Question:
Cet e-mail me demande-t-il de leur envoyer 100 $ pour obtenir des détails sur une faille de sécurité dans mon site Web une arnaque?
muszek
2020-04-08 23:35:00 UTC
view on stackexchange narkive permalink

Je viens de recevoir cet e-mail. S'agit-il d'une pratique courante ou d'une arnaque?

Je suis un chercheur en sécurité qui gère un service d'identification de vulnérabilité pour un petit groupe de clients privés, et j'ai accidentellement trouvé des vulnérabilités dans votre infrastructure.

Pour une somme modique, je partagerai les détails de la vulnérabilité avec vous (comprend POC, captures d'écran et solutions suggérées).

Instructions Paypal:

  1. Destinataire : ADRESSE GMAIL SUPPRIMÉE
  2. Paiement d'un article ou d'un service (couvert par la Protection des achats PayPal pour les acheteurs)
  3. Montant: 100 USD
  4. Ajoutez une note: [expurgé, mon nom de domaine]

Après réception de votre paiement, dans les 48 heures, je vous enverrai un e-mail avec toutes les informations sur la vulnérabilité.

Si vous envoyiez les 100 $ (ce que vous ne devriez pas), je soupçonne que l'e-mail qu'ils renvoient (si vous en obtenez un) serait * "La vulnérabilité est la suivante: si un attaquant envoie au propriétaire du site Web un e-mail dans ce qui suitforme [...], il / elle enverra 100 $ à l'attaquant sans raison valable "*
À peu près une pratique standard pour l'arnaque.
Voir aussi: https://security.stackexchange.com/questions/172466/is-demanding-a-donation-before-disclosing-vulnerabilities-black-hat-behavior
Cela semble plutôt poli pour «accidentellement».Le paiement à l'avance est mauvais, mais s'il ne s'est pas rendu compte que votre site n'était pas un client établi, il a peut-être fait des recherches et fait un rapport avant de se rendre compte qu'il n'était pas payé.Les 48 heures me font penser que c'est une erreur de grammaire mineure.Si vous supprimez la deuxième virgule, c'est un engagement à envoyer votre rapport dans les 48 heures suivant le paiement.Le terme «infrastructure» m'inquiète, cela pourrait signifier n'importe quoi, du site Web à la société d'hébergement.Et le fait qu'il ait «quelques» vulérabilités, mais n'en montre aucune?Mais dans l'ensemble, escroquerie probable.
Les choses qui me semblent étranges et me font penser qu'il s'agit probablement d'une arnaque: (1) demander de l'argent à l'avance (2) ** essayer de dicter le mode de paiement ** (3) ne pas fournir d'informations personnelles sur lui-même (signerup for gmail est gratuit; s'il vous donnait un nom pour son entreprise et un e-mail du domaine de cette entreprise, cela aurait l'air mieux.) (4) seulement une mention très générique de «certaines vulnérabilités»;Je m'attendrais à ce qu'un vrai responsable de la sécurité puisse vous en dire un peu plus - nombre de vulnérabilités, risques potentiels de ne pas les corriger, etc., sans donner toutes ses puces de négociation.
S'ils sont légitimes mais mal informés, leur envoyer un lien vers cette page pourrait-il clarifier les choses et les aider à vous aider?S'ils sont des escrocs, auraient-ils intérêt à lire cette page?Je ne sais pas, je me demande juste
Je serais fortement tenté d'envoyer une contre-offre de "envoyez-moi les détails de la vulnérabilité dans les prochaines 48 heures, et je ne rapporterai pas votre tentative d'extorsion à la police".
Paypal n'est pas un système de paiement ** anonyme ** efficace.Contactez Paypal et parlez-leur.Ils ont tout intérêt à l'écraser.
@vsz J'ai lu que comme ils enverraient les informations dans les 48 heures suivant la réception du paiement, pas que l'OP avait 48 heures pour envoyer le paiement.
Nous devrions crowdsourcer les 100 $ pour vous, juste pour satisfaire notre curiosité quant à ce que vous obtenez.Mon pari est que vous obtiendrez une vulnérabilité réelle, mais elle sera de * très * faible qualité et purement due à une analyse automatisée stupide (comme votre serveur Web sécurisé prenant en charge TLS 1.0).
Vous devriez leur envoyer un (faux) chèque de plus de 100 $ qu'ils doivent encaisser et renvoyer la différence.:)
@AnthonyGrist: oui, vous avez raison, c'est une interprétation plus probable.
Je suis absolument choqué que quiconque ici entretienne même l’idée qu’il ne s’agit pas uniquement d’escroquerie-spam.** Personne ** ici n'a reçu cela auparavant?Je reçois des spams plus ou moins identiques à celui-ci au moins trois ou quatre fois par semaine.
Je reçois un e-mail comme celui-ci pour mon site Web, qui n'est rien d'autre que du HTML statique (et le fichier PDF ou image occasionnel, toujours tous les fichiers statiques).C'est définitivement une arnaque quand je l'obtiens, donc si vous obtenez la même chose que moi, vous obtenez également une arnaque.(Idem si vous recevez des offres aléatoires pour le référencement ou pour une refonte pour fonctionner plus efficacement.)
L'étrange capitalisation des mots est cohérente avec le fait qu'il est écrit par quelqu'un de l'Inde.Cela correspond-il à vos attentes quant à sa provenance?Le style d'écriture révèle très souvent d'où vient l'écrivain.
Est-ce que l'idée que je * pourrais * le faire pour 90 $ aide?
@PeterMortensen: Quelle capitalisation bizarre?
Sept réponses:
schroeder
2020-04-08 23:42:15 UTC
view on stackexchange narkive permalink

Ce n'est certainement pas une pratique courante . Même si cette personne a trouvé un problème légitime sur votre site, c'est une forme d'extorsion.

Il y a une «divulgation responsable» appropriée et les «chercheurs en sécurité» professionnels ne commencent pas par demander de l'argent. Les programmes de primes de bogues existent pour une raison.

Le problème est que vous ne savez pas si la vulnérabilité vaut 100 $ pour vous .

Il s'agit très, très probablement d'une arnaque , mais si vous avez affaire à un professionnel légitime ayant de faibles compétences en communication, vous pouvez demander des détails, par exemple où le problème est («infrastructure»? c'est étrange pour un site Web), et tous les détails sur qui ils sont et la preuve de leur travail professionnel dans la recherche en sécurité.

S'ils intensifient l'émotion ou prolongent l'extorsion, vous savez que c'est une arnaque. N'installez ou n'ouvrez aucun fichier qu'ils vous envoient. S'ils sont légitimes, ils travailleront avec vous.

Pour vous donner une idée, je ne suis pas un testeur professionnel et je ne fais pas de bug bounties. Mais de temps en temps, je découvre une vulnérabilité dans un site. Je contacte d'abord la société en demandant la personne qui traiterait les vulnérabilités du site avec un aperçu d'une phrase du problème général. Je fais cela pour m'assurer de pouvoir parler à une personne responsable , et non à une personne non autorisée qui pourrait abuser ou mal gérer (ou ne pas comprendre) les informations que je suis sur le point de leur donner. Je leur donne aussi une preuve de qui je suis pour ne pas passer pour un escroc.

Quand je parle à la meilleure personne que je peux, je donne la ventilation complète, avec mon processus pour répéter le problème, les URL, les paramètres, etc., et la raison pour laquelle je pense que c'est un préoccupation. Je réponds aux questions qu'ils posent, mais je ne donne jamais, jamais, l'impression que j'ai besoin ou que je veux qu'ils fassent quoi que ce soit de toute urgence. Je les laisse travailler sur leur évaluation des risques. C'est leur travail. C'est leur site.

Je ne demande pas non plus d'argent, mais si je le faisais, ce serait après avoir fait tout ce que j'ai pu pour aider leur équipe à résoudre le problème. Et je ne m'attendrais pas à recevoir de l'argent ni aucune forme de récompense, même si je le demandais.

Soit le site a un programme de bug bounty qui définit les attentes et les relations de toutes les personnes impliquées, soit le site ne le fait pas, et j'aide simplement et peut-être en tirer quelque chose, ou pas.

C'est ainsi qu'un professionnel aborderait un site avec une vulnérabilité qu'il a découverte.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/106604/discussion-on-answer-by-schroeder-email-send-me-100-for-details-on-a-Sécurité).
Anonymous
2020-04-09 03:20:53 UTC
view on stackexchange narkive permalink

Je ne suis même pas sûr de pouvoir m'engager avec cette personne. Cela semble une extorsion louche et limite. Il est même concevable que la faille n'existe même pas mais il souhaite vous envoyer un 'patch' qui installera une porte dérobée sur votre serveur.

Avant d'entrer en contact avec cette personne (si vous le décidez) , essayez de trouver vous-même la vulnérabilité en lisant les journaux de votre serveur Web et recherchez des activités suspectes telles que des traces d'injections SQL qui pourraient apparaître dans les URL. Cela va être fastidieux. Je commencerais donc à chercher quelques heures avant l'envoi de cet e-mail.

Si vous avez des compétences en script, vous pouvez les utiliser à bon escient pour analyser le fichier journal. Les commandes bash utiles seraient cut , awk et autres combinés avec sort et uniq (par exemple pour créer un liste des URL uniques). Je me concentrerais également sur les erreurs 401 ou 403 qui indiquent des tentatives d'accès à des pages non autorisées. 500 erreurs également.

Vérifiez également qu'aucun fichier suspect n'est présent sur votre serveur comme un shell Web.

Si vous trouvez un tel fichier, vous pouvez l'utiliser comme critère pour filtrer les journaux (regardez l'adresse IP qui a fait la demande sur la même ligne).

Bien qu'il s'agisse d'une adresse Gmail, l'autre partie peut avoir envoyé le message depuis son domicile, en utilisant son propre client de messagerie. Ensuite, il est possible que vous trouviez l'adresse IP d'origine dans les en-têtes de courrier .

Cette personne se cache probablement derrière un proxy ou un VPN, mais certaines personnes sont simplement indifférentes, paresseuses et maladroites. Donc, si vous obtenez l'adresse IP, vous pouvez l'utiliser pour filtrer vos journaux et suivre leurs traces.

Quand il dit "J'ai accidentellement trouvé des vulnérabilités dans votre infrastructure", c'est tout à fait possible. Si votre site Web autorise la liste des répertoires, il a peut-être trouvé des fichiers sensibles en coupant simplement l'URL. Ensuite, la solution consiste à extraire les fichiers et à mieux configurer votre serveur. Les moteurs de recherche indexent ainsi beaucoup de fichiers, des fichiers qui n'étaient pas censés être exposés. Vous pouvez exécuter certaines requêtes pour les trouver, elles sont appelées dorks. Peut-être que le "Security Researcher" (ou le script kiddie) est tombé sur votre site Web après avoir exécuté un con, et il est juste à la recherche d'un peu d'argent rapide et paresseux.

Essayez de dork vous-même. Tapez ceci dans Google: site: yoursite.com . Et voyez s'il y a des pages indexées dans Google, cela ne devrait pas l'être.

Ce n'est pas très pertinent pour la réponse, mais `sort -u` est normalement mieux que` sort |uniq`
@mypronounismonicareinstate pour les fichiers journaux lager, quelque chose utilisant des hashtables est beaucoup plus rapide, comme [ce script PHP] (https://github.com/0ki/shellscripts/blob/master/sortuniq).Notez également que `sort -u` et` uniq` déterminent l'unicité par leur ordre de tri, c'est-à-dire que `あ` sera considéré comme un double de `い` si votre classement actuel est quelque chose comme `en_US.UTF-8`.
Il est beaucoup plus facile d'utiliser [Perl] (https://en.wikipedia.org/wiki/Perl) pour le filtrage des fichiers journaux (par exemple, des one-liners pour des tâches simples).Ce n'est pas un hasard si l'un des backronymes est «langage pratique d'extraction et de rapport».
@mypronounismonicareinstate Mais `trier |uniq -c` pourrait être bien
xLeitix
2020-04-09 14:39:29 UTC
view on stackexchange narkive permalink

Cela peut ou non être du spam (ou même de l'extorsion, comme le prétendent certaines réponses), mais cela ne semble certainement pas non plus une bonne affaire. Regardons les faits:

  • La personne ne fournit absolument aucune indication qu'il y a réellement un problème de sécurité, ni que vous vous en soucieriez s'il y en avait (tous les problèmes de sécurité théoriques ne sont pas un problème pratique pour chaque site Web), ni que leur correctif est correct. Dans un certain sens, cette "offre" est analogue à quelqu'un qui vous envoie un e-mail "Je fournis des services dans le domaine X, envoyez-moi 100 $ et je vous dirai quels sont ces services" . Je soupçonne que dans n'importe quel autre domaine, vous déplaceriez une telle sollicitation à la poubelle en quelques secondes.
  • Le montant qu'ils demandent est cacahuètes . Ceci, combiné au fait qu'ils ne vous diront pas quel est le problème, suggère fortement que tout ce qu'ils "ont trouvé" sera si insignifiant que personne ne paierait pour cela s'ils vous le disaient d'avance. Ce que vous obtiendriez (le cas échéant - rappelez-vous, il peut aussi s'agir simplement de spam et vous n'entendrez jamais parler d'eux après avoir payé) serait probablement un rapport d'un scanner de sécurité automatisé et d'une poignée de liens génériques. Rien pour lequel vous paieriez normalement de l'argent. S'ils trouvaient un problème sérieux et avaient des informations non triviales sur la façon de le résoudre, ils vous diraient quel problème il s'agit et vous proposeraient de le résoudre sur une base contractuelle (et, bien sûr, demanderaient beaucoup plus de 100 $) .
  • En supposant qu'il s'agit en effet d'un petit problème avec une solution évidente, chaque chercheur en sécurité qui se respecte, que je connais, vous le dirait (surtout si vous êtes une personne privée ou représentez une petite entreprise, ce que je suppose). Encore une fois, 100 $ sont des cacahuètes dans la mesure où les tarifs des entrepreneurs vont, et certainement pas assez d'argent pour conclure une affaire douteuse comme celle-ci. En regardant le modèle d'e-mail, je suppose qu'il suffit d'exécuter des analyses automatisées des sites Web et de générer un tel e-mail chaque fois que ces outils rapportent quoi que ce soit . Il est probable que même l'expéditeur de l'e-mail lui-même ne sache pas à ce stade s'il s'agit de quelque chose qui préoccuperait réellement quelqu'un.
  • Et puis, bien sûr, il y a certains des signes habituels de spam - offre non sollicitée, Gmail générique adresse, réclamations à consonance importante mais génériques, utilisation de services de paiement non traditionnels (et aucune mention de contrats, factures, etc.), demande d'argent d'avance, etc.

Dans l'ensemble: ignorez l'e-mail.

Le montant qu'ils demandent, ce sont des arachides, ce n'est pas vrai pour un grand nombre de personnes dans l'hémisphère sud.
@elsadek C'est certainement vrai.Pourtant, il me semble que 100 $ est un montant si étrangement faible à demander que je considère que c'est un signal fort que l'information n'est pas valable.Même si 100 $ est une somme d'argent importante pour vous, vous ne demanderiez pas seulement 100 $ (plutôt que, disons, 5000 $) si vous estimiez que vos informations ou services sont réellement précieux.
@elsadek Et pourtant, ce sont * des cacahuètes, même encore.Les primes de bogue sont l'un de ces domaines où l'emplacement n'a pas d'importance.Si, par exemple, vous trouviez une vulnérabilité RCE dans AWS, vous obtiendrez une grosse somme d'argent, quel que soit l'endroit où vous vivez.Ainsi, quels que soient les salaires dans votre région, la «valeur» des vulnérabilités est assez bien établie dans le monde entier.Si je trouve une vulnérabilité critique dans un aspect clé des systèmes Web d'une entreprise, il est raisonnable de demander beaucoup plus de 100 $.Je ne comprends peut-être pas ça bien sûr, mais le rapport qualité-prix est quand même assez bien établi
Le PO ne fournit pas suffisamment de détails pour juger de la criticité de son système.Ce chasseur de primes aurait pu cibler une centaine d'autres victimes avec le même e-mail, cela pourrait être une meilleure tactique lucrative que de cibler une seule victime avec une prime incertaine de 5000 $.
arp
2020-04-09 23:47:52 UTC
view on stackexchange narkive permalink

En plus de tous les signes criant "arnaque" que vous avez remarqués, même si cette offre est légitime (bien qu'avec des méthodes de marketing louches à illégales), les résultats sont peu susceptibles d'avoir une quelconque valeur. Pour 100 $, vous obtiendrez probablement les résultats d'une analyse de port automatisée qui ne fait que faire correspondre les chaînes de réponse du protocole aux vulnérabilités possibles sans effectuer de tests réels.

Par exemple, j'ai déjà demandé à un client de payer beaucoup plus de 100 $ pour un scan «professionnel» qui comprenait des résultats absurdes. Ma réponse a inclus

Votre analyste de sécurité vous a dit que le compte «foo» avait un mot de passe par défaut connu. Il n'y a pas de compte «foo» sur le système.

Votre analyste de sécurité vous a dit que votre service «bar» était configuré pour utiliser une méthode de chiffrement faible. Nous avons supprimé cette méthode de chiffrement il y a deux versions.

Voulez-vous que je continue à parcourir les éléments restants du rapport de sécurité ou est-ce suffisant pour répondre à vos préoccupations?

Le message original incluait ce point important:

Je suis un chercheur en sécurité exécutant un service d'identification de vulnérabilité pour un petit groupe de clients privés, et j'ai accidentellement trouvé des vulnérabilités dans votre infrastructure.

Il est donc théoriquement possible qu'ils aient trouvé un problème sur votre système en analysant celui d'une entité avec laquelle vous faites affaire. Dans ce cas, il serait parfaitement raisonnable de demander une référence à leur client avec qui la société de sécurité travaillait.

Martin Zeitler
2020-04-10 05:58:04 UTC
view on stackexchange narkive permalink

Tout ce qu'il faut savoir, c'est whoever@gmail.com . Ce n'est donc pas une société ou un domaine enregistré; ce type n'a même pas les moyens d'enregistrer un domaine et d'exécuter un serveur de messagerie, mais joue le "chercheur de sécurité", qui ne veut pas que ses informations d'identification soient vérifiées, évidemment pour des "raisons de sécurité".

"dans les 48 heures "signifie généralement qu'il s'agit d'une" offre à durée limitée "; une astuce marketing assez bon marché.

De nombreuses escroqueries jouent sur les peurs des gens; il suffit de voir ce qui se passe actuellement dans le monde réel ... et il y a aussi des arnaques, qui jouent sur l'imagination, les attentes et les désirs insatisfaits des gens.

La solution au problème inexistant: signaler comme spam & signaler à PayPal.
Alternativement, vous pouvez jouer un peu avec lui; par exemple. Dites simplement OK aux fraudeurs.

Cette question pourrait probablement mieux convenir à Psychology & Neuroscience...
car ils n'ont pas analysé votre site Web pour les vulnérabilités, mais votre psyché.

Par rapport à cette tentative de fraude (sans aucun doute), lisez "Divulgation responsable des vulnérabilités de sécurité", afin de mieux comprendre, comment " les pratiques standard "peuvent se ressembler.

Et pourtant, de nombreux chercheurs en sécurité utilisent gmail.com, ce qui est une mauvaise idée pour de nombreuses raisons (tout e-mail gratuit est une mauvaise proposition et Google a déjà tellement de données sur vous).Mais en effet, quelqu'un qui est authentique (et qui demande de l'argent) se serait ** identifié **, pour prouver qu'il est une vraie personne avec des informations d'identification que vous pouvez google, et non un escroc anonyme.Celui-ci ne passe pas le test d'odeur.Cela rappelle ces films de la mafia quand un groupe d'hommes robustes s'approche d'un propriétaire d'entreprise et lui dit "un bel endroit que vous avez, ce serait dommage si quelqu'un causait des problèmes, n'est-ce pas".Et puis l'argumentaire de vente.
Re * "Dites simplement OK aux escrocs." *: Il y a aussi [James Veitch] (https://www.youtube.com/watch?v=_QdPW8JrYzQ) [TED] (https://www.youtube.com/regarder? v = C4Uc-cztsJo) [pourparlers] (https://www.youtube.com/watch?v=a2edxiz2M9g).
@PeterMortensen J'ai déjà regardé ça.C'est toujours remarquable, comment on peut les troller avec leurs propres astuces psychologiques (au cas où l'on aurait du temps libre à portée de main et rien de mieux à faire).
Don King
2020-04-11 20:15:19 UTC
view on stackexchange narkive permalink

100% arnaque.

La bonne action de votre part si vous êtes inquiet est de contacter une entreprise professionnelle qui peut effectuer un audit de sécurité sur votre page Web.

Mon conseil est d'ignorer complètement toutes les offres qui ne sont pas sollicitées par vous en premier lieu.

elsadek
2020-04-10 20:15:57 UTC
view on stackexchange narkive permalink

Fondamentalement, nous ne faisons pas confiance à un étranger qui demande une récompense contre un service amical, ou le faisons-nous?

Cela dit, nous n'avons pas assez de détails pour juger la criticité de votre système, puis décidez si les 100 $ sont le Juste Prix ou non.

Si vous utilisez un logiciel (open source) largement utilisé comme CMS ou ERP, cette prime hunter aurait pu cibler une centaine d'autres victimes avec le même e-mail, cela pourrait être une meilleure tactique lucrative que de cibler une seule victime avec une prime incertaine de 5000 $.

Dans ce cas, vous feriez mieux de vérifier votre installation, si il a les dernières mises à jour et correctifs, vous pouvez également consulter la base de données des vulnérabilités du fournisseur, j'espère que le chasseur de primes n'a pas un exploit de 0 jours dont il tire parti.

Si le système ciblé est une solution sur mesure , les choses peuvent être plus difficiles à gérer, en fonction de l'équipe que vous avez en place.

Le niveau d'anglais de l'e-mail est assez correct, même s'il ne comporte aucune menace implicite, je serais Nous sommes préoccupés par sa gravité.

Il n'a besoin d'aucune menace littérale;il suffit déjà de créer une menace présumée.Dans ce cas, c'est quelque chose de similaire: soit payer maintenant, soit faire face à des problèmes plus tard ... ce qui est déjà une tentative de coercition subtile.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...