Correo electrónico recibido sobre la falla de seguridad en el sitio web

Navega tus respuestas
57

Recibí un correo electrónico a techsupport @ websitename .com (correo electrónico bastante genérico) que dice que había un error de seguridad en mi sitio web, etc., etc.

Mi reacción inicial fue que esto era una estafa. (¿Cómo / por qué encontraron nuestro sitio?)

Sin embargo, no parecían estar buscando dinero (hasta ahora) y también lo habían enviado por correo electrónico desde una cuenta de gmail (que a mi parecer, el spam generalmente se envía desde dominios extraños) - también Google lo marcó como importante.

Claramente, la escritura no está bien educada, pero no es tan mala como suele ser.

La dirección de correo electrónico también parecía una dirección de jugador (un nombre extraño y unos pocos dígitos)

Este es el correo electrónico:

  

Hola,

     

He encontrado una vulnerabilidad de aplicación web [XSS] en   ' websitename .com' que puede llevar a un atacante a realizar   Tareas no autenticadas como tomas de cuenta y otros maliciosos.   productos como la degradación de la web (su sitio), el escaneo de puertos a través de su   Servidores a otros servidores en Internet o pueden usar su sitio web para propagarse   Ransomware, y este error es necesario para solucionarlo lo más rápido posible.

     

Al ser un investigador de seguridad responsable, estoy enviando este correo   directamente a usted sin hacer público el error, por lo que si está preocupado   sobre la seguridad de su sitio web y desea información detallada y   Prueba de concepto de este error, póngase en contacto conmigo en mi correo -    correo electrónico @ gmail.com

     

Me encantaría saberlo: ¿proporciona alguna recompensa (recompensa de error) /   ¿Swag como muestra de agradecimiento por informar errores?

     

Gracias,

     

- (Sonido extranjero) Nombre

Cursivas se han cambiado por privacidad

Pregunta:

¿Esto es algo típico que harían los estafadores?

Si es así, ¿qué es lo que están tratando de obtener, cuáles serían (si los hubiera) los riesgos de responder al correo electrónico solicitando más información?

Por otra parte, si de hecho es un "investigador de seguridad responsable" legítimo, ¿qué tipo de preguntas debo hacer para averiguar?

    
pregunta WELZ 21.01.2018 - 06:18
fuente

7 respuestas

104

TL; DR : probablemente esté bien intencionado y no sea una estafa, pero está mal escrito.

No conozco ningún tipo de estafa que se base en esto. Ciertamente, ha habido intentos de extorsionar a los propietarios de sitios web por dinero basado en el conocimiento de las vulnerabilidades del sitio web (y la amenaza implícita de explotarlos), pero ese no es el caso aquí.

No es un correo electrónico de divulgación muy bien escrito. Ciertamente me he topado con vulnerabilidades antes (obviamente, intentar explotarlas en un sitio que no ha dado permiso sería ilegal, pero hay algunas que pueden ser obvias sin intentar la explotación), y he enviado correos electrónicos con la misma intención que la Autor arriba, pero trato de proporcionar todos los detalles en el primer correo electrónico. quiero para ayudar. No quiero rebotar de un lado a otro en el correo electrónico.

Si fuera yo, les pediría detalles: qué página (o páginas) contienen las vulnerabilidades, qué parámetros son inyectables y si pueden compartir una prueba de concepto. Si no está familiarizado con XSS, le recomiendo leer la página OWASP sobre la vulnerabilidad . Es a la vez muy común y puede ser crítico, dependiendo del contexto. Una prueba de concepto (PoC) típica para XSS no será peligrosa para usted ni para su sitio, pero hará algo como abrir un cuadro de alerta de javascript que contiene el nombre de host del sitio, los cocineros de su sesión o incluso solo el número 1. Cualquiera de ellos muestra que un atacante malicioso podría ejecutar Javascript en su sitio, lo que tendría implicaciones importantes para la seguridad de su sitio.

Como algunos lo han señalado, también es posible que la falta de información sea porque los jugadores lo hacen "cautelosamente" en busca de una recompensa / pago. Obviamente, si su sitio no tiene una recompensa de error publicada, no tiene ninguna obligación de hacerlo.

    
respondido por el David 21.01.2018 - 07:51
fuente
35

No parece ser una estafa, aunque podría ser un tipo de correo masivo debido a la falta de detalles. Tal vez un tipo necesita dinero, ejecuta Nessus en un montón de sitios y ahora está buscando una pequeña recompensa de cada uno.

Correría Nessus (o algún otro escáner) para verificarlo, luego contacté al tipo y le pedí detalles. Responda con sinceridad a su pregunta sobre las recompensas de errores. Si ejecuta un programa de recompensa de errores y él encuentra uno, debería obtener su recompensa, para eso es el programa, ¿verdad? Si no lo hace, simplemente explique que no, pero de todos modos está agradecido por su atención.

    
respondido por el Tom 21.01.2018 - 09:39
fuente
19

Esto se denomina marketing de miedo o miedo a apelar . Es un método de marketing que utiliza fear como el desencadenante de action .

enlace

El correo electrónico contiene las 3 etapas básicas de miedo a apelar .

  1. presentar un riesgo.
  2. presentar una vulnerabilidad al riesgo.
  3. sugiere una acción protectora.

Generalmente se considera poco ético.

Solo señalo este mensaje, porque el correo electrónico es un intento no solicitado de obtener una respuesta utilizando el miedo. Es el hecho de que el remitente omitió completamente los detalles de cuál es el problema. Debe comunicarse con ellos para obtener una respuesta, y ya han declarado que esperan una muestra de agradecimiento .

Cuando un estafador está pescando para víctimas , primero deben calificar una lista de posibles objetivos. Su / esta estafa involucra a miedo como un desencadenante de la acción, y si respondes, calificas como una persona que reacciona a las tácticas de miedo .

Es probable que aumentarán la seriedad del problema hasta que se pueda hacer un trade para obtener detalles sobre el fallo de seguridad . Lo más probable es que él / ella solicite el pago por bitcoin para la información.

Un verdadero profesional consultor de seguridad habría proporcionado detalles completos de contacto , dirección postal y número de teléfono de sus servicios de consultoría. También habrían mencionado los beneficios de sus servicios. Donde, como este correo electrónico solo menciona el riesgo de no respondiendo.

El mejor enfoque para manejar este correo electrónico es ponerse en contacto con un asesor de seguridad acreditable y contratarlos para investigar las reclamaciones.

    
respondido por el cgTag 22.01.2018 - 17:40
fuente
5

No tiene que ser una estafa, pero no confiaría en la persona que te contactó de todos modos:

  • declaran haber encontrado una vulnerabilidad pero no presentan la menor prueba
  • dicen que es lo suficientemente malo como para que estés en riesgo, pero optan por dejarte expuesto hasta que te pongas en contacto con ellos
  • preguntan por una recompensa antes de entregar cualquier cosa

Claramente, no desea confiar su seguridad en línea a esas personas. Si les permite que lo ayuden con esta vulnerabilidad, sabrán mucho más sobre su sistema que ahora. Si alguna vez decide que no necesita sus servicios, ¿cómo sabe que la próxima vulnerabilidad que encuentren no terminará en el mercado de exploits?

Si su sitio web tiene un valor comercial, definitivamente le pediría ayuda a los expertos en seguridad de su compañía, tal vez a su proveedor de alojamiento, o incluso contratar a alguien más confiable para hacer una auditoría de seguridad.

    
respondido por el Dmitry Grigoryev 23.01.2018 - 09:51
fuente
4

Se envió un correo electrónico similar a uno de mis clientes que afirmaba que tenían una vulnerabilidad de SSL, con una oferta para solucionarlo. Este cliente no usa SSL, por lo que en ese caso fue una estafa obvia. Hay varios correos electrónicos de este tipo flotando alrededor.

    
respondido por el John 23.01.2018 - 04:09
fuente
2

Creo que el mejor enfoque sería responder preguntando si la persona que escribió el correo electrónico tiene algún medio para demostrar que realmente tiene la capacidad de obtener acceso excesivo a su servicio de Internet.

Usted podría darle permiso para explotar su servicio solo con fines de demostración no destructivos, ya que generalmente se considera que es un acceso no autorizado ilegal para que lo haga, incluso si no daña nada. Después de que su ataque tenga éxito, puedes hablar de negocios.

La ley con respecto al acceso no autorizado a un servicio de computadoras en los Estados Unidos es muy vaga, no considera el daño causado o la intención de hacer daño, y técnicamente puede aplicarse a casi cualquier cosa. Esto puede impedir que demuestre su ataque, aunque parezca una cosa razonable.

    
respondido por el Alex Cannon 23.01.2018 - 21:00
fuente
0

realice un análisis en su sitio y descúbralo usted mismo. Los problemas de XSS son muy comunes. Puede obtener OSSIM, que es gratuito e incluye OPENVAS, un escáner de vulnerabilidades. Puede ejecutar OSSIM en Virtualbox u otro sistema de virtualización. Luego escanee la IP pública de su sitio web y obtendrá un informe completo.

    
respondido por el user251546 24.01.2018 - 01:20
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la diferencia entre RBAC y DAC / ACL? Comprensión de SSL de 2048 bits y cifrado de 256 bits