на ймовірні прогалини в безпеці або неправильної конфігурації, подальшого копіювання результатів сканування в шаблон електронної пошти та використання недиференційованої адреси електронної пошти для надсилання. Все з метою отримання гонорару за вирішення «проблеми».
Нахабні ціни за невелику допомогу
Ціна проаналізованих повідомлень про винагороду варіювалася від 150 до 2.000 доларів США за помилку залежно від серйозності. Крім того, розслідування показало, що початкові платежі за одну вразливість іноді призводили до ескалації претензій щодо інших уразливостей. «Експерти» раптово вимагали 5.000 доларів за усунення інших передбачуваних вразливостей безпеки, і спілкування також стало більш агресивним.
Бразен випереджає – приклад
Один із прикладів, проаналізованих Sophos, починається з неправдивого твердження прямо на початку. Beg Bounty Hunter стверджує, що знайшов уразливість на веб-сайті адресата, і заявляє, що немає запису DMARC для захисту від підробки електронної пошти. Однак це не є слабким місцем і проблема не пов’язана безпосередньо з веб-сайтом. Хоча публікація записів DMARC може допомогти запобігти фішинговим атакам, це складне завдання, яке не займає високе місце в списку завдань безпеки більшості організацій. Отже, навіть якщо проблема існує, у контексті електронного листа Beg Bounty вона зображується більшою, ніж є насправді, щоб підштовхнути одержувача сплатити винагороду.
Дізнайтесь більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.