Pytanie:
Czy ten e-mail z prośbą o przesłanie im 100 USD za szczegółowe informacje dotyczące luki w zabezpieczeniach mojej witryny to oszustwo?
muszek
2020-04-08 23:35:00 UTC
view on stackexchange narkive permalink

Właśnie otrzymałem tego e-maila. Czy to standardowa praktyka czy oszustwo?

Jestem badaczem bezpieczeństwa i prowadzę usługę identyfikacji luk dla małej grupy prywatnych klientów i przypadkowo znalazłem kilka luk w Twojej infrastrukturze.

Za niewielką opłatą udostępnię Ci szczegóły dotyczące luki (w tym POC, zrzuty ekranu i sugerowane rozwiązania).

Instrukcje PayPal:

  1. Odbiorca : ZREDAGOWANY ADRES GMAIL
  2. Płacenie za przedmiot lub usługę (objęte ochroną zakupów w systemie PayPal dla kupujących)
  3. Kwota: 100 USD
  4. Dodaj notatkę: [zredagowano, nazwa mojej domeny]

Po otrzymaniu płatności w ciągu 48 godzin wyślę Ci wiadomość e-mail ze wszystkimi informacjami o luce w zabezpieczeniach.

cytat blokowy>
Gdybyś wysłał 100 $ (czego nie powinieneś), podejrzewam, że e-mail, który odesłali (jeśli w ogóle go dostaniesz) byłby * „Luka w zabezpieczeniach jest następująca: jeśli osoba atakująca wyśle właścicielowi witryny e-mail w następujący sposóbformularz [...], wyśle do atakującego 100 $ bez powodu "*
Prawie standardowa praktyka w przypadku oszustw.
Zobacz też: https://security.stackexchange.com/questions/172466/is-demanding-a-donation-before-disclosing-vulnerabilities-black-hat-behavior
Wydaje się to raczej wypolerowane na „przypadek”.Płatność z góry jest zła, ale jeśli nie zdawał sobie sprawy, że Twoja witryna nie jest stałym klientem, mógł przeprowadzić badania i sporządzić raport, zanim zdał sobie sprawę, że nie otrzyma zapłaty.48 godzin sprawia, że myślę, że to drobny błąd gramatyczny.Jeśli usuniesz drugi przecinek, zobowiązujesz się wysłać raport w ciągu 48 godzin od zapłaty.Martwi mnie termin „infrastruktura”, który może oznaczać wszystko, od strony internetowej po firmę hostingową.A fakt, że ma „jakieś” wady, ale żadnych nie wykazuje?Ale ogólnie prawdopodobne oszustwo.
Rzeczy, które wydają mi się dziwne i sprawiają, że myślę, że jest to prawdopodobnie oszustwo: (1) prośba o pieniądze z góry (2) ** próba dyktowania metody płatności ** (3) niepodawanie żadnych danych osobowych o sobie (podpisywanieusługa up for gmail jest bezpłatna; gdyby podał Ci nazwę swojej firmy i e-mail z domeny tej firmy, wyglądałoby to lepiej.) (4) tylko bardzo ogólna wzmianka o „niektórych lukach”;Spodziewałbym się, że prawdziwy ochroniarz mógłby powiedzieć ci nieco więcej - liczbę luk w zabezpieczeniach, potencjalne ryzyko ich nie naprawienia itp., Bez rozdawania wszystkich swoich żetonów przetargowych.
Jeśli są oni uprawnieni, ale źle poinformowani, czy wysłanie im linku do tej strony może wyjaśnić sprawę i pomóc im?Jeśli są oszustami, czy skorzystaliby na przeczytaniu tej strony?Nie wiem, tylko się zastanawiam
Byłbym mocno kuszony, aby wysłać kontrofertę „prześlij mi szczegóły luki w zabezpieczeniach w ciągu najbliższych 48 godzin, a nie zgłosię twojej próby wymuszenia na policję”.
Paypal nie jest skutecznym ** anonimowym ** systemem płatności.Skontaktuj się z Paypal i powiedz im o tym.Mają żywotny interes w zgnieceniu tego.
@vsz Czytałem, że ponieważ wyślą informacje w ciągu 48 godzin od otrzymania płatności, a nie, że OP miał 48 godzin na wysłanie płatności.
Powinniśmy pozyskać dla Ciebie 100 $, aby zaspokoić naszą ciekawość tego, co otrzymujesz.Założę się, że uzyskasz rzeczywistą lukę, ale będzie ona * bardzo * niska i będzie wynikiem głupiego automatycznego skanowania (takiego jak bezpieczny serwer sieciowy obsługujący TLS 1.0).
Powinieneś wysłać im (fałszywy) czek na kwotę wyższą niż 100 $, którą muszą spieniężyć i odesłać różnicę.:)
@AnthonyGrist: tak, masz rację, to bardziej prawdopodobna interpretacja.
Jestem absolutnie zszokowany, że każdy tutaj nawet myśli, że to nie jest zwykły spam.Czy ** nikt ** tutaj nie otrzymał tego wcześniej?Co najmniej trzy lub cztery razy w tygodniu dostaję spam, mniej więcej taki sam jak ten.
Otrzymuję taki e-mail z mojej strony internetowej, która jest niczym innym jak statycznym kodem HTML (i okazjonalnie plikami PDF lub obrazami, nadal wszystkie pliki statyczne).Zdecydowanie jest to oszustwo, kiedy je dostaję, więc jeśli dostaniesz to samo, co ja, to również zostaniesz oszustem.(To samo, jeśli otrzymujesz losowe oferty SEO lub przeprojektowanie, aby działało wydajniej).
Dziwna wielkość liter w słowach jest zgodna z tym, że została napisana przez kogoś z Indii.Czy to pasuje do twoich oczekiwań co do tego, skąd ma pochodzić?Styl pisania bardzo często zdradza, skąd pochodzi pisarz.
Czy pomysł, że * mógłbym * zrobić to za 90 dolarów, pomaga?
@PeterMortensen: Jaka dziwna kapitalizacja?
Siedem odpowiedzi:
schroeder
2020-04-08 23:42:15 UTC
view on stackexchange narkive permalink

To z pewnością niestandardowa praktyka . Nawet jeśli ta osoba znalazła uzasadniony problem w Twojej witrynie, jest to forma wymuszenia.

Istnieje właściwe „odpowiedzialne ujawnianie”, a profesjonalni „badacze bezpieczeństwa” nie zaczynają prosić o gotówkę. Nie bez powodu istnieją programy nagród za błędy.

Problem polega na tym, że nie wiesz, czy luka jest warta 100 $ dla Ciebie .

Jest to bardzo, bardzo prawdopodobne, oszustwo , ale jeśli masz do czynienia z legalnym profesjonalistą o słabych umiejętnościach komunikacyjnych, możesz zapytać o szczegóły, na przykład gdzie problem polega na tym („infrastruktura”? to dziwne w przypadku witryny internetowej) i wszelkie szczegóły dotyczące tego, kim są, oraz dowód ich profesjonalnej pracy w badaniach nad bezpieczeństwem.

Jeśli zwiększają emocje lub przedłużają wymuszenie, wiesz, że to oszustwo. Nie instaluj ani nie otwieraj żadnych plików, które Ci wysyłają. Jeśli są wiarygodne, będą z tobą współpracować.

Aby dać ci pomysł, nie jestem profesjonalnym testerem i nie robię nagród za błędy. Ale od czasu do czasu odkrywam lukę w witrynie. Najpierw kontaktuję się z firmą, prosząc o osobę, która zajmowałaby się lukami w witrynie, z jednozdaniowym streszczeniem ogólnego problemu. Robię to, aby upewnić się, że mogę porozmawiać z osobą odpowiedzialną , a nie z nieupoważnioną osobą, która może nadużywać lub niewłaściwie obchodzić się (lub nie rozumieć) informacji, które zamierzam im przekazać. Daję im również dowód tego, kim jestem, więc nie wyglądam na oszusta.

Kiedy rozmawiam z najlepszą osobą, jaką potrafię, podaję pełny opis, wraz z moim procesem, aby powtórzyć problem, adresy URL, parametry itp. oraz powód, dla którego uważam, że jest to sprawa. Odpowiadam na wszelkie pytania, które zadają, ale nigdy, przenigdy nie sprawiam wrażenia, że ​​potrzebuję lub chcę, żeby zrobili coś pilnie. Pozwoliłem im opracować ocenę ryzyka. To ich praca. To ich witryna.

Również nie proszę o pieniądze, ale gdybym to zrobił, zrobiłbym wszystko, co w mojej mocy, aby pomóc ich zespołowi rozwiązać ten problem. I nie spodziewałbym się pieniędzy ani jakiejkolwiek nagrody, nawet gdybym o to poprosił.

Witryna ma program do zgłaszania błędów, który definiuje oczekiwania i relacje dla wszystkich zaangażowanych osób, albo nie, a ja po prostu pomagam i może coś z tego wyciągnę, albo nie.

Tak profesjonalista podszedłby do witryny z luką, którą odkrył.

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (https://chat.stackexchange.com/rooms/106604/discussion-on-answer-by-schroeder-email-send-me-100-for-details-on-a-bezpieczeństwo).
Anonymous
2020-04-09 03:20:53 UTC
view on stackexchange narkive permalink

Nie jestem pewien, czy w ogóle nawiązałbym kontakt z tą osobą. To brzmi podejrzanie i granice wymuszenia. Można nawet sobie wyobrazić, że wada nawet nie istnieje, ale chce wysłać Ci „poprawkę”, która zainstaluje backdoora na Twoim serwerze.

Zanim skontaktujesz się z tą osobą (jeśli tak zdecydujesz) , spróbuj samodzielnie znaleźć lukę, czytając dzienniki z serwera WWW i poszukaj podejrzanej aktywności, takiej jak ślady wstrzyknięć SQL, które mogą pojawić się w adresach URL. To będzie żmudne. Zacząłbym więc szukać na kilka godzin przed wysłaniem tego e-maila.

Jeśli masz jakieś umiejętności w zakresie skryptów, możesz je dobrze wykorzystać do przeanalizowania pliku dziennika. Przydatnymi poleceniami basha byłyby cut , awk i tym podobne w połączeniu z sort i uniq (na przykład w celu zbudowania lista unikalnych adresów URL). Skupiłbym się również na błędach 401 lub 403, które wskazują na próby dostępu do niedozwolonych stron. 500 błędów też.

Sprawdź również, czy na serwerze nie ma podejrzanych plików, takich jak powłoka sieciowa.

Jeśli znajdziesz taki plik, możesz go użyć jako kryterium filtruj dzienniki (spójrz na adres IP, który wysłał żądanie w tej samej linii).

Chociaż jest to adres Gmail, druga strona mogła wysłać wiadomość ze swojego domu, używając własnego klienta poczty. Istnieje wtedy szansa, że ​​pierwotny adres IP znajdziesz w nagłówkach wiadomości .

Ta osoba prawdopodobnie ukrywa się za proxy lub VPN, ale niektórzy ludzie są po prostu obojętni, leniwi i niezdarni. Jeśli więc uzyskasz adres IP, możesz go użyć do filtrowania dzienników i śledzenia ich śladów.

Kiedy mówi „przypadkowo znalazłem luki w Twojej infrastrukturze”, jest to całkiem możliwe. Jeśli Twoja witryna umożliwia wyświetlanie listy katalogów, mógł znaleźć poufne pliki leżące wokół po prostu wycinając adres URL. Następnie „rozwiązaniem” jest wyciągnięcie plików i lepsze skonfigurowanie serwera. Wyszukiwarki indeksują w ten sposób wiele plików, plików, które nie powinny być ujawniane. Istnieje kilka zapytań, które możesz uruchomić, aby je znaleźć, nazywają się one kretynami. Być może „Security Researcher” (lub skrypciarz) natknął się na twoją stronę internetową po uruchomieniu idiotka i po prostu szuka szybkich i leniwych pieniędzy.

Spróbuj się oszukać. Wpisz w Google: site: twoja_witryna.com . I zobacz, czy są strony zindeksowane w Google, a nie powinno.

Nie jest to zbyt istotne dla odpowiedzi, ale zwykle `sort -u` jest lepsze niż` sort |uniq`
@mypronounismonicareinstate dla plików dziennika lagera, coś używającego tablicy hash jest dużo szybsze, jak [ten skrypt PHP] (https://github.com/0ki/shellscripts/blob/master/sortuniq).Zwróć także uwagę, że `sort -u` i` uniq` określają unikalność poprzez ich kolejność sortowania, tj. `あ` będzie uważane za duplikat `い`, jeśli twoje bieżące sortowanie to coś w rodzaju `en_US.UTF-8`.
O wiele łatwiej jest używać [Perl] (https://en.wikipedia.org/wiki/Perl) do filtrowania plików dziennika (np. Jednolinijkowe do prostych zadań).Nie jest przypadkiem, że jednym z backronimów jest „praktyczny język ekstrakcji i raportowania”.
@mypronounismonicareinstate Ale `sortuj |uniq -c` może być w porządku
xLeitix
2020-04-09 14:39:29 UTC
view on stackexchange narkive permalink

Może to być spam lub nie może to być spam (lub nawet wymuszenie, jak twierdzą niektóre odpowiedzi), ale z pewnością nie wygląda to również na dobry interes. Spójrzmy na fakty:

  • Osoba nie daje absolutnie żadnych wskazówek, że faktycznie istnieje problem z bezpieczeństwem, ani że byś się tym przejmował, gdyby tak było (nie każda teoretyczna kwestia bezpieczeństwa jest problemem praktycznym dla każdej witryny), ani że poprawka jest poprawna. W pewnym sensie ta „oferta” jest analogiczna do wysłania przez kogoś e-maila „Świadczę usługi w domenie X, wyślij mi 100 $, a powiem Ci, co to za usługi” . Podejrzewam, że w każdej innej domenie możesz przenieść taką prośbę do kosza w ciągu kilku sekund.
  • Kwota, o którą proszą, to orzeszki ziemne . To, w połączeniu z faktem, że nie powiedzą ci, na czym polega problem, zdecydowanie sugeruje, że cokolwiek „znaleźli”, będzie tak trywialne, że nikt nie zapłaci za to, jeśli powiedzą ci z góry. To, co byś otrzymał (jeśli w ogóle cokolwiek - pamiętaj, może to być po prostu spam i nigdy nie usłyszysz od nich po zapłaceniu) prawdopodobnie byłby raportem jakiegoś automatycznego skanera bezpieczeństwa i garścią ogólnych linków. Nic, za co normalnie byś zapłacił. Gdyby znaleźli poważny problem i mieli nietrywialne informacje, jak go naprawić, powiedzieliby ci, jaki to problem i zaproponowali naprawę na podstawie umowy (i oczywiście poprosili o dużo więcej niż 100 $) .
  • Zakładając, że jest to rzeczywiście mały problem z oczywistym rozwiązaniem, każdy szanujący się badacz bezpieczeństwa, jakiego znam, po prostu by ci powiedział (zwłaszcza jeśli jesteś osobą prywatną lub reprezentujesz małą firmę, co zakładam). Ponownie, 100 $ to orzeszki ziemne, jeśli chodzi o stawki dla wykonawców, i na pewno nie wystarczy pieniędzy, aby zawrzeć podejrzaną umowę, taką jak ta. Patrząc na szablon wiadomości e-mail, zakładam, że po prostu uruchamiam automatyczne skanowanie witryn internetowych i generuję taką wiadomość, gdy tylko te narzędzia zgłaszają cokolwiek . Prawdopodobnie nawet sam nadawca wiadomości e-mail nie wie w tym momencie, czy jest to coś, czym ktoś by się naprawdę martwił.
  • Oczywiście są też pewne typowe oznaki spamu - niechciana oferta, ogólny Gmail adres, ważne, ale ogólne roszczenia, korzystanie z nietradycyjnych usług płatniczych (bez wzmianki o umowach, fakturach itp.), prośba o pieniądze z góry itp.

Podsumowując: zignoruj ​​e-mail.

Kwota, o którą proszą, to orzeszki ziemne, nie jest to prawdą w przypadku dużej liczby ludzi na półkuli południowej.
@elsadek To z pewnością prawda.Mimo to wydaje mi się, że 100 $ to tak dziwnie niska kwota, o którą można prosić, że uważam to za mocny sygnał, że informacje nie są cenne.Nawet jeśli 100 $ to dla ciebie znaczna kwota gotówki, nie prosiłbyś tylko o 100 $ (zamiast, powiedzmy, 5000 $), gdybyś czuł, że twoje informacje lub usługa są rzeczywiście wartościowe.
@elsadek A jednak * to * orzeszki ziemne, nawet nadal.Zlecenia za robaki to jeden z tych obszarów, w których lokalizacja nie ma znaczenia.Jeśli na przykład znalazłeś lukę w zabezpieczeniach RCE w AWS, dostałbyś dużą porcję pieniędzy niezależnie od tego, gdzie mieszkasz.Zatem niezależnie od wynagrodzeń w Twojej okolicy, „wartość” luk w zabezpieczeniach jest dość dobrze znana na całym świecie.Jeśli znajdę krytyczną lukę w kluczowym aspekcie systemów internetowych firmy, rozsądnie jest poprosić o znacznie więcej niż 100 USD.Mogę tego oczywiście nie rozumieć, ale wartość jest nadal dość dobrze ustalona
OP nie dostarcza wystarczających szczegółów, aby ocenić krytyczność jego systemu.Ten łowca nagród mógł wycelować w około 100 innych ofiar za pomocą tego samego adresu e-mail, co może być lepszą taktyką zarabiania niż wybranie jednej ofiary z niepewną nagrodą w wysokości 5000 USD.
arp
2020-04-09 23:47:52 UTC
view on stackexchange narkive permalink

Oprócz wszystkich znaków krzyczących „oszustwo”, które zauważyłeś, nawet jeśli ta oferta jest legalna (choć z podejrzanymi lub nielegalnymi metodami marketingowymi), wyniki prawdopodobnie nie będą miały żadnej wartości. Za 100 USD prawdopodobnie otrzymasz wyniki automatycznego skanowania portów, które po prostu dopasowują ciągi odpowiedzi protokołu do możliwych luk w zabezpieczeniach, bez przeprowadzania żadnych faktycznych testów.

Na przykład kiedyś klient zapłacił znacznie więcej niż 100 dolarów za „profesjonalne” badanie, które zawierało niedorzeczne wyniki. Moja odpowiedź zawierała

Twój analityk bezpieczeństwa powiedział Ci, że konto „foo” ma znane domyślne hasło. W systemie nie ma konta „foo”.

Twój analityk ds. Bezpieczeństwa powiedział Ci, że usługa „bar” została skonfigurowana do używania słabej metody szyfrowania. Usunęliśmy tę metodę szyfrowania dwie wersje temu.

Czy mam kontynuować przeglądanie pozostałych elementów raportu bezpieczeństwa, czy to wystarczy, aby odpowiedzieć na Twoje obawy?

Oryginalny post zawierał ten ważny fragment:

Jestem badaczem bezpieczeństwa i prowadzę usługę identyfikacji luk dla małej grupy prywatnych klientów i przypadkowo znalazłem kilka luk w Twojej infrastrukturze.

Więc teoretycznie jest możliwe, że znaleźli problem w twoim systemie podczas skanowania podmiotu, z którym prowadzisz interesy. W takim przypadku rozsądne byłoby poproszenie o polecenie klienta, z którym pracowała firma ochroniarska.

Martin Zeitler
2020-04-10 05:58:04 UTC
view on stackexchange narkive permalink

Wszystko, co trzeba wiedzieć, to ktokolwiek@gmail.com . Więc to nie jest żadna zarejestrowana firma ani domena; tego gościa nie stać nawet na zarejestrowanie domeny i prowadzenie serwera pocztowego, ale gra w „badacza bezpieczeństwa”, który nie chce, aby jego dane uwierzytelniające były weryfikowane, oczywiście ze „powodów bezpieczeństwa”.

godziny ”ogólnie oznacza, że ​​jest to„ oferta ograniczona czasowo ”; całkiem tania sztuczka marketingowa.

Wiele oszustw opiera się na ludzkich obawach; po prostu zobacz, co aktualnie dzieje się w prawdziwym świecie ... i są też oszustwa, które działają na wyobraźnię ludzi, oczekiwania i niespełnione pragnienia.

Rozwiązanie nieistniejącego problemu: oznacz jako spam & zgłoś się do PayPal.
Alternatywnie możesz go trochę zagrać; na przykład. Po prostu powiedz OK oszustom.

To pytanie prawdopodobnie lepiej pasowałoby do Psychologia & Neuroscience...
ponieważ nie zeskanowali twojego strona internetowa pod kątem luk w zabezpieczeniach, ale Twoja psychika.

W porównaniu z próbą oszustwa (bez najmniejszej wątpliwości) przeczytaj artykuł „Odpowiedzialne ujawnianie luk w zabezpieczeniach”, aby lepiej zrozumieć, jak to zrobić. standardowe praktyki ”mogą wyglądać podobnie.

A jednak wielu analityków bezpieczeństwa korzysta z gmail.com, co jest złym pomysłem z wielu powodów (każdy darmowy e-mail to zła propozycja, a Google już tak dużo danych o tobie).Ale rzeczywiście ktoś, kto jest autentyczny (i prosi o pieniądze) ** przedstawiłby się **, aby udowodnić, że jest prawdziwą osobą z danymi uwierzytelniającymi, które można wygooglować, a nie anonimowym oszustem.Ten nie przechodzi testu zapachu.Przypomina te filmy o mafii, kiedy grupa krzepkich mężczyzn podchodzi do właściciela firmy i mówi „fajne miejsce, które masz, byłoby szkoda, gdyby ktoś sprawił kłopoty, prawda”.A potem propozycja sprzedaży.
Re * „Just Say OK To Scammers.” *: Istnieją również [James Veitch's] (https://www.youtube.com/watch?v=_QdPW8JrYzQ) [TED] (https://www.youtube.com/watch? v = C4Uc-cztsJo) [rozmowy] (https://www.youtube.com/watch?v=a2edxiz2M9g).
@PeterMortensen Już to oglądałem.Nadal jest niezwykłe, jak można ich trollować własnymi sztuczkami psychologicznymi (jeśli ma się wolny czas i nie ma nic lepszego do roboty).
Don King
2020-04-11 20:15:19 UTC
view on stackexchange narkive permalink

100% oszustwo.

Jeśli martwisz się, właściwym działaniem z Twojej strony jest skontaktowanie się z profesjonalną firmą, która może przeprowadzić audyt bezpieczeństwa Twojej strony internetowej.

Moja rada jest taka, aby całkowicie zignorować wszystkie oferty, których nie zamówiłeś.

elsadek
2020-04-10 20:15:57 UTC
view on stackexchange narkive permalink

Zasadniczo nie ufamy nieznajomemu, który prosi o nagrodę za przyjazną obsługę, czy też nie?

To powiedziawszy, nie mamy wystarczających szczegółów, aby ocenić krytyczności systemu, a następnie zdecyduj, czy 100 $ to Juste Prix , czy nie.

Jeśli korzystasz z szeroko używanego (open source) oprogramowania, takiego jak CMS lub ERP, ta nagroda hunter mógł zaatakować około 100 innych ofiar za pomocą tego samego adresu e-mail, może to być lepsza taktyka zarabiania niż wybranie jednej ofiary z niepewną nagrodą w wysokości 5000 $.

W takim przypadku lepiej sprawdzić instalację, jeśli ma najnowsze aktualizacje i łatki, możesz również sprawdzić bazę danych luk w zabezpieczeniach dostawców, miejmy nadzieję, że łowca nagród nie ma 0-dniowego exploita, z którego korzysta.

Jeśli docelowy system jest rozwiązaniem na zamówienie , sprawy mogą być trudniejsze, w zależności od zespołu, który masz na miejscu.

Angielski poziom wiadomości e-mail jest całkiem przyzwoity, nawet jeśli nie zawiera żadnych ukrytych zagrożeń. zaniepokojony jego powagą.

Nie potrzebuje żadnego dosłownego zagrożenia;wystarczy, aby stworzyć domniemane zagrożenie.W tym przypadku jest coś podobnego: albo zapłać teraz, albo staw czoła problemom później ... co już jest subtelną próbą przymusu.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...