Email ricevuta in merito a Difetti di sicurezza nel sito Web

TL; DR : probabilmente è ben intenzionato e non una truffa, ma solo scritto male.

Non conosco alcun tipo di truffa basata su questo. Sicuramente ci sono stati tentativi di estorcere denaro ai proprietari di siti Web in base alla conoscenza delle vulnerabilità dei siti Web (e alla minaccia implicita di sfruttarli), ma non sembra il caso qui.

Non è un'e-mail di divulgazione molto ben scritta. Mi sono sicuramente imbattuto in vulnerabilità prima (ovviamente, tentare di sfruttarle su un sito che non ha dato il permesso sarebbe illegale, ma ce ne sono alcune che possono essere ovvie senza tentare lo sfruttamento) e ho inviato e-mail con lo stesso intento del autore sopra, ma cerco di fornire tutti i dettagli nella prima email. voglio per aiutare. non voglio rimbalzare avanti e indietro nella posta elettronica.

Se fossi in me, chiederei loro dettagli: quale pagina (o pagine) contengono le vulnerabilità, quali parametri sono iniettabili e se potrebbero condividere una dimostrazione di concetto. Se non hai familiarità con XSS, ti consiglio di leggere la pagina OWASP sulla vulnerabilità . È sia molto comune che può essere critico, a seconda del contesto. Un tipico proof of concept (PoC) per XSS non sarà pericoloso per te o per il tuo sito, ma farà qualcosa di simile a una finestra di avviso javascript contenente il nome host del sito, la tua sessione di cottura o anche solo il numero 1. Ognuno di questi mostra che un utente malintenzionato potrebbe essere in esecuzione Javascript sul tuo sito, il che avrebbe implicazioni significative per la sicurezza del tuo sito.

Come alcuni hanno sottolineato, è anche possibile che la mancanza di informazioni li stia giocando "cagey" cercherà un premio / pagamento. Ovviamente, se il tuo sito non ha un bug bug pubblicato, non sei obbligato a farlo.

Non sembra essere una truffa, anche se potrebbe essere un tipo di mailing di massa a causa della mancanza di dettagli. Forse qualcuno ha bisogno di soldi, gestisce Nessus su un mucchio di siti e ora sta cercando una piccola ricompensa da ognuno di loro?

Gestirei personalmente Nessus (o qualche altro scanner), quindi contattare il ragazzo e chiedere i dettagli. Sinceramente rispondi alla sua domanda sui premi bug. Se esegui un programma di ricompensa bug e ne trova uno, dovrebbe ricevere la sua ricompensa, ecco a cosa serve il programma, giusto? Se non lo fai, spiega semplicemente che non lo fai, ma comunque sei grato per il suo heads-up.

Si chiama paura marketing o paura appello . È un metodo di marketing che usa fear come trigger per action .

link

L'email contiene le 3 fasi di base di fear appeal .

1. presentare un rischio.
2. presenta una vulnerabilità al rischio.
3. suggerire un'azione protettiva.

È generalmente considerato non etico.

Sto solo indicando questo aspetto, perché l'email è un tentativo non richiesto di ottenere una risposta usando la paura. È il fatto che il mittente ha omesso completamente i dettagli di quale sia il problema. Devi contattarli per ottenere una risposta e hanno già dichiarato che si aspettano un simbolo di apprezzamento .

Quando un scammer pesca per vittime deve prima qualificare un elenco di possibili bersagli. La sua truffa coinvolge fear come fattore scatenante all'azione, e se rispondi a te, si qualifica come una persona che reagisce alle tattiche fear .

È probabile aumenterà la serietà del problema fino a quando un scambio può essere fatto per dettagli sul difetto di sicurezza . Molto probabilmente richiederà il pagamento tramite bitcoin per le informazioni.

Un vero consulente di sicurezza professionale avrebbe fornito i dettagli dei contatti, l'indirizzo postale e il numero di telefono dei loro servizi di consulenza. Avrebbero anche menzionato i benefici dei loro servizi. Dove, questa email menziona solo il rischio di non che risponde.

L'approccio migliore alla gestione di questa email è contattare un consulente di sicurezza credibile e assumerli per indagare sulle affermazioni.

Non deve essere una truffa, ma non mi fiderei della persona che ti ha contattato comunque:

• dichiarano di aver trovato una vulnerabilità ma non presentano una minima prova
• dicono che è già abbastanza grave per te essere a rischio, ma scegli di lasciarti esposto finché non li contatti
• chiedono una ricompensa prima di consegnare qualsiasi cosa

Chiaramente, non vuoi affidare la tua sicurezza online a quelle persone. Se permetti loro di aiutarti con questa vulnerabilità, sapranno molto di più sul tuo sistema di quanto non facciano ora. Se decidi di non aver bisogno dei loro servizi, come fai a sapere che la prossima vulnerabilità che troveranno non finirà sul mercato degli exploit?

Se il tuo sito web ha un valore commerciale, chiederei sicuramente aiuto agli esperti di sicurezza della tua azienda, forse il tuo fornitore di hosting, o addirittura assumere qualcuno più credibile per fare un controllo di sicurezza.

Un'email simile è stata inviata a uno dei miei clienti che affermava di avere una vulnerabilità SSL, con un'offerta da correggere. Questo client non usa SSL, quindi in quel caso era una truffa ovvia. Esistono diverse e-mail di questo tipo in giro.

Penso che l'approccio migliore sarebbe quello di rispondere chiedendo se la persona che ha scritto l'e-mail ha qualche mezzo per dimostrare che ha davvero la possibilità di ottenere un accesso eccessivo al proprio servizio Internet.

Potresti dargli il permesso di sfruttare il tuo servizio solo per scopi di dimostrazione non distruttiva, poiché generalmente è considerato come accesso illegale non autorizzato per farlo anche se non danneggia nulla. Dopo che il suo attacco ha avuto successo, puoi parlare di affari.

La legge sull'accesso non autorizzato a un servizio informatico negli Stati Uniti è molto vaga, non considera il danno fatto o l'intenzione di fare del male e può essere applicato tecnicamente a quasi tutto. Questo potrebbe impedirgli di dimostrare il suo attacco anche se sembrerebbe cosa ragionevole da fare.

esegui una scansione sul tuo sito e scoprilo da solo. I problemi XSS sono molto comuni. È possibile ottenere OSSIM, che è gratuito e include OPENVAS, uno scanner di vulnerabilità. È possibile eseguire OSSIM in Virtualbox o in un altro sistema di virtualizzazione. Quindi scansiona l'IP pubblico del tuo sito web e riceverai un rapporto completo.