TL; DR : probabilmente è ben intenzionato e non è una truffa, ma è solo scritto male.

Non conosco alcun tipo di truffa che si baserebbe su questo. Certamente ci sono stati tentativi di estorcere denaro ai proprietari di siti web in base alla conoscenza delle vulnerabilità del sito web (e della minaccia implicita di sfruttarli), ma qui non sembra il caso.

Non è un granché -e-mail di divulgazione scritta. Mi sono certamente imbattuto in vulnerabilità prima (ovviamente, tentare di sfruttarle su un sito che non ha dato il permesso sarebbe illegale, ma ce ne sono alcune che possono essere ovvie senza tentare di sfruttamento) e ho inviato e-mail con lo stesso intento del autore sopra, ma cerco di fornire tutti i dettagli nella prima email. Voglio aiutarti. Non voglio rimbalzare avanti e indietro nella posta elettronica.

Se fossi io, chiederei loro i dettagli: quale pagina (o pagine) contiene le vulnerabilità, quali parametri sono iniettabili e se possono condividere una prova di concetto. Se non hai familiarità con XSS, ti consiglio di leggere la pagina OWASP sulla vulnerabilità. È molto comune e può essere critico, a seconda del contesto. Un tipico proof of concept (PoC) per XSS non sarà pericoloso per te o il tuo sito, ma farà qualcosa come far apparire una finestra di avviso javascript contenente il nome host del sito, i cookie della tua sessione o anche solo il numero 1. Ognuno di questi mostra che un malintenzionato potrebbe eseguire Javascript sul tuo sito, il che avrebbe implicazioni significative per la sicurezza del tuo sito.

Come alcuni hanno sottolineato, è anche possibile che mancanza di informazioni sono loro che giocano in modo "cauto" alla ricerca di una ricompensa / pagamento. Ovviamente, se il tuo sito non ha un bug bounty pubblicato, non sei obbligato a farlo.

Non sembra essere una truffa, anche se potrebbe essere un tipo di invio di posta di massa a causa della mancanza di dettagli. Forse qualcuno ha bisogno di soldi, gestisce Nessus su un mucchio di siti e ora sta cercando una piccola ricompensa da ciascuno?

Avrei eseguito personalmente Nessus (o qualche altro scanner) per controllare, quindi contattavo il ragazzo e chiedi dettagli. Rispondi sinceramente alla sua domanda sui premi per i bug. Se esegui un programma di ricompensa per bug e lui ne ha trovato uno, dovrebbe ottenere la sua ricompensa, è a questo che serve il programma, giusto? Se non lo fai, spiega semplicemente che non lo fai, ma gli sono comunque grato per il suo avvertimento.

Questo si chiama marketing della paura o ricorso alla paura . È un metodo di marketing che utilizza la paura come fattore scatenante per l 'azione.

https://en.wikipedia.org/wiki/Fear_appeal

L'email contiene le 3 fasi di base del ricorso alla paura .

1. presenta un rischio.
2. presenta una vulnerabilità al rischio.
3. suggerire un'azione protettiva.

È generalmente considerato non etico.

Sto solo sottolineando questo aspetto, perché l'email è un tentativo non richiesto di ottenere una risposta usando la paura. È il fatto che il mittente ha completamente omesso i dettagli di quale sia il problema. Devi contattarli per ottenere una risposta e hanno già dichiarato di aspettarsi un segno di apprezzamento .

Quando un truffatore è pescando vittime devono prima qualificare un elenco di possibili bersagli. La sua truffa implica la paura come fattore scatenante per l'azione e, se rispondi, qualificarti come una persona che reagisce alle tattiche della paura .

È probabilmente aumenteranno la gravità del problema fino a quando non sarà possibile scambio i dettagli sulla falla di sicurezza . Molto probabilmente richiederà il pagamento tramite bitcoin per le informazioni.

Un vero consulente per la sicurezza professionale avrebbe fornito i dettagli di contatto completi , l'indirizzo postale e numero di telefono dei loro servizi di consulenza. Avrebbero anche menzionato i vantaggi dei loro servizi. Dove come, questa email menziona solo il rischio di non rispondere.

L'approccio migliore per gestire questa email è contattare un attendibile consulente per la sicurezza e assumili per indagare sulle denunce.

Non deve essere una truffa, ma comunque non mi fiderei della persona che ti ha contattato:

• dichiara di aver trovato una vulnerabilità ma non presenta la minima prova
• dicono che è già abbastanza grave per te essere a rischio, ma scelgono di lasciarti esposto finché non li contatti
• chiedono una ricompensa prima di consegnare qualsiasi cosa

Chiaramente, non vuoi affidare la tua sicurezza online a queste persone. Se lasci che ti aiutino con questa vulnerabilità, sapranno molto di più sul tuo sistema di quanto non sappiano ora. Se decidi di non aver bisogno dei loro servizi, come fai a sapere che la prossima vulnerabilità che trovano non finirà sul mercato degli exploit?

Se il tuo sito web ha un valore commerciale, chiederei sicuramente aiuto a esperti di sicurezza presso la tua azienda, forse il tuo provider di hosting, o addirittura assumere qualcuno più credibile per eseguire un controllo di sicurezza.

Un'email simile è stata inviata a uno dei miei clienti affermando di avere una vulnerabilità SSL, con un'offerta da risolvere. Questo client non utilizza SSL, quindi in quel caso è stata una truffa ovvia. Ci sono diversi messaggi di posta elettronica di questo tipo in giro.

Penso che l'approccio migliore sarebbe rispondere chiedendo se la persona che ha scritto l'email ha qualche mezzo per dimostrare che ha davvero la capacità di ottenere un accesso eccessivo al tuo servizio Internet.

Potresti dargli il permesso di sfruttare il tuo servizio solo per scopi dimostrativi non distruttivi, poiché è generalmente considerato un accesso illegale non autorizzato per lui farlo anche se non danneggia nulla. Dopo che il suo attacco ha avuto successo, puoi parlare di affari.

La legge sull'accesso non autorizzato a un servizio informatico negli Stati Uniti è molto vaga, non considera il danno arrecato o l'intenzione di fare del male e può essere tecnicamente applicata a quasi tutto. Questo potrebbe impedirgli di dimostrare il suo attacco anche se sembrerebbe una cosa ragionevole da fare.

esegui una scansione del tuo sito e scoprilo da solo. I problemi XSS sono molto comuni. Puoi ottenere OSSIM, che è gratuito e include OPENVAS, uno scanner di vulnerabilità. Puoi eseguire OSSIM in Virtualbox o in un altro sistema di virtualizzazione. Quindi scansiona l'IP pubblico del tuo sito web e otterrai un rapporto completo.