web-dev-qa-db-ja.com

ウェブサイトのセキュリティ欠陥に関するメールを受け取りました

Techsupport @ websitename。com(かなり一般的なメール)宛てに、私のWebサイトなどにセキュリティ上の欠陥があるというメールを受け取りました。

私の最初の反応は、これは詐欺であるというものでした。 (どのように/なぜ彼らは私たちのサイトを見つけたのか。)

しかし、彼らは(今のところ)お金を探しているようには見えず、Gmailアカウントからもメールを送っていました(私には不思議で、スパムは通常奇妙なドメインから送信されていました)。

全体的な執筆は明らかに十分な教育を受けていませんが、通常ほど悪くはありません。

メールアドレスもゲーマーアドレスのように見えました(変な名前と数桁)

これはメールです:

こんにちは、

'websitename。com'にWebアプリケーションの脆弱性[XSS]が見つかりました。これにより、攻撃者がアカウントの乗っ取りや、Webの改ざん(サイト)、ポートスキャンなどの悪意のあるものなどの認証されていないタスクを実行する可能性がありますサーバーをインターネット上の他のサーバーに接続したり、Webサイトを使用してランサムウェアを拡散したりする可能性があります。このバグはできるだけ早く修正する必要があります。

責任あるセキュリティ研究者として、私はバグを公開せずにこのメールを直接あなたに送信します。そのため、Webサイトのセキュリティが心配で、このバグの詳細情報と概念実証が必要な場合は、メールで私に連絡してください- email @ gmail.com

喜んでお知らせします-バグを報告したことに対する感謝の印として、報酬(バグ報奨金)/ Swagを提供しますか?

ありがとうございました、

-(異音)名前

斜体プライバシーのために変更されました

質問:

これは詐欺師がする典型的なことですか?

もしそうなら、彼らが何を手に入れようとしているのか、さらに情報を要求する電子メールに返信するリスクは(もしあれば)どのようなものになるでしょう。

一方、もしそれが正当な「責任あるセキュリティ研究者」であるならば、私はどのような質問をして調べるべきでしょうか。

57
WELZ

TL; DR:それはおそらく意図的であり、詐欺ではなく、単に不十分に書かれています。

私はこれに基づく詐欺の種類を知りません。確かに、Webサイトの脆弱性(およびそれらを悪用する潜在的な脅威)の知識に基づいて、Webサイトの所有者を金銭で脅す試みがありましたが、ここではそうではありません。

非常によく書かれた開示メールではありません。私は確かに以前にも脆弱性に遭遇しました(明らかに、許可を与えられていないサイトでそれらを悪用しようとすることは違法になりますが、悪用を試みなければ明らかなものもいくつかあります)、同じ目的でメールを送信しました上記の著者ですが、最初のメールですべての詳細を提供するようにしています。 I want助けて。私はしたくないメール領域で前後にバウンスします。

それが私である場合、詳細を尋ねます。どのページ(1つまたは複数)に脆弱性が含まれているか、どのパラメーターが挿入可能であるか、そして概念実証を共有できるかどうかです。 XSSに慣れていない場合は、 脆弱性のOWASPページ を読むことをお勧めします。これは両方ともvery共通であり、状況によっては重要な場合があります。 XSSの一般的な概念実証(PoC)は、あなたやあなたのサイトにとって危険ではありませんが、サイトのホスト名、セッションクック、または数値1だけを含むJavaScript警告ボックスをポップアップするようなものを実行します。それらのいずれも、悪意のある攻撃者couldがサイトでJavaScriptを実行していることを示しています。これは、サイトのセキュリティに重大な影響を及ぼします。

一部が指摘したように、彼らがそれを「おかしな」それを再生することは報酬/支払いを探しているという情報の欠如も可能性があります。明らかに、サイトに公開されたバグ報奨金がない場合は、その義務はありません。

102
David

詳細が不足しているため、一種の大量メール送信である可能性がありますが、詐欺ではないようです。たぶん、お金が必要な人がいて、Nessusをたくさんのサイトで運営していて、それぞれから小さな報酬を求めているのでしょうか。

Nessus(または他のスキャナー)を自分で実行して確認し、その人に連絡して詳細を尋ねます。バグの報酬に関する彼の質問に正直に答えてください。あなたがバグ報奨プログラムを実行し、彼がそれを見つけた場合、彼は彼の報奨を得るべきです、それがプログラムの目的ですよね?同意しない場合は、同意しないことを説明しますが、とにかく彼のヘッドアップに感謝しています。

36
Tom

これは、恐怖のマーケティングまたは恐怖の訴えと呼ばれます。これは、fearactionのトリガーとして使用するマーケティング手法です。

https://en.wikipedia.org/wiki/Fear_appeal

電子メールには、3恐怖の訴えの基本的な段階が含まれています。

  1. リスクを提示します。
  2. リスクに対する脆弱性を提示します。
  3. 保護措置を提案します。

それは一般的に非倫理的であると考えられています。

このメールは恐怖を使って応答を得ようとする未承諾の試みなので、私はこの事実を指摘しているだけです。これは、送信者が問題の詳細を完全に省略したという事実です。あなたは彼らに連絡して応答を得なければなりません、そして彼らは彼らが感謝のトークンを期待することを既に述べました

詐欺師釣りforvictimsの場合、最初にqualify可能なターゲットのリスト。彼/彼女の詐欺には、アクションのトリガーとしてfearが含まれます。応答すると、fearに反応する人物としての資格があります戦術。

それは可能性が高いです彼らは問題の深刻度tradeができるまでエスカレートしますセキュリティの欠陥についての詳細を確認してください。彼/彼女はおそらく情報のためにビットコインによる支払いを要求するでしょう。

真のプロフェッショナルセキュリティコンサルタントがfull連絡先の詳細、郵送先住所を提供したコンサルティングサービスの電話番号。彼らはまた、彼らのサービスの利点について言及しているでしょう。一方、このメールでは、リスクについてのみ言及しています応答していません。

このメールを処理する最善の方法は、creditableセキュリティコンサルタントに連絡して、クレームを調査するために雇うことです。

18
Reactgular

それは詐欺である必要はありませんが、とにかくあなたに連絡した人を信用しません:

  • 彼らは脆弱性を発見したことを宣言しますが、少しでも証拠を提示しません
  • 彼らはあなたが危険にさらされるには十分に悪いと言いますが、彼らに連絡するまであなたを暴露したままにすることを選択します
  • 彼らは何かを提供する前に報酬について尋ねます

明らかに、あなたはあなたのオンラインセキュリティをそれらの人々に任せたくありません。彼らにこの脆弱性の手助けをさせれば、彼らは今よりもあなたのシステムについてより多くを知るでしょう。彼らのサービスが必要ないと判断した場合、彼らが見つけた次の脆弱性がエクスプロイト市場に到達しないことをどのようにして知るのですか?

もしあなたのウェブサイトが商業的価値があるなら、私は間違いなくあなたの会社のセキュリティ専門家、おそらくあなたのホスティングプロバイダーに助けを求めるか、セキュリティ監査を行うためにより信頼できる人を雇うでしょう。

6

SSLの脆弱性があると主張する同様の電子メールが私のクライアントの1つに送信され、修正の申し出がありました。このクライアントはSSLを使用しないため、その場合は明らかに詐欺でした。このタイプのメールがいくつか浮かんでいます。

4
John

メールを書いた人が本当にあなたのインターネットサービスに過度にアクセスする能力を持っていることを示す何らかの手段があるかどうか尋ねて返答することが最善のアプローチだと思います。

非破壊的なデモンストレーションの目的でのみサービスを悪用する許可を彼に与えることができます。何も害を及ぼさない場合でも、これを行うことは一般に違法な不正アクセスであると考えられているためです。彼の攻撃が成功した後、あなたは商売を話すことができます。

米国のコンピュータサービスへの不正アクセスに関する法律は非常に曖昧であり、害を及ぼすことや害を及ぼすことを意図していないため、技術的にほとんどすべてに適用できます。これは、妥当な行動のように思われる場合でも、彼が攻撃を実演することを妨げている可能性があります。

2
Alex Cannon

あなたのサイトでスキャンを実行し、自分で見つけてください。 XSSの問題は非常に一般的です。 OSSIMは無料で入手でき、脆弱性スキャナーであるOPENVASが含まれています。 Virtualboxまたは別の仮想化システムでOSSIMを実行できます。次に、ウェブサイトのパブリックIPをスキャンすると、完全なレポートが表示されます。

0
JetJaguar