Domain-Besitzer- Vorsicht vor dubiosen Bug-Bounty-Jägern!

Domain-Besitzer- Vorsicht vor dubiosen Bug-Bounty-Jägern!

ID: 1890280
(PresseBox) - Unternehmen nutzen immer häufiger Bug Bounty Programme zum Aufdecken potentieller Sicherheitslücken. Das florierende Geschäft ruft aber auch teilweise kriminell motivierte Trittbrettfahren auf den Plan ? die sogenannten ?Beg Bounty Hunter? haben vornehmlich kleine Unternehmen im Visier.

Die Suche nach Bugs in den eigenen Produkten und in der Folge das Schließen potentieller Einfallstüren für Cyberangriffe steht mit zunehmender Digitalisierung immer mehr im Fokus von Softwareherstellern. Zu diesem Zweck haben viele Unternehmen sogenannte Bug-Bounty-Programme ins Leben gerufen, mit denen das seriöse Auffinden und Melden von signifikanten Sicherheitslücken belohnt werden. Doch wie so oft bei beliebten Konzepten sind auch Betrüger nicht weit und gehen mit oft wenig IT-Security-Verständnis und dubiosen Methoden auf ?Betteltour?. Die deshalb auch als ?Beg Bounty Hunter? bezeichneten Cyberganoven melden gefälschte Bugs und Fehlkonfigurationen und versuchen, gerne bei eher kleineren Unternehmen, mit dieser Masche und einem vorgetäuschten großen Gefahrenpotential als Helfer in der Not abzukassieren.

?Die Riege der Beg Bounty Hunter ist weitläufig und mit ganz unterschiedlichen Intentionen unterwegs. Von ethisch und gut gemeint bis hin zu grenzwertigen oder schlicht kriminellen Methoden ist alles dabei?, so Chester Wisniewski, Principal Threat Researcher bei Sophos. ?Fakt ist allerdings, dass keine der 'Schwachstellen', die ich in diesem Zusammenhang untersucht habe, eine Zahlung wert waren. Es existieren Millionen schlecht gesicherter Webseiten und viele der Domain-Inhaber wissen nicht, wie sie die Sicherheit verbessern können. Gerade diese Zielgruppe lässt sich mit entsprechend professionell klingenden Nachrichten über potentielle Sicherheitslücken leicht einschüchtern und von suspekten Dienstleistungen überzeugen. Empfänger solcher Mails sollten diese zwar ernst nehmen, denn sie können auf eine gefährliche Sicherheitslage hindeuten, sie sollten sich aber auf keinen Fall auf die angebotene Leistung einlassen. Sinnvoller ist es in einem solchen Fall, einen vertrauenswürdigen IT-Partner vor Ort um eine Bewertung der Situation zu bitten, um gegebenenfalls bestehende Gefahren beseitigen zu lassen.?



Beg Bounty Hunter und ihre Taktik

Seit letztem Jahr mehren sich die Berichte, insbesondere von kleinen Unternehmen, dass vermeintliche Security-Experten sie wegen Schwachstellen bei ihrer Website kontaktieren. Die Forensiker von Sophos haben einige dieser Angebote analysiert: In jedem der Beispiele wurde der angebliche ?Schwachstellenbericht? oder das ?Beg Bounty? vom angeblichen Sicherheitsexperten an eine E-Mail-Adresse gesendet, die auf der Website des Empfängers offen zugänglich war. Damit liegt die Schlussfolgerung nahe, dass es sich bei den Nachrichten um eine Kombination aus automatisiertem Scannen nach vermeintlichen Sicherheitslücken oder Fehlkonfigurationen, einem anschließenden Kopieren der Scan-Ergebnisse in eine E-Mail-Vorlage und dem Nutzen einer undifferenzierten Mail-Adresse für den Versand handelt. Alles mit dem Ziel, ein Honorar für die Lösung des ?Problems? zu erhalten.

Die Preisspanne bei den untersuchten Beg-Bounty-Nachrichten ersteckte sich von 150 bis 2.000 US-Dollar pro Fehler, je nach Schweregrad. Zudem brachten die Nachforschungen zu Tage, dass es bei Erstzahlungen für eine Schwachstelle teilweise zu einer Eskalation der Forderungen für weitere Schwachstellen kam. Die ?Experten? verlangten plötzlich 5.000 US-Dollar für die Behebung weiterer, vermeintlicher Sicherheitslücken und auch die Kommunikation wurde aggressiver.

Dreist kommt weiter ? ein Beispiel

Eines der von Sophos analysierten Beispiele beginnt gleich zu Beginn mit einer falschen Aussage. Der Beg Bounty Hunter behauptet, eine Schwachstelle auf der Webseite des Adressaten gefunden zu haben und erklärt, dass kein DMARC-Datensatz zum Schutz vor E-Mail-Spoofing existiert. Allerdings ist das weder eine Schwachstelle noch hat die Thematik direkt mit der Webseite zu tun. Die Veröffentlichung von DMARC-Datensätzen kann zwar dazu beitragen, Phishing-Angriffe zu verhindern, ist aber eine komplexe Aufgabe, die bei den meisten Unternehmen nicht weit oben auf der Liste der Security-Aufgaben steht. Und auch wenn das Problem also tatsächlich existiert, wird es im Zusammenhang mit der Beg-Bounty-E-Mail als größer dargestellt als es tatsächlich ist, um den Empfänger zur Zahlung einer Belohnung zu treiben.

Die meisten untersuchten Fälle beruhten auf simplen Internetscans, die fehlende SPF- oder DMARC-Einträge zu Tage förderten wie unser Beispiel oben. Andere Beg-Bounty-E-Mails bezogen sich zwar auf tatsächliche Schwachstellen, die allerdings ohne großes Fachwissen mit kostenlosen Tools gefunden und gefixt werden können.

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
drucken  als PDF  bluechip unterstützt mit mobilen Lösungen beim DigitalPakt Schule Satellite Pro E10-S: Dynabook erweitert Portfolio für den Bildungsbereich
Bereitgestellt von Benutzer: PresseBox
Datum: 18.03.2021 - 13:23 Uhr
Sprache: Deutsch
News-ID 1890280
Anzahl Zeichen: 4886

Kontakt-Informationen:
Stadt:

Wiesbaden



Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 824 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Domain-Besitzer- Vorsicht vor dubiosen Bug-Bounty-Jägern!"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Compliance wächst schneller als die Kapazitäten der IT-Teams ...
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun

Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit

Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru


Weitere Mitteilungen von Sophos Technology GmbH


bluechip unterstützt mit mobilen Lösungen beim DigitalPakt Schule ...
Mit dem DigitalPakt Schule hatte der Bund schon 2019 über 5 Milliarden Euro für Investitionen in die digitale Bildungsinfrastruktur zur Verfügung gestellt. Zusätzlich wurde ab April 2020 das Sofortprogramm für mobile Endgeräte für Schüler mit 550 Millionen ? auf den Weg gebracht und im Augus

ADDAG GmbH ist neuestes Mitglied der Swiss IT Security Group ...
Liebe Kunden, Geschäftspartner und Freunde, es freut uns sehr, Ihnen mitzuteilen, dass die ADDAG GmbH (vormals ADDAG GmbH & Co. KG) in Aachen ab sofort zur Swiss IT Security Group (kurz SITS Group) gehört. Im Rahmen des weiteren Wachstums übernimmt die SITS Group zusammen mit dem geschäftsfÃ

LV-67127: Mini-ITX Board mit Tiger Lake Prozessor ...
Bei der Entwicklung von Embedded Systemen speziell für Visualisierungsaufgaben in Machine Vision-Anwendungen, aber auch in der Robotik oder bei KI-Anwendungen kommt es auf die passende Performance sowohl bei der CPU als auch bei der GPU an. Ein Beispiel hierfür sind autonom fahrende Flurförderfah

NUST MISIS-Wissenschaftler machen einen Schritt in Richtung Quantensupermacht ...
Ein russisch-deutsches Forscherteam hat einen Quantensensor entwickelt, der die Messung und Manipulation von einzelnen Zwei-Niveau-Defekten in Qubits ermöglicht. Die Studie von NUST MISIS, Russian Quantum Center und dem Karlsruher Institut für Technologie, veröffentlicht in npj Quantum Informatio


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z