Email ricevuta in merito a Difetti di sicurezza nel sito Web

57

Ho ricevuto un'email a techsupport @ websitename .com (email piuttosto generica) che diceva che c'era un difetto di sicurezza nel mio sito web ecc. ecc.

La mia prima reazione fu che si trattava di una truffa. (Come / perché hanno trovato il nostro sito.)

Tuttavia, sembra che non stessero cercando denaro (finora) e lo hanno anche mandato via email da un account Gmail (che mi è sembrato fuori posto, lo spam è solitamente inviato da strani domini) - anche google lo ha contrassegnato come importante.

La scrittura complessiva non è chiaramente ben educata, ma non è così male come in genere.

Anche l'indirizzo email sembrava un indirizzo giocatore (un nome strano e qualche cifra)

Questa è l'email:

Hello,

I have found a Web Application Vulnerability [XSS] in 'websitename.com' which can lead an attacker to perform unauthenticated tasks like account takeovers and other malicious stuffs like web defacement (your site), port scanning through your servers to other servers on internet or may use your website to spread Ransomware, and this bug is needed to be fixed as fast as possible.

Being a responsible security researcher, I m sending this mail directly to you without making the bug public, so if you are concerned about your website's security and want detailed information and Proof-of-Concept of this bug, please contact me on my mail - email@gmail.com

Would be happy to know - do you provide any rewards (bug bounty) / swag as token of appreciation for reporting bugs ?

Thank you,

-(Foreign sounding) Name

Corsivo sono stati modificati per la privacy

Domanda:

Questa è una cosa tipica che i truffatori farebbero?

Se sì, cosa stanno cercando di ottenere, quali sarebbero (se ce ne sono) i rischi di rispondere all'email richiedendo ulteriori informazioni.

D'altra parte, se in effetti è un legittimo "ricercatore responsabile della sicurezza", che tipo di domande dovrei chiedere di scoprire.

    
posta WELZ 21.01.2018 - 06:18
fonte

7 risposte

104

TL; DR : probabilmente è ben intenzionato e non una truffa, ma solo scritto male.

Non conosco alcun tipo di truffa basata su questo. Sicuramente ci sono stati tentativi di estorcere denaro ai proprietari di siti Web in base alla conoscenza delle vulnerabilità dei siti Web (e alla minaccia implicita di sfruttarli), ma non sembra il caso qui.

Non è un'e-mail di divulgazione molto ben scritta. Mi sono sicuramente imbattuto in vulnerabilità prima (ovviamente, tentare di sfruttarle su un sito che non ha dato il permesso sarebbe illegale, ma ce ne sono alcune che possono essere ovvie senza tentare lo sfruttamento) e ho inviato e-mail con lo stesso intento del autore sopra, ma cerco di fornire tutti i dettagli nella prima email. voglio per aiutare. non voglio rimbalzare avanti e indietro nella posta elettronica.

Se fossi in me, chiederei loro dettagli: quale pagina (o pagine) contengono le vulnerabilità, quali parametri sono iniettabili e se potrebbero condividere una dimostrazione di concetto. Se non hai familiarità con XSS, ti consiglio di leggere la pagina OWASP sulla vulnerabilità . È sia molto comune che può essere critico, a seconda del contesto. Un tipico proof of concept (PoC) per XSS non sarà pericoloso per te o per il tuo sito, ma farà qualcosa di simile a una finestra di avviso javascript contenente il nome host del sito, la tua sessione di cottura o anche solo il numero 1. Ognuno di questi mostra che un utente malintenzionato potrebbe essere in esecuzione Javascript sul tuo sito, il che avrebbe implicazioni significative per la sicurezza del tuo sito.

Come alcuni hanno sottolineato, è anche possibile che la mancanza di informazioni li stia giocando "cagey" cercherà un premio / pagamento. Ovviamente, se il tuo sito non ha un bug bug pubblicato, non sei obbligato a farlo.

    
risposta data 21.01.2018 - 07:51
fonte
35

Non sembra essere una truffa, anche se potrebbe essere un tipo di mailing di massa a causa della mancanza di dettagli. Forse qualcuno ha bisogno di soldi, gestisce Nessus su un mucchio di siti e ora sta cercando una piccola ricompensa da ognuno di loro?

Gestirei personalmente Nessus (o qualche altro scanner), quindi contattare il ragazzo e chiedere i dettagli. Sinceramente rispondi alla sua domanda sui premi bug. Se esegui un programma di ricompensa bug e ne trova uno, dovrebbe ricevere la sua ricompensa, ecco a cosa serve il programma, giusto? Se non lo fai, spiega semplicemente che non lo fai, ma comunque sei grato per il suo heads-up.

    
risposta data 21.01.2018 - 09:39
fonte
19

Si chiama paura marketing o paura appello . È un metodo di marketing che usa fear come trigger per action .

link

L'email contiene le 3 fasi di base di fear appeal .

  1. presentare un rischio.
  2. presenta una vulnerabilità al rischio.
  3. suggerire un'azione protettiva.

È generalmente considerato non etico.

Sto solo indicando questo aspetto, perché l'email è un tentativo non richiesto di ottenere una risposta usando la paura. È il fatto che il mittente ha omesso completamente i dettagli di quale sia il problema. Devi contattarli per ottenere una risposta e hanno già dichiarato che si aspettano un simbolo di apprezzamento .

Quando un scammer pesca per vittime deve prima qualificare un elenco di possibili bersagli. La sua truffa coinvolge fear come fattore scatenante all'azione, e se rispondi a te, si qualifica come una persona che reagisce alle tattiche fear .

È probabile aumenterà la serietà del problema fino a quando un scambio può essere fatto per dettagli sul difetto di sicurezza . Molto probabilmente richiederà il pagamento tramite bitcoin per le informazioni.

Un vero consulente di sicurezza professionale avrebbe fornito i dettagli dei contatti, l'indirizzo postale e il numero di telefono dei loro servizi di consulenza. Avrebbero anche menzionato i benefici dei loro servizi. Dove, questa email menziona solo il rischio di non che risponde.

L'approccio migliore alla gestione di questa email è contattare un consulente di sicurezza credibile e assumerli per indagare sulle affermazioni.

    
risposta data 22.01.2018 - 17:40
fonte
5

Non deve essere una truffa, ma non mi fiderei della persona che ti ha contattato comunque:

  • dichiarano di aver trovato una vulnerabilità ma non presentano una minima prova
  • dicono che è già abbastanza grave per te essere a rischio, ma scegli di lasciarti esposto finché non li contatti
  • chiedono una ricompensa prima di consegnare qualsiasi cosa

Chiaramente, non vuoi affidare la tua sicurezza online a quelle persone. Se permetti loro di aiutarti con questa vulnerabilità, sapranno molto di più sul tuo sistema di quanto non facciano ora. Se decidi di non aver bisogno dei loro servizi, come fai a sapere che la prossima vulnerabilità che troveranno non finirà sul mercato degli exploit?

Se il tuo sito web ha un valore commerciale, chiederei sicuramente aiuto agli esperti di sicurezza della tua azienda, forse il tuo fornitore di hosting, o addirittura assumere qualcuno più credibile per fare un controllo di sicurezza.

    
risposta data 23.01.2018 - 09:51
fonte
4

Un'email simile è stata inviata a uno dei miei clienti che affermava di avere una vulnerabilità SSL, con un'offerta da correggere. Questo client non usa SSL, quindi in quel caso era una truffa ovvia. Esistono diverse e-mail di questo tipo in giro.

    
risposta data 23.01.2018 - 04:09
fonte
2

Penso che l'approccio migliore sarebbe quello di rispondere chiedendo se la persona che ha scritto l'e-mail ha qualche mezzo per dimostrare che ha davvero la possibilità di ottenere un accesso eccessivo al proprio servizio Internet.

Potresti dargli il permesso di sfruttare il tuo servizio solo per scopi di dimostrazione non distruttiva, poiché generalmente è considerato come accesso illegale non autorizzato per farlo anche se non danneggia nulla. Dopo che il suo attacco ha avuto successo, puoi parlare di affari.

La legge sull'accesso non autorizzato a un servizio informatico negli Stati Uniti è molto vaga, non considera il danno fatto o l'intenzione di fare del male e può essere applicato tecnicamente a quasi tutto. Questo potrebbe impedirgli di dimostrare il suo attacco anche se sembrerebbe cosa ragionevole da fare.

    
risposta data 23.01.2018 - 21:00
fonte
0

esegui una scansione sul tuo sito e scoprilo da solo. I problemi XSS sono molto comuni. È possibile ottenere OSSIM, che è gratuito e include OPENVAS, uno scanner di vulnerabilità. È possibile eseguire OSSIM in Virtualbox o in un altro sistema di virtualizzazione. Quindi scansiona l'IP pubblico del tuo sito web e riceverai un rapporto completo.

    
risposta data 24.01.2018 - 01:20
fonte

Leggi altre domande sui tag