Frage:
Bittet mich diese E-Mail, ihnen 100 US-Dollar für Details zu einer Sicherheitslücke auf meiner Website als Betrug zu senden?
muszek
2020-04-08 23:35:00 UTC
view on stackexchange narkive permalink

Ich habe gerade diese E-Mail erhalten. Handelt es sich um eine Standardpraxis oder um einen Betrug?

Ich bin ein Sicherheitsforscher, der einen Dienst zur Identifizierung von Sicherheitslücken für eine kleine Gruppe privater Clients ausführt, und habe versehentlich einige Sicherheitslücken in Ihrer Infrastruktur gefunden.

Gegen eine geringe Gebühr werde ich Ihnen die Schwachstellendetails mitteilen (einschließlich POC, Screenshots und Lösungsvorschläge).

Paypal-Anweisungen:

  1. Empfänger : ANONYMISIERTE GMAIL-ADRESSE
  2. Bezahlen eines Artikels oder einer Dienstleistung (abgedeckt unter PayPal-Kaufschutz für Käufer)
  3. Betrag: 100 USD
  4. Fügen Sie einen Hinweis hinzu: [redigiert, mein Domain-Name]
    5. ol>

    Nachdem ich Ihre Zahlung erhalten habe, sende ich Ihnen innerhalb von 48 Stunden eine E-Mail mit allen Informationen zu Sicherheitslücken.

Wenn Sie die 100 US-Dollar senden würden (was Sie nicht tun sollten), würde die E-Mail, die sie zurücksenden (falls Sie überhaupt eine erhalten), * "lauten. Die Sicherheitsanfälligkeit ist wie folgt: Wenn ein Angreifer dem Websitebesitzer eine E-Mail im Folgenden sendet[...] wird er / sie ohne guten Grund 100 $ an den Angreifer senden "*
So ziemlich eine Standardpraxis für Betrug.
Siehe auch: https://security.stackexchange.com/questions/172466/is-demanding-a-donation-before-disclosing-vulnerabilities-black-hat-behavior
Dies scheint eher für "versehentlich" poliert.Die Vorauszahlung ist schlecht, aber wenn er nicht bemerkt hat, dass Ihre Website kein etablierter Kunde ist, hat er möglicherweise Nachforschungen angestellt und einen Bericht erstellt, bevor er festgestellt hat, dass er nicht bezahlt wurde.Die 48 Stunden lassen mich denken, dass es ein kleiner Grammatikfehler ist.Wenn Sie das zweite Komma entfernen, ist es eine Zusage, Ihren Bericht innerhalb von 48 Stunden nach Zahlungseingang zu senden.Der Begriff "Infrastruktur" macht mir Sorgen, er könnte alles von der Website bis zum Hosting-Unternehmen bedeuten.Und die Tatsache, dass er "einige" Schwachstellen hat, aber keine zeigt?Aber insgesamt wahrscheinlich Betrug.
Die Dinge, die mir seltsam vorkommen und mich denken lassen, dass dies wahrscheinlich ein Betrug ist: (1) im Voraus um Geld bitten (2) ** versuchen, die Zahlungsmethode zu diktieren ** (3) keine persönlichen Informationen über sich selbst angeben (Unterschrift)up for gmail ist kostenlos. Wenn er Ihnen einen Namen für sein Unternehmen und eine E-Mail von der Domain dieses Unternehmens gibt, sieht es besser aus.) (4) Nur sehr allgemeine Erwähnung von "einigen Schwachstellen";Ich würde erwarten, dass eine echte Sicherheitsperson Ihnen ein bisschen mehr erzählen kann - Anzahl der Schwachstellen, potenzielle Risiken, diese nicht zu beheben usw., ohne alle seine Verhandlungschips preiszugeben.
Wenn sie legitim, aber schlecht informiert sind, würde das Senden eines Links zu dieser Seite möglicherweise die Dinge klären und ihnen helfen, Ihnen zu helfen?Wenn sie Betrüger sind, würden sie vom Lesen dieser Seite profitieren?Ich weiß es nicht, ich frage mich nur
Ich wäre stark versucht, ein Gegenangebot zu senden: "Senden Sie mir die Details der Sicherheitsanfälligkeit in den nächsten 48 Stunden, und ich werde Ihren Erpressungsversuch nicht der Polizei melden."
Paypal ist kein effektives ** anonymes ** Zahlungssystem.Kontaktieren Sie Paypal und erzählen Sie ihnen davon.Sie haben ein begründetes Interesse daran, es zu zerquetschen.
@vsz Ich habe gelesen, dass sie die Informationen innerhalb von 48 Stunden nach Erhalt der Zahlung senden würden, nicht, dass das OP 48 Stunden Zeit hatte, um die Zahlung zu senden.
Wir sollten die 100 US-Dollar für Sie zusammenstellen, um unsere Neugier auf das zu befriedigen, was Sie erhalten.Ich wette, dass Sie eine tatsächliche Sicherheitsanfälligkeit erhalten, diese jedoch von * sehr * geringer Qualität ist und lediglich auf dummes automatisiertes Scannen zurückzuführen ist (z. B. auf Ihren sicheren Webserver, der TLS 1.0 unterstützt).
Sie sollten ihnen einen (gefälschten) Scheck über mehr als 100 US-Dollar schicken, den sie einlösen und die Differenz zurückschicken müssen.:) :)
@AnthonyGrist: Ja, Sie haben Recht, das ist eine wahrscheinlichere Interpretation.
Ich bin absolut schockiert, dass irgendjemand hier sogar die Vorstellung hat, dass dies nicht nur Betrug ist.Hat ** niemand ** hier das schon einmal erhalten?Ich bekomme mindestens drei- oder viermal pro Woche mehr oder weniger identische Spam-Mails.
Ich erhalte eine solche E-Mail für meine Website, die nichts anderes als statisches HTML ist (und gelegentlich PDF- oder Bilddateien, immer noch alle statischen Dateien).Es ist definitiv ein Betrug, wenn ich es bekomme. Wenn Sie also dasselbe bekommen wie ich, dann bekommen Sie auch einen Betrug.(Gleiches gilt, wenn Sie zufällige Angebote für SEO oder für ein Redesign erhalten, um effizienter zu arbeiten.)
Die seltsame Großschreibung von Wörtern steht im Einklang damit, dass sie von jemandem aus Indien geschrieben wurde.Entspricht das Ihren Erwartungen, woher es kommen soll?Der Schreibstil verrät sehr oft, woher der Schriftsteller kommt.
Hilft die Idee, dass ich es für 90 Dollar tun könnte?
@PeterMortensen: Welche seltsame Großschreibung?
Sieben antworten:
schroeder
2020-04-08 23:42:15 UTC
view on stackexchange narkive permalink

Dies ist sicherlich keine Standardpraxis . Selbst wenn diese Person ein legitimes Problem auf Ihrer Website gefunden hat, handelt es sich um eine Form der Erpressung.

Es gibt eine ordnungsgemäße "verantwortungsvolle Offenlegung", und professionelle "Sicherheitsforscher" fragen zunächst nicht nach Bargeld. Bug-Bounty-Programme gibt es aus einem bestimmten Grund.

Das Problem ist, dass Sie nicht wissen, ob die Sicherheitsanfälligkeit für Sie 100 US-Dollar wert ist.

Dies ist sehr, sehr wahrscheinlich ein Betrug , aber wenn Sie nicht mit einem legitimen Fachmann mit schlechten Kommunikationsfähigkeiten zu tun haben, können Sie nach Details fragen, z. B. wo Das Problem ist ("Infrastruktur" - das ist seltsam für eine Website) und alle Details darüber, wer sie sind und ein Beweis für ihre professionelle Arbeit in der Sicherheitsforschung.

Wenn sie die Emotionen verstärken oder die Erpressung verlängern, wissen Sie, dass es sich um einen Betrug handelt. Installieren oder öffnen Sie keine Dateien, die Sie erhalten. Wenn sie legitim sind, werden sie mit Ihnen zusammenarbeiten.

Um Ihnen eine Idee zu geben, bin ich kein professioneller Tester und mache keine Bug Bounties. Aber hin und wieder entdecke ich eine Sicherheitslücke in einer Site. Ich wende mich zuerst an das Unternehmen und frage nach der Person, die die Sicherheitslücken auf der Website mit einem 1-Satz-Überblick über das allgemeine Problem behandeln würde. Ich mache dies, um sicherzustellen, dass ich mit einer verantwortlichen Person sprechen kann und nicht mit einer nicht autorisierten Person, die die Informationen, die ich ihnen geben werde, missbrauchen oder misshandeln (oder nicht verstehen) könnte. Ich gebe ihnen auch den Beweis, wer ich bin, damit ich nicht als Betrüger rüberkomme.

Wenn ich mit der besten Person spreche, die ich kann, gebe ich die vollständige Aufschlüsselung mit meinem Prozess, um das Problem, URLs, Parameter usw. zu wiederholen, und den Grund, warum ich denke, dass es ein ist Besorgnis, Sorge. Ich beantworte alle Fragen, die sie stellen, aber ich erwecke niemals den Eindruck, dass ich brauche oder möchte, dass sie etwas mit Dringlichkeit tun. Ich lasse sie ihre Risikobewertung ausarbeiten. Das ist ihre Aufgabe. Es ist ihre Seite.

Ich bitte auch nicht um Geld, aber wenn ich es tun würde, wäre es, nachdem ich so viel wie möglich getan habe, um ihrem Team bei der Lösung zu helfen. Und ich würde nicht erwarten, Geld oder irgendeine Form von Belohnung zu bekommen, selbst wenn ich danach fragen würde.

Entweder hat die Site ein Bug-Bounty-Programm, das die Erwartungen und Beziehungen für alle Beteiligten definiert, oder die Site nicht, und ich helfe nur aus und hole vielleicht etwas daraus heraus oder nicht.

So würde sich ein Fachmann einer Site mit einer von ihm entdeckten Sicherheitslücke nähern.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/106604/discussion-on-answer-by-schroeder-email-send-me-100-for-details-on-a-Sicherheit).
Anonymous
2020-04-09 03:20:53 UTC
view on stackexchange narkive permalink

Ich bin mir nicht sicher, ob ich mich überhaupt mit dieser Person beschäftigen würde. Das klingt nach fischiger und grenzwertiger Erpressung. Es ist sogar denkbar, dass der Fehler nicht einmal existiert, aber er möchte Ihnen einen "Patch" senden, der eine Hintertür auf Ihrem Server installiert.

Bevor Sie sich mit dieser Person in Verbindung setzen (wenn Sie sich dazu entscheiden) Versuchen Sie, die Sicherheitsanfälligkeit selbst zu finden, indem Sie die Protokolle von Ihrem Webserver lesen und nach verdächtigen Aktivitäten wie Spuren von SQL-Injektionen suchen, die möglicherweise in den URLs angezeigt werden. Das wird langweilig. Ich würde also in den wenigen Stunden vor dem Senden dieser E-Mail nachsehen.

Wenn Sie über einige Skriptfähigkeiten verfügen, können Sie diese zum Parsen der Protokolldatei verwenden. Nützliche Bash-Befehle wären cut , awk und dergleichen, kombiniert mit sort und uniq (zum Beispiel zum Erstellen eines Liste eindeutiger URLs). Ich würde mich auch auf 401- oder 403-Fehler konzentrieren, die auf Versuche hinweisen, auf nicht zugelassene Seiten zuzugreifen. 500 Fehler auch.

Stellen Sie außerdem sicher, dass auf Ihrem Serverlike keine verdächtigen Dateien wie eine Web-Shell vorhanden sind.

Wenn Sie eine solche Datei finden, können Sie sie als Kriterium für verwenden Filtern Sie die Protokolle (sehen Sie sich die IP-Adresse an, die die Anforderung in derselben Zeile gestellt hat).

Obwohl dies eine Google Mail-Adresse ist, hat die andere Partei die Nachricht möglicherweise von zu Hause aus mit ihrem eigenen E-Mail-Client gesendet. Dann besteht die Möglichkeit, dass Sie die ursprüngliche IP-Adresse in den Mail-Headern finden.

Diese Person versteckt sich wahrscheinlich hinter einem Proxy oder VPN, aber einige Leute sind nur lieblos, faul und ungeschickt. Wenn Sie also die IP-Adresse erhalten, können Sie damit Ihre Protokolle filtern und ihren Spuren folgen.

Wenn er sagt "Ich habe versehentlich einige Schwachstellen in Ihrer Infrastruktur gefunden", ist das durchaus möglich. Wenn Ihre Website eine Verzeichnisliste zulässt, hat er möglicherweise vertrauliche Dateien gefunden, die nur durch Ausschneiden der URL herumliegen. Dann besteht die 'Lösung' darin, die Dateien herauszuziehen und Ihren Server besser zu konfigurieren. Suchmaschinen indizieren auf diese Weise viele Dateien, Dateien, die eigentlich nicht verfügbar gemacht werden sollten. Es gibt einige Abfragen, die Sie ausführen können, um sie zu finden. Sie werden als Dorks bezeichnet. Vielleicht ist der 'Sicherheitsforscher' (oder Skript-Kiddie) tatsächlich auf Ihre Website gestoßen, nachdem er einen Trottel ausgeführt hat, und er sucht nur nach schnellem und faulem Geld.

Versuchen Sie, sich selbst zu dumm zu machen. Geben Sie dies in Google ein: site: yoursite.com . Und prüfen Sie, ob in Google Seiten indiziert sind. Dies sollte nicht der Fall sein.

Dies ist für die Antwort nicht sehr relevant, aber "sort -u" ist normalerweise besser als "sort |"uniq`
@mypronounismonicareinstate für Lagerprotokolldateien mit Hashtabellen ist viel schneller, wie [dieses PHP-Skript] (https://github.com/0ki/shellscripts/blob/master/sortuniq).Beachten Sie auch, dass "sort -u" und "uniq" die Eindeutigkeit anhand ihrer Sortierreihenfolge bestimmen, d. H. "あ" wird als Duplikat von "い" betrachtet, wenn Ihre aktuelle Sortierung so etwas wie "en_US.UTF-8" ist.
Es ist viel zu einfacher, [Perl] (https://en.wikipedia.org/wiki/Perl) für die Filterung von Protokolldateien zu verwenden (z. B. Einzeiler für einfache Aufgaben).Es ist kein Zufall, dass eines der Backronyms "praktische Extraktions- und Berichtssprache" ist.
@mypronounismonicareinstate Aber `sort |uniq -c` könnte in Ordnung sein
xLeitix
2020-04-09 14:39:29 UTC
view on stackexchange narkive permalink

Dies kann Spam sein oder auch nicht (oder sogar Erpressung, wie einige Antworten behaupten), aber es klingt sicherlich auch nicht nach viel. Schauen wir uns die Fakten an:

  • Die Person gibt absolut keinen Hinweis darauf, dass tatsächlich ein Sicherheitsproblem vorliegt oder dass Sie sich darum kümmern würden, wenn es eines gäbe (nicht jedes theoretische Sicherheitsproblem ist ein praktisches Problem für jede Website), noch dass ihre Korrektur korrekt ist. In gewissem Sinne ist dieses "Angebot" analog zu jemandem, der Ihnen eine E-Mail sendet "Ich biete Dienste in der Domäne X an, sende mir 100 $ und ich werde Ihnen sagen, was diese Dienste sind" . Ich vermute, dass Sie in einer anderen Domäne eine solche Aufforderung innerhalb von Sekunden in den Papierkorb verschieben würden.
  • Der Betrag, den sie verlangen, ist Erdnüsse . Dies, zusammen mit der Tatsache, dass sie Ihnen nicht sagen, was das Problem ist, deutet stark darauf hin, dass alles, was sie "gefunden" haben, so trivial sein wird, dass niemand dafür bezahlen würde, wenn sie es Ihnen im Voraus sagen würden. Was Sie erhalten würden (wenn überhaupt - denken Sie daran, es kann auch einfach Spam sein und Sie hören nach dem Bezahlen nie mehr von ihnen), wäre wahrscheinlich ein Bericht über einen automatisierten Sicherheitsscanner und eine Handvoll allgemeiner Links. Nichts, wofür Sie normalerweise Geld bezahlen würden. Wenn sie ein ernstes Problem fanden und nicht triviale Informationen zur Behebung hatten, sagten sie Ihnen, um welches Problem es sich handelt, und boten an, es auf vertraglicher Basis zu beheben (und forderten natürlich viel mehr als 100 $). .
  • Unter der Annahme, dass dies in der Tat ein kleines Problem mit einer offensichtlichen Lösung ist, würde Ihnen jeder mir bekannte Sicherheitsforscher, der sich selbst respektiert, nur sagen (insbesondere, wenn Sie entweder eine Privatperson sind oder ein kleines Unternehmen vertreten, von dem ich annehme). Wiederum sind 100 $ Erdnüsse, was die Auftragnehmerpreise angeht, und sicherlich nicht genug Geld, um einen zwielichtig aussehenden Deal wie diesen abzuschließen. Wenn ich mir die E-Mail-Vorlage anschaue, gehe ich davon aus, dass nur automatisierte Scans von Websites ausgeführt werden und eine solche E-Mail generiert wird, wenn diese Tools irgendetwas melden. Wahrscheinlich weiß zu diesem Zeitpunkt noch nicht einmal der E-Mail-Absender selbst, ob dies etwas ist, über das sich tatsächlich jemand Sorgen machen würde.
  • Und dann gibt es natürlich einige der üblichen Anzeichen für Spam - unaufgefordertes Angebot, generisches Google Mail Adresse, wichtig klingende, aber generische Ansprüche, Nutzung nicht traditioneller Zahlungsdienste (und keine Erwähnung von Verträgen, Rechnungen usw.), Vorauszahlung von Geld usw.

Alles in allem: Ignorieren Sie die E-Mail.

Die Menge, nach der sie fragen, sind Erdnüsse. Dies gilt nicht für eine große Anzahl von Menschen auf der Südhalbkugel.
@elsadek Das stimmt sicherlich.Trotzdem scheint mir 100 $ ein so seltsam niedriger Betrag zu sein, dass ich es als starkes Signal betrachte, dass die Informationen nicht wertvoll sind.Selbst wenn 100 $ für Sie ein erheblicher Geldbetrag sind, würden Sie nicht nur 100 $ (statt beispielsweise 5000 $) verlangen, wenn Sie der Meinung sind, dass Ihre Informationen oder Dienstleistungen tatsächlich wertvoll sind.
@elsadek Und doch * ist * es Erdnüsse, sogar noch.Bug Bounties sind einer der Bereiche, in denen der Standort keine Rolle spielt.Wenn Sie beispielsweise eine RCE-Sicherheitsanfälligkeit in AWS gefunden haben, erhalten Sie unabhängig von Ihrem Wohnort einen großen Geldbetrag.Unabhängig von den Gehältern in Ihrer Region ist der "Wert" von Sicherheitslücken weltweit ziemlich gut etabliert.Wenn ich eine kritische Sicherheitslücke in einem Schlüsselaspekt der Websysteme eines Unternehmens finde, ist es vernünftig, mehr als 100 US-Dollar zu verlangen.Ich kann das natürlich nicht verstehen, aber der Wert ist immer noch ziemlich gut etabliert
Das OP liefert nicht genügend Details, um die Kritikalität seines Systems zu beurteilen.Dieser Kopfgeldjäger hätte mit derselben E-Mail etwa 100 andere Opfer anvisieren können. Dies könnte eine bessere Gewinnstrategie sein, als ein einzelnes Opfer mit einem unsicheren Kopfgeld von 5000 US-Dollar anzugreifen.
arp
2020-04-09 23:47:52 UTC
view on stackexchange narkive permalink

Zusätzlich zu all den Anzeichen von "Betrug", die Sie bemerkt haben, ist es unwahrscheinlich, dass die Ergebnisse von Wert sind, auch wenn dieses Angebot legitim ist (wenn auch mit zwielichtigen bis illegalen Marketingmethoden). Für 100 US-Dollar erhalten Sie wahrscheinlich die Ergebnisse eines automatisierten Port-Scans, bei dem die Protokollantwortzeichenfolgen nur mit Mustern auf mögliche Schwachstellen abgestimmt werden, ohne dass tatsächliche Tests durchgeführt werden.

Zum Beispiel ließ ich einmal einen Kunden deutlich mehr als 100 US-Dollar für einen "professionellen" Scan bezahlen, der absurde Ergebnisse enthielt. Meine Antwort beinhaltete

Ihr Sicherheitsanalyst hat Ihnen mitgeteilt, dass das Konto 'foo' ein bekanntes Standardkennwort hat. Auf dem System befindet sich kein Konto "foo".

Ihr Sicherheitsanalyst hat Ihnen mitgeteilt, dass Ihr "Bar" -Dienst für die Verwendung einer schwachen Verschlüsselungsmethode konfiguriert wurde. Wir haben diese Verschlüsselungsmethode vor zwei Versionen entfernt.

Möchten Sie, dass ich die verbleibenden Elemente im Sicherheitsbericht weiter durchführe, oder reicht dies aus, um Ihre Bedenken auszuräumen?

Der ursprüngliche Beitrag enthielt dieses wichtige Element:

Ich bin ein Sicherheitsforscher, der einen Dienst zur Identifizierung von Sicherheitslücken für eine kleine Gruppe privater Clients ausführt, und habe versehentlich einige Sicherheitslücken in Ihrer Infrastruktur gefunden.

Es ist also theoretisch möglich, dass sie beim Scannen eines Problems von einer Entität, mit der Sie Geschäfte machen, ein Problem auf Ihrem System gefunden haben. In diesem Fall wäre es durchaus sinnvoll, den Kunden, mit dem die Sicherheitsfirma zusammengearbeitet hat, um eine Überweisung zu bitten.

Martin Zeitler
2020-04-10 05:58:04 UTC
view on stackexchange narkive permalink

Alles, was man wissen muss, ist whoever@gmail.com . Dies ist also keine registrierte Firma oder Domain. Dieser Typ kann es sich nicht einmal leisten, eine Domain zu registrieren und einen Mailserver zu betreiben, sondern spielt den "Sicherheitsforscher", der nicht möchte, dass seine Anmeldeinformationen überprüft werden, offensichtlich aus "Sicherheitsgründen".

"innerhalb von 48 Stunden "bedeutet im Allgemeinen, dass dies ein" zeitlich begrenztes Angebot "ist; Ein ziemlich billiger Marketing-Trick.

Viele Betrügereien spielen mit den Ängsten der Menschen. Sehen Sie einfach, was derzeit in der realen Welt vor sich geht ... und es gibt auch Betrug, der die Vorstellungskraft, die Erwartungen und die unerfüllten Wünsche der Menschen beeinflusst.

Die Lösung für das nicht existierende Problem: Als Spam markieren & melde dich bei PayPal.
Alternativ kannst du ihn auch ein wenig spielen. z.B. Sagen Sie Betrügern einfach OK.

Diese Frage passt wahrscheinlich besser zu Psychologie & Neuroscience...
, da sie Ihre nicht gescannt haben Website für Sicherheitslücken, aber Ihre Psyche.

Lesen Sie im Vergleich zu diesem versuchten Betrug (ohne den geringsten Zweifel) über "Verantwortliche Offenlegung von Sicherheitslücken", um ein besseres Verständnis zu erhalten, wie " Standardpraktiken "könnten gleich aussehen.

Und doch verwenden viele Sicherheitsforscher gmail.com, was aus vielen Gründen eine schlechte Idee ist (jede kostenlose E-Mail ist eine schlechte Angelegenheit und Google hat bereits so viele Daten über Sie).Aber in der Tat hätte sich jemand, der echt ist (und um Geld bittet), ** identifiziert **, um zu beweisen, dass er eine echte Person mit Anmeldeinformationen ist, die Sie googeln können, und kein anonymer Betrüger.Dieser besteht den Geruchstest nicht.Es erinnert an diese Mafia-Filme, wenn sich eine Gruppe starker Männer einem Geschäftsinhaber nähert und sagt: "Schöner Ort, den Sie haben, wäre eine Schande, wenn jemand Ärger verursacht hätte, nicht wahr?"Und dann das Verkaufsgespräch.
Zu * "Sag einfach OK zu Betrügern." *: Es gibt auch [James Veitchs] (https://www.youtube.com/watch?v=_QdPW8JrYzQ) [TED] (https://www.youtube.com/watch? v = C4Uc-cztsJo) [Gespräche] (https://www.youtube.com/watch?v=a2edxiz2M9g).
@PeterMortensen Das habe ich mir schon angesehen.Es ist immer noch bemerkenswert, wie man sie mit ihren eigenen psychologischen Tricks trollen kann (falls man Freizeit zur Verfügung hat und nichts Besseres zu tun hat).
Don King
2020-04-11 20:15:19 UTC
view on stackexchange narkive permalink

100% Betrug.

Wenn Sie sich Sorgen machen, sollten Sie sich an ein professionelles Unternehmen wenden, das eine Sicherheitsüberprüfung auf Ihrer Webseite durchführen kann.

Mein Rat ist, alle von Ihnen nicht angeforderten Angebote vollständig zu ignorieren.

elsadek
2020-04-10 20:15:57 UTC
view on stackexchange narkive permalink

Grundsätzlich vertrauen wir keinem Fremden, der um Belohnung gegen einen freundlichen Service bittet, oder?

Das heißt, wir haben nicht genug Details, um das zu beurteilen Kritikalität Ihres Systems, und entscheiden Sie dann, ob die 100 US-Dollar der Juste Prix sind oder nicht.

Wenn Sie eine weit verbreitete (OpenSource-) Software wie CMS oder ERP ausführen, ist dies eine Prämie Der Jäger hätte mit derselben E-Mail etwa 100 andere Opfer anvisieren können. Dies könnte eine bessere Gewinnstrategie sein als das Anvisieren eines einzelnen Opfers mit einem unsicheren Kopfgeld von 5000 US-Dollar.

In diesem Fall sollten Sie Ihre Installation überprüfen, wenn Es verfügt über die neuesten Updates und Patches. Sie können auch die Schwachstellendatenbank des Anbieters überprüfen. Hoffentlich hat der Kopfgeldjäger keinen 0-Tage-Exploit, den er ausnutzt.

Wenn das Zielsystem eine maßgeschneiderte Lösung ist Je nachdem, welches Team Sie haben, kann es schwieriger sein, mit den Dingen umzugehen.

Das Englischniveau der E-Mail ist ziemlich anständig, obwohl es keine implizite Bedrohung gibt. Ich würde b e besorgt über seine Ernsthaftigkeit.

Es braucht keine buchstäbliche Bedrohung;Es reicht bereits aus, um eine vermutete Bedrohung zu schaffen.In diesem Fall ist es ähnlich: entweder jetzt bezahlen oder später auf Probleme stoßen ... was bereits ein subtiler Zwangsversuch ist.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...