このメールは、私のWebサイトのセキュリティ欠陥の詳細を100ドルで送ってくれるように依頼していますが、詐欺ですか?
このメールを受信しました。それは標準的な習慣ですか、それとも詐欺ですか?
私は、プライベートクライアントの小さなグループに対して脆弱性識別サービスを実行しているセキュリティリサーチャーで、インフラストラクチャに誤っていくつかの脆弱性を見つけました。
少額の料金で、脆弱性の詳細(POC、スクリーンショット、推奨されるソリューションを含む)を共有します。
Paypalの指示:
- 受信者:
REDACTED GMAIL ADDRESS- アイテムまたはサービスの支払い(バイヤーのPaypal購入保護の対象)
- 金額:$ 100
- メモを追加:[編集済み、私のドメイン名]
お支払いを受け取ってから48時間以内に、すべての脆弱性情報を記載したメールをお送りします。
これは確かにではない標準的な方法です。この人があなたのサイトで正当な問題を見つけたとしても、それは一種の恐喝です。
適切な「責任ある開示」があり、専門の「セキュリティ研究者」は現金を要求することから始めません。バグ報奨金プログラムには理由があります。
問題は、脆弱性の価値が$ 100であるかどうかがわからないことです。
これは非常にありそうな詐欺である可能性が高いですが、コミュニケーション能力が低い正当な専門家とやり取りしているときに、問題の場所(「インフラストラクチャ」)などの詳細を尋ねることができます?それはWebサイトでは奇妙です)、および彼らが誰であるかに関する詳細と、セキュリティ研究における彼らの専門的な仕事の証拠。
彼らが感情を強めたり恐喝を伸ばしたりすれば、それは詐欺であることがわかります。送信されたファイルをインストールしたり開いたりしないでください。彼らが合法であれば、彼らはあなたと協力します。
私はあなたにアイデアを与えるために、私はプロのテスターではなく、バグ報奨金はしません。しかし、たまに、サイトの脆弱性を発見しました。最初に会社に連絡して、一般的な問題の1文の要約でサイトの脆弱性を処理する人物を求めます。これは、責任者と会話できるようにするためであり、不正行為や誤用(または理解できない)を行う可能性のある無許可の人物ではありません。私が提供しようとしている情報。私は彼らが私が誰であるかの証拠も彼らに与えるので、私は詐欺師として遭遇しません。
私ができる最高の人と話しているとき、私は問題を繰り返すための私のプロセス、URL、パラメーターなど、そして私がそれが懸念であると思う理由について完全な内訳を与えます。私は彼らが尋ねるどんな質問にも答えますが、私は、私が彼らに必要な、または緊急に何かをしてほしいという印象を決して与えません。私は彼らに彼らのリスク評価を考えさせます。それが彼らの仕事です。それは彼らのサイトです。
私もお金を要求しませんが、もしそうなら、彼らのチームがそれを解決するのを助けるために私ができる限りのことをした後です。そして、私が尋ねたとしても、私はお金や何らかの形の報酬を得るとは思っていません。
サイトには、関係者全員の期待と関係を定義するバグ報奨金プログラムがあるか、サイトにはありません。私はただ手伝って、おそらく何かからそれを手に入れるかどうかです。
それが、専門家が発見した脆弱性のあるサイトにアプローチする方法です。
私はその人と関わりさえするかどうかわかりません。それは怪しげな境界線の恐喝のようです。欠陥が存在しないことも考えられますが、サーバーにバックドアをインストールする「パッチ」を送信したいと考えています。
その人に連絡する前に(決定した場合)、Webサーバーからログを読んで自分で脆弱性を見つけ、URLに表示される可能性のあるSQLインジェクションのトレースなどの疑わしいアクティビティを探してください。これは退屈な作業です。そのため、その電子メールが送信される数時間前に調べ始めました。
スクリプトスキルがある場合は、それらを活用してログファイルを解析できます。有用なbashコマンドは、cut、awkなどで、sortとuniqを組み合わせたものです(たとえば、一意のURLのリストを作成するため)。また、許可されていないページへのアクセスの試みを示す401または403エラーにも注目します。 500エラーも。
また、Webシェルのようにサーバーに不審なファイルが存在しないことを確認してください。
そのようなファイルが見つかった場合は、それを基準としてログをフィルターに掛けることができます(同じ行で要求を行ったIPアドレスを確認してください)。
これはGmailアドレスですが、相手が自分のメールクライアントを使用して自宅からメッセージを送信した可能性があります。次に、メールヘッダーで発信元IPアドレスが見つかる可能性があります。
その人はおそらくプロキシまたはVPNの背後に隠れていますが、一部の人々は単に気にせず、怠惰で不器用です。したがって、IPアドレスを取得した場合は、それを使用してログをフィルタリングし、追跡することができます。
彼が「私が誤ってあなたのインフラストラクチャにいくつかの脆弱性を見つけた」と言ったとき、それはかなり可能です。あなたのウェブサイトがディレクトリのリストを許可している場合、彼は、URLをカットするだけで機密ファイルが置かれているのを発見したかもしれません。次に、「修正」は、ファイルを引き出してサーバーをより適切に構成することです。検索エンジンは、この方法で多くのファイルにインデックスを付けます。これらのファイルは公開されることを想定していませんでした。それらを見つけるために実行できるいくつかのクエリがあり、それらは dorks と呼ばれます。たぶん、「セキュリティリサーチャー」(またはスクリプトキディ)が実際にあなたのWebサイトを偶然見つけた後につまずきました、そして彼はいくつかの迅速で怠惰なお金を探しています。
自分でやってみてください。これをGoogleに入力:site:yoursite.com。そして、Googleでインデックスに登録されているページがあるかどうかを確認してください。
これはスパムかもしれませんし、そうでないかもしれません(または、一部の回答が主張するように、恐喝ですらあります)が、それは確かにかなりのようにも聞こえません。事実を見てみましょう:
- その人は、実際にセキュリティの問題があることや、問題があったとしても(理論的なセキュリティの問題すべてが各Webサイトの実際的な問題であるとは限らない)、修正が正しいことをまったく示さない。ある意味で、この「オファー」は誰かがあなたに電子メールを送信することに似ています「ドメインXでサービスを提供しています。100ドル送ってください。これらのサービスについて教えてくれます」。他のドメインでは、そのような勧誘を数秒でゴミ箱に移動すると思います。
- 彼らが求めている量はpeanutsです。これは、彼らが何が問題であるかをあなたに言わないという事実と相まって、彼らが「見つけた」ものはどれも取るに足らないものであり、彼らが前もってあなたに言ったなら誰もそれを払わないだろうということを強く示唆します。あなたが得るもの(もしあれば)-それは単にスパムである可能性があり、支払い後にあなたから決して聞かないことを覚えておいてください)おそらくいくつかの自動化されたセキュリティスキャナーと少数の一般的なリンクのレポートでしょう。あなたが通常お金を払うものは何もありません。彼らが深刻な問題を発見し、それを修正する方法について重要な情報を持っている場合、彼らはそれが何の問題であるかをあなたに伝え、契約ベースでそれを修正することを提案します(そしてもちろん、100ドル以上を要求します) 。
- これが確かに小さな問題であり、明らかな修正が行われているという仮定の下で、私が知っている自尊心のあるセキュリティ研究者はすべてあなたに伝えます(特にあなたが私人であるか、私が想定している小さな会社を代表している場合)。繰り返しになりますが、100 $は請負業者のレートに関する限りピーナッツであり、確かにこのような怪しげな取引を確立するのに十分なお金はありません。メールテンプレートを見ると、ウェブサイトの自動スキャンを実行するだけで、これらのツールがanythingを報告するたびに、このようなメールを生成することを想定しています。おそらくこれが誰かが実際に心配することであるかどうか、この時点ではメールの送信者自身も知らないでしょう。
- そしてもちろん、スパムの通常の兆候がいくつかあります-未承諾の申し出、一般的なGmailアドレス、重要ではあるが一般的なクレーム、非従来型の支払いサービスの使用(そして契約、請求書などの言及なし)。 )、事前にお金を求めるなど.
すべて:メールを無視してください。
あなたが気づいた「詐欺」を叫んでいるすべての兆候に加えて、たとえこの申し出が合法であっても(疑わしいから違法なマーケティング手法ではありますが)結果は何の価値もありそうにありません。 100ドルの場合、実際のテストを行わずに、プロトコル応答文字列を考えられる脆弱性にパターン照合するだけの自動ポートスキャンの結果を得る可能性があります。
たとえば、私はかつて、途方もない結果を含む「プロフェッショナル」スキャンに対して、顧客に100ドルを大幅に超える支払いをしてもらいました。私の応答が含まれています
セキュリティアナリストから、アカウント 'foo'には既知のデフォルトパスワードが設定されているとのことでした。システムにアカウント「foo」がありません。
セキュリティアナリストから、「bar」サービスは弱い暗号化方式を使用するように設定されていると言われました。その暗号化方法は2リリース前に削除しました。
セキュリティレポートの残りの項目を引き続き確認しますか、それとも懸念に対処するにはこれで十分ですか?
元の投稿には、この重要なビットが含まれていました:
私は、プライベートクライアントの小さなグループに対して脆弱性識別サービスを実行しているセキュリティリサーチャーで、インフラストラクチャに誤っていくつかの脆弱性を見つけました。
したがって、取引先のエンティティから問題をスキャンしているときに、システムで問題が見つかった可能性があります。その場合、セキュリティ会社と協力していた顧客から紹介を求めるのは完全に合理的です。
知る必要があるのは、[email protected]。したがって、これは登録された会社やドメインではありません。その男はドメインを登録してメールサーバーを実行する余裕すらありませんが、明らかに「セキュリティ上の理由」のために資格情報の検証を望まない「セキュリティリサーチャー」を演じています。
「48時間以内」とは通常、これが「期間限定オファー」であることを意味します。かなり安価なマーケティングトリック。
多くの詐欺は人々の恐怖心を演じます。現実の世界で現在何が起こっているのかを確認してください...そして、人々の想像力、期待、満たされていない欲望に影響を与える詐欺もあります。
存在しない問題の解決策:スパムとしてフラグを付け、Paypalに報告します。
あるいは、少し彼を演じることもできます。例えば。 詐欺師に大丈夫と言ってください 。
この質問はおそらくより適切かもしれません Psychology&Neuroscience ...
彼らはあなたのウェブサイトの脆弱性をスキャンしなかったので、あなたの精神を。
詐欺の試みと比較して(間違いなく)、「セキュリティの脆弱性の責任ある開示」を読んで、「標準的な慣行」がどのように見えるかをよりよく理解してください。
100%詐欺。
もし心配ならあなたの側からの適切な行動はあなたのウェブページのセキュリティ監査を行うことができる専門の会社に連絡することです。
私のアドバイスは、そもそもあなたが求めていない申し出をすべて完全に無視することです。
基本的に、フレンドリーなサービスに対して報酬を求めている見知らぬ人を信用していませんか?
とはいえ、システムの重要性を判断し、$ 100がJuste Prixかどうかを判断するのに十分な詳細情報はありません。
CMSやERPなどの広く使用されている(オープンソース)ソフトウェアを実行している場合、その賞金稼ぎは同じメールで他の約100人の被害者をターゲットにしている可能性があります。
この場合、インストールを確認することをお勧めします。最新のアップデートとパッチがある場合は、ベンダーの脆弱性データベースも確認できます。バウンティハンターが利用しているゼロデイエクスプロイトがないことを願っています。
ターゲットシステムが特注のソリューションである場合、配置しているチームによっては、対処がより困難になる場合があります。
メールの英語レベルはかなりまともですが、暗黙の脅迫はありませんが、私はその深刻さを心配しています。