Domanda:
Questa e-mail mi chiede di inviare loro $ 100 per i dettagli su una falla di sicurezza nel mio sito web una truffa?
muszek
2020-04-08 23:35:00 UTC
view on stackexchange narkive permalink

Ho appena ricevuto questa email. È una pratica standard o una truffa?

Sono un ricercatore di sicurezza che gestisce un servizio di identificazione delle vulnerabilità per un piccolo gruppo di clienti privati ​​e ho trovato accidentalmente alcune vulnerabilità nella tua infrastruttura.

Per una piccola quota, condividerò con te i dettagli della vulnerabilità (inclusi POC, screenshot e soluzioni suggerite).

Istruzioni per Paypal:

  1. Destinatario : INDIRIZZO GMAIL REDATTO
  2. Pagamento di un articolo o servizio (coperto dalla Protezione acquisti PayPal per gli acquirenti)
  3. Importo: $ 100
  4. Aggiungi una nota: [redacted, my domain name]

Dopo aver ricevuto il pagamento, entro 48 ore, ti invierò un'email con tutte le informazioni sulla vulnerabilità.

Se dovessi inviare i $ 100 (cosa che non dovresti), sospetto che l'e-mail che ti rispediscono (se ne ricevi una) sarebbe * "La vulnerabilità è la seguente: se un utente malintenzionato invia al proprietario del sito web un'e-mail nel seguenteform [...], invierà $ 100 all'attaccante senza una buona ragione "*
Praticamente una pratica standard per la truffa.
Vedi anche: https://security.stackexchange.com/questions/172466/is-demanding-a-donation-before-disclosing-vulnerabilities-black-hat-behavior
Questo sembra piuttosto lucido per "accidentalmente".Il pagamento anticipato è pessimo, ma se non si è reso conto che il tuo sito non era un cliente stabilito, potrebbe aver fatto ricerche e fatto un rapporto prima di rendersi conto che non veniva pagato.Le 48 ore mi fanno pensare che sia un piccolo errore grammaticale.Se rimuovi la seconda virgola, ti impegni a inviare la tua segnalazione entro 48 ore dal pagamento.Il termine "infrastruttura" mi preoccupa, potrebbe significare qualsiasi cosa, dal sito web alla società di hosting.E il fatto che abbia "alcune" vulnerabilità, ma non ne mostra nessuna?Ma nel complesso, probabile truffa.
Le cose che mi colpiscono come strane e mi fanno pensare che questa sia probabilmente una truffa: (1) chiedere denaro in anticipo (2) ** cercare di dettare il metodo di pagamento ** (3) non fornire alcuna informazione personale su se stesso (firmaup for gmail è gratuito, se ti ha dato un nome per la sua azienda e un'e-mail dal dominio di quella società, sarebbe stato meglio.) (4) solo un riferimento molto generico di "alcune vulnerabilità";Mi aspetto che un vero addetto alla sicurezza possa dirti qualcosa di più - numero di vulnerabilità, potenziali rischi di non risolverle, ecc., Senza dare via tutti i suoi gettoni di contrattazione.
Se sono legittimi ma mal informati, inviare loro un collegamento a questa pagina potrebbe chiarire le cose e aiutarli ad aiutarti?Se sono truffatori, trarrebbero vantaggio dalla lettura di questa pagina?Non lo so, mi chiedevo solo
Sarei fortemente tentato di inviare una controfferta di "mandami i dettagli della vulnerabilità nelle prossime 48 ore e non denuncerò il tuo tentativo di estorsione alla polizia".
Paypal non è un efficace sistema di pagamento ** anonimo **.Contatta Paypal e raccontaglielo.Hanno un interesse acquisito nel reprimerlo.
@vsz Ho letto che poiché avrebbero inviato le informazioni entro 48 ore dalla ricezione del pagamento, non che l'OP avesse 48 ore per inviare il pagamento.
Dovremmo raccogliere i $ 100 per te, solo per soddisfare la nostra curiosità su ciò che ottieni.La mia scommessa è che otterrai un'effettiva vulnerabilità, ma sarà * molto * di bassa qualità e sarà semplicemente il risultato di una stupida scansione automatizzata (come il tuo server web sicuro che supporta TLS 1.0).
Dovresti inviare loro un assegno (fasullo) per mooolto più di $ 100 che devono incassare e restituire la differenza.:)
@AnthonyGrist: sì, hai ragione, questa è un'interpretazione più probabile.
Sono assolutamente scioccato dal fatto che qualcuno qui stia persino prendendo in considerazione l'idea che questo non sia solo spam-truffa.** Nessuno ** qui l'ha ricevuto prima?Ricevo messaggi di spam più o meno identici a questo almeno tre o quattro volte a settimana.
Ricevo email come questa per il mio sito web, che non è altro che HTML statico (e occasionalmente PDF o file di immagine, sempre tutti file statici).È sicuramente una truffa quando lo capisco, quindi se ottieni la stessa cosa che ricevo io, allora stai ricevendo anche una truffa.(Lo stesso se ricevi offerte casuali per SEO o per riprogettare per funzionare in modo più efficiente.)
La strana maiuscola delle parole è coerente con il fatto che sia stata scritta da qualcuno dall'India.Questo corrisponde alle tue aspettative su da dove dovrebbe provenire?Lo stile di scrittura molto spesso rivela da dove viene lo scrittore.
L'idea che io * potrei * farlo per $ 90 aiuta?
@PeterMortensen: Che strana maiuscola?
Sette risposte:
schroeder
2020-04-08 23:42:15 UTC
view on stackexchange narkive permalink

Questa è certamente non pratica standard . Anche se questa persona ha riscontrato un problema legittimo sul tuo sito, è una forma di estorsione.

Esiste una "divulgazione responsabile" adeguata e i "ricercatori di sicurezza" professionisti non iniziano a chiedere denaro. Esistono programmi di bug bounty per un motivo.

Il problema è che non sai se la vulnerabilità vale $ 100 per te .

Questa è molto, molto probabilmente una truffa , ma nella remota possibilità che tu abbia a che fare con un professionista legittimo con scarse capacità di comunicazione, potresti chiedere dettagli, come dove il problema è ("infrastruttura"? che è strano per un sito web), e tutti i dettagli su chi sono e la prova del loro lavoro professionale nella ricerca sulla sicurezza.

Se aumentano l'emozione o estendono l'estorsione, allora sai che è una truffa. Non installare o aprire alcun file che ti viene inviato. Se sono legittimi, lavoreranno con te.

Per darti un'idea, non sono un tester professionista e non faccio bug bounties. Ma ogni tanto scopro una vulnerabilità in un sito. Per prima cosa contatto la società chiedendo della persona che gestirà le vulnerabilità del sito con un riepilogo di una frase del problema generale. Lo faccio per assicurarmi di poter parlare con una persona responsabile e non con una persona non autorizzata che potrebbe abusare o maneggiare (o non capire) le informazioni che sto per fornire loro. Dò loro anche la prova di chi sono, quindi non mi imbatto in un truffatore.

Quando parlo con la persona migliore che posso, fornisco un'analisi completa, con il mio processo per ripetere il problema, gli URL, i parametri, ecc. e il motivo per cui penso che sia un preoccupazione. Rispondo a qualsiasi domanda mi chiedano, ma non do mai l'impressione di aver bisogno o di volere che facciano qualcosa con urgenza. Lascio che elaborino la loro valutazione del rischio. È il loro lavoro. È il loro sito.

Inoltre non chiedo soldi, ma se lo facessi, sarebbe dopo che avessi fatto tutto il possibile per aiutare la loro squadra a risolverlo. E non mi aspetterei di ottenere soldi o qualsiasi forma di ricompensa, anche se chiedessi.

O il sito ha un programma di bug bounty che definisce le aspettative e le relazioni per tutte le persone coinvolte, oppure il sito no, e io sto solo aiutando e forse ottenendo qualcosa da esso, oppure no.

È così che un professionista si avvicinerebbe a un sito con una vulnerabilità che ha scoperto.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/106604/discussion-on-answer-by-schroeder-email-send-me-100-for-details-on-a-sicurezza).
Anonymous
2020-04-09 03:20:53 UTC
view on stackexchange narkive permalink

Non sono nemmeno sicuro che mi impegnerei nemmeno con quella persona. Sembra un'estorsione al limite e al limite. È persino concepibile che il difetto non esista nemmeno, ma vuole inviarti una "patch" che installerà una backdoor sul tuo server.

Prima di metterti in contatto con quella persona (se lo decidi) , prova a trovare tu stesso la vulnerabilità leggendo i log dal tuo server web e cerca attività sospette come tracce di iniezioni SQL che potrebbero essere visualizzate negli URL. Sarà noioso. Quindi comincerei a cercare nelle poche ore precedenti l'invio di quell'e-mail.

Se hai alcune capacità di scripting, puoi metterle a frutto per analizzare il file di log. Comandi bash utili sarebbero cut , awk e simili combinati con sort e uniq (ad esempio per creare un elenco di URL univoci). Mi concentrerei anche sugli errori 401 o 403 che indicano tentativi di accesso a pagine non consentite. Anche 500 errori.

Verifica anche che non siano presenti file sospetti sul tuo server come una shell web.

Se trovi un file di questo tipo, puoi usarlo come criterio per filtrare i log (guardare l'indirizzo IP che ha effettuato la richiesta sulla stessa riga).

Sebbene questo sia un indirizzo gmail, l'altra parte potrebbe aver inviato il messaggio da casa sua, utilizzando il proprio client di posta. Quindi, è possibile che troverai l'indirizzo IP di origine nelle intestazioni dei messaggi .

Quella persona si sta probabilmente nascondendo dietro un proxy o una VPN, ma alcune persone sono semplicemente indifferenti, pigre e goffe. Quindi, se ottieni l'indirizzo IP, puoi usarlo per filtrare i tuoi log e seguirne le tracce.

Quando dice "Ho trovato accidentalmente alcune vulnerabilità nella tua infrastruttura" è del tutto possibile. Se il tuo sito web consente l'elenco delle directory, potrebbe aver trovato file sensibili in giro semplicemente tagliando l'URL. Quindi la "soluzione" è estrarre i file e configurare meglio il server. I motori di ricerca indicizzano molti file in questo modo, file che non avrebbero dovuto essere esposti. Ci sono alcune query che puoi eseguire per trovarle, sono chiamate dorks. Forse il "ricercatore sulla sicurezza" (o script kiddie) è effettivamente inciampato sul tuo sito web dopo aver eseguito un idiota, e sta solo cercando dei soldi veloci e pigri.

Prova a dork te stesso. Digita questo in Google: site: yoursite.com . E vedi se ci sono pagine indicizzate in Google, non dovrebbe essere.

Questo non è molto rilevante per la risposta, ma normalmente `sort -u` è meglio di` sort |uniq`
@mypronounismonicareinstate per i file di log più grandi qualcosa che utilizza hashtables è molto più veloce, come [questo script PHP] (https://github.com/0ki/shellscripts/blob/master/sortuniq).Nota anche che `sort -u` e` uniq` determinano l'unicità in base al loro ordinamento, cioè `あ` sarà considerato come un duplicato di `い` se la tua collazione corrente è qualcosa come `en_US.UTF-8`.
È molto più facile usare [Perl] (https://en.wikipedia.org/wiki/Perl) per il filtraggio dei file di log (ad es. Una riga per semplici attività).Non è un caso che uno dei backronimi sia "linguaggio pratico di estrazione e reportistica".
@mypronounismonicareinstate Ma `sort |uniq -c` potrebbe andare bene
xLeitix
2020-04-09 14:39:29 UTC
view on stackexchange narkive permalink

Questo può o non può essere spam (o anche estorsione, come affermano alcune risposte), ma certamente non suona nemmeno come un buon affare. Diamo un'occhiata ai fatti:

  • La persona non fornisce assolutamente alcuna indicazione che esista effettivamente un problema di sicurezza, né che ti interesserebbe se ci fosse (non tutti i problemi di sicurezza teorici sono un problema pratico per ogni sito web), né che la loro correzione sia corretta. In un certo senso, questa "offerta" è analoga a qualcuno che ti invia un'email "Fornisco servizi nel dominio X, inviami 100 $ e ti dirò cosa sono questi servizi" . Sospetto che in qualsiasi altro dominio sposteresti tale sollecitazione nel cestino in pochi secondi.
  • L'importo richiesto è noccioline . Questo, combinato con il fatto che non ti diranno qual è il problema, suggerisce fortemente che qualunque cosa abbiano "trovato" sarà così banale che nessuno pagherebbe per questo se te lo dicessero in anticipo. Quello che otterresti (semmai - ricorda, può anche essere semplicemente spam e non ne avrai mai notizie dopo il pagamento) sarebbe probabilmente un rapporto di uno scanner di sicurezza automatizzato e una manciata di link generici. Niente per cui normalmente pagheresti. Se riscontrassero un problema serio e avessero informazioni non banali su come risolverlo, ti direbbero qual è il problema e si offriranno di risolverlo su base contrattuale (e, ovviamente, chiedono molto più di 100 $) .
  • Partendo dal presupposto che questo sia davvero un piccolo problema con una soluzione ovvia, ogni ricercatore di sicurezza che si rispetti che conosco te lo direbbe (specialmente se sei un privato o rappresenti una piccola azienda, che presumo). Ancora una volta, 100 $ sono noccioline per quanto riguarda le tariffe degli appaltatori, e certamente non abbastanza soldi per stabilire un accordo losco come questo. Guardando il modello di email, presumo che eseguano scansioni automatiche dei siti Web e generi un messaggio di questo tipo ogni volta che questi strumenti segnalano qualcosa . Probabilmente a questo punto nemmeno il mittente stesso dell'email sa se si tratta di qualcosa di cui qualcuno si preoccuperebbe.
  • E poi, ovviamente, ci sono alcuni dei soliti segnali di spam: offerta non richiesta, Gmail generico indirizzo, reclami apparentemente importanti ma generici, utilizzo di servizi di pagamento non tradizionali (e nessuna menzione di contratti, fatture, ecc.), richiesta di denaro in anticipo, ecc.

Tutto sommato: ignora l'email.

La quantità che chiedono è noccioline, questo non è vero per un gran numero di persone nell'emisfero sud.
@elsadek Questo è certamente vero.Tuttavia, mi sembra che 100 $ siano una cifra così stranamente bassa da chiedere che considero un forte segnale che l'informazione non è preziosa.Anche se 100 $ sono una quantità significativa di denaro per te, non chiederesti solo 100 $ (piuttosto che, diciamo, 5000 $) se ritenessi che le tue informazioni o il tuo servizio siano effettivamente preziosi.
@elsadek Eppure * sono * noccioline, anche ferme.Le taglie di insetti sono una di quelle aree in cui la posizione non ha importanza.Se, ad esempio, trovassi una vulnerabilità RCE in AWS, riceveresti una grossa fetta di denaro indipendentemente da dove vivi.Quindi, indipendentemente dai salari nella tua zona, il "valore" delle vulnerabilità è abbastanza ben consolidato in tutto il mondo.Se trovo una vulnerabilità critica in un aspetto chiave dei sistemi web di un'azienda, è ragionevole chiedere molto più di $ 100.Ovviamente non lo capisco, ma il valore è ancora abbastanza ben stabilito
L'OP non fornisce dettagli sufficienti per giudicare la criticità del suo sistema.Quel cacciatore di taglie avrebbe potuto prendere di mira circa 100 altre vittime con la stessa email, questa potrebbe essere una tattica di profitto migliore rispetto a prendere di mira una singola vittima con una taglia di $ 5000 non sicura.
arp
2020-04-09 23:47:52 UTC
view on stackexchange narkive permalink

Oltre a tutti i segni che urlano "truffa" che hai notato, anche se questa offerta è legittima (anche se con metodi di marketing da loschi a illegali) è improbabile che i risultati abbiano alcun valore. Per $ 100 è probabile che tu ottenga i risultati di una scansione automatica delle porte che abbina semplicemente le stringhe di risposta del protocollo a possibili vulnerabilità senza eseguire alcun test effettivo.

Ad esempio, una volta ho chiesto a un cliente di pagare molto più di $ 100 per una scansione "professionale" che includeva risultati assurdi. La mia risposta includeva

Il tuo analista della sicurezza ti ha detto che l'account "foo" aveva una password predefinita nota. Non è presente alcun account "foo" nel sistema.

Il tuo analista della sicurezza ti ha detto che il tuo servizio "bar" è stato configurato per utilizzare un metodo di crittografia debole. Abbiamo rimosso il metodo di crittografia due versioni fa.

Vorresti che continuassi a esaminare gli elementi rimanenti nel rapporto sulla sicurezza o è sufficiente per risolvere i tuoi dubbi?

Il post originale includeva questa importante parte:

Sono un ricercatore di sicurezza che gestisce un servizio di identificazione delle vulnerabilità per un piccolo gruppo di clienti privati ​​e ho trovato accidentalmente alcune vulnerabilità nella tua infrastruttura.

Quindi è teoricamente possibile che abbiano trovato un problema nel tuo sistema durante la scansione di uno da un'entità con cui fai affari. In tal caso sarebbe perfettamente ragionevole chiedere un rinvio al cliente con cui stava lavorando la società di sicurezza.

Martin Zeitler
2020-04-10 05:58:04 UTC
view on stackexchange narkive permalink

Tutto quello che devi sapere è whoever@gmail.com . Quindi questa non è un'azienda o un dominio registrato; quel tipo non può nemmeno permettersi di registrare un dominio e gestire un server di posta, ma fa il "ricercatore di sicurezza", che non vuole che le sue credenziali siano verificate, ovviamente per "ragioni di sicurezza".

"entro 48 ore "generalmente significa che questa è una" offerta a tempo limitato "; un trucco di marketing piuttosto economico.

Molte truffe giocano sulle paure delle persone; basta vedere cosa sta succedendo attualmente nel mondo reale ... e ci sono anche truffe, che giocano sull'immaginazione, le aspettative e i desideri insoddisfatti delle persone.

La soluzione al problema inesistente: contrassegna come spam & segnalare a PayPal.
In alternativa, potresti giocarci un po '; per esempio. Dì solo OK ai truffatori.

Questa domanda potrebbe probabilmente adattarsi meglio a Psicologia & Neuroscience...
poiché non hanno scansionato il tuo sito web per le vulnerabilità, ma la tua psiche.

Rispetto a quel tentativo di frode (senza il minimo dubbio), leggi "Divulgazione responsabile delle vulnerabilità della sicurezza", al fine di ottenere una migliore comprensione, come " pratiche standard "potrebbero sembrare simili.

Eppure molti ricercatori di sicurezza usano gmail.com, che è una cattiva idea per molte ragioni (qualsiasi e-mail gratuita è una cattiva proposta e Google già tanti dati su di te).Ma in effetti qualcuno che è autentico (e chiede soldi) si sarebbe ** identificato **, per dimostrare di essere una persona reale con credenziali che puoi google, e non un truffatore anonimo.Questo non supera il test dell'olfatto.Ricorda quei film sulla mafia quando un gruppo di uomini robusti si avvicina a un imprenditore e dice "che bel posto che hai, sarebbe un peccato se qualcuno causasse problemi, non è vero".E poi il discorso di vendita.
Re * "Dì solo OK ai truffatori" *: Ci sono anche [di James Veitch] (https://www.youtube.com/watch?v=_QdPW8JrYzQ) [TED] (https://www.youtube.com/guarda? v = C4Uc-cztsJo) [parla] (https://www.youtube.com/watch?v=a2edxiz2M9g).
@PeterMortensen L'ho già visto.È comunque notevole come si possa trollarli con i propri trucchi psicologici (nel caso in cui si abbia del tempo libero a portata di mano e niente di meglio da fare).
Don King
2020-04-11 20:15:19 UTC
view on stackexchange narkive permalink

Truffa al 100%.

L'azione corretta da parte tua se sei preoccupato è contattare un'azienda professionale in grado di effettuare un controllo di sicurezza sulla tua pagina web.

Il mio consiglio è di ignorare completamente tutte le offerte che non sono richieste da te in primo luogo.

elsadek
2020-04-10 20:15:57 UTC
view on stackexchange narkive permalink

Fondamentalmente, non ci fidiamo di uno sconosciuto che chiede una ricompensa per un servizio amichevole, o no?

Detto questo, non abbiamo abbastanza dettagli per giudicare criticità del tuo sistema, quindi decidi se $ 100 è il Juste Prix o no.

Se stai utilizzando un software (opensource) ampiamente utilizzato come CMS o ERP, quella taglia hunter potrebbe aver preso di mira circa 100 altre vittime con la stessa email, questa potrebbe essere una tattica di profitto migliore rispetto a prendere di mira una singola vittima con una taglia non sicura di $ 5000.

In questo caso, è meglio controllare l'installazione, se ha gli ultimi aggiornamenti e patch, puoi anche controllare il database delle vulnerabilità del fornitore, si spera che il cacciatore di taglie non abbia un exploit 0-day con cui sta approfittando.

Se il sistema mirato è una soluzione su misura , le cose potrebbero essere più complicate da affrontare, a seconda del team che hai al posto.

Il livello di inglese dell'email è abbastanza decente, anche se non ha minacce implicite, vorrei b e preoccupato per la sua gravità.

Non necessita di alcuna minaccia letterale;è già sufficiente per creare una presunta minaccia.In questo caso, è qualcosa di simile: o paga ora o affronta i problemi più tardi ... che è già un sottile tentativo di coercizione.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...