Prodotti e Servizi PRODOTTI & SERVIZI

Attenzione agli “esperti” che ti bombardano con segnalazioni di bug

Scritto da
16 Febbraio 2021
Products & Services Vulnerabilità

Siamo tutti inorriditi dai truffatori che approfittano delle paure delle persone per vendere loro prodotti di cui non hanno bisogno o, peggio ancora, prodotti che non esistono e non arrivano mai.

La cosa peggiore, forse, sono i truffatori che offrono prodotti e servizi che fanno esattamente l’opposto di ciò che affermano: far pagare le loro vittime semplicemente per renderle ancora più facili da frodare in futuro.

Esempi informatici ben noti di questo tipo di frode includono:

  • Falso supporto tecnico per falsi incidenti. Si tratta di popup web o telefonate che all’improvviso ti segnalano “virus” sul tuo computer e ti convincono ad “avvalerti” dei servizi di un “esperto” online per rimuoverli. Spesso le vittime sono persone sole, vulnerabili e particolarmente mal posizionate per far fronte ad una perdita finanziaria. I truffatori prendono di mira tali individui ripetutamente e, in alcuni casi, con un’aggressività sempre crescente.
  • False truffe con consegne a domicilio. Si tratta in genere di e-mail o SMS (messaggi di testo) che dicono che una consegna è stata ritardata. Grazie alle restrizioni del coronavirus, molte più persone fanno affidamento sulle consegne a domicilio rispetto a un anno fa, quindi è abbastanza normale fare clic sul collegamento che ti è stato fornito. Sfortunatamente si finisce su un sito Web falso che chiede la password o i dettagli della carta di credito.
  • Notifiche di acquisto false. In questo caso Apple è uno dei marchi più presi di mira, insieme ad altri nomi conosciuti come Amazon e Netflix. Dato che l’importo della transazione è spesso piuttosto modesto, sembra abbastanza innocuo contestarlo online, utilizzando il pratico ma fraudolento collegamento di phishing incluso.
  • False chiamate di avviso di frode. Il vishing, o phishing tramite voce, è una variante delle precedenti truffe per acquisti falsi, in cui una voce robotizzata avvisa di un oggetto che non hai acquistato e ti offre la possibilità di “premere 1 per contestare l’acquisto”. Finisci per parlare con un call center dove i truffatori con il dono della parlantina ti convincono a comunicare i dati della carta di credito per “correggere” un errore che non si è mai verificato.
  • Avvisi di account scaduti falsi. Come gli avvisi di consegna falsi, questi vengono comunemente ricevuti tramite SMS, quindi i truffatori devono solo fornire una breve nota. Gli account coinvolti sono spesso quelli che ti aspetti di pagare automaticamente, come bollette telefoniche e utenze mensili, e i truffatori mirano ad attirarti su un sito Web falso per frodarti.

Attenzione al “beg bounty”

Bene, c’è una new entry nel mondo dei tecno-scammers: la segnalazione di bug fasulli!

Il ricercatore di Sophos Chester Wisniewski li ha soprannominato “beg bounties”, perché sono messaggi non richiesti che chiedono la tua attenzione e ti suggeriamo di leggere il suo eccellente articolo per scoprire di cosa si tratta:

Probabilmente sai che molte aziende oggigiorno hanno un modo per gestire i cacciatori di bug – alcuni dei quali si guadagnano da vivere scoprendo falle di sicurezza nei siti Web e nel software aziendali – che segnalano i problemi che hanno riscontrato e vengono pagati per il loro lavoro (questa procedura viene chiamata “bug bounty”).

Per quanto possano sembrare affidati al caso, i programmi di “bug bounty” di solito seguono un formato ben strutturato e i cacciatori di bug professionisti lavorano con attenzione entro limiti ben definiti mentre cercano le falle.

L’idea delle cosiddette politiche di divulgazione responsabile (puoi trovare le istruzioni per l’invio di bug a Sophos sul nostro sito Web principale) è che danno ai cacciatori di bug una quantità realistica di libertà di esplorare i bug senza essere perseguiti con l’accusa di hacking illegale.

Allo stesso tempo, i programmi di bug bounty hanno confini sufficientemente ben definiti da non offrire una scorciatoia che potrebbe essere usata da criminali la cui intenzione non è quella di aiutare a risolvere i problemi ma di trovarli e sfruttarli a proprio vantaggio.

Ad esempio, se vuoi andare a caccia di bug per conto di Sophos, devi accettare, tra le altre cose:

  • Che non modificherai o distruggerai i dati che non ti appartengono, il che significa che agirai online in modo rispettoso dell’ambiente, proprio come un coscienzioso escursionista che segue le linee guida che gli impongono di “scattare solo foto e lasciare solo impronte”.
  • Che farai uno sforzo in buona fede per evitare violazioni della privacy così come la distruzione, l’interruzione o l’isolamento dei nostri servizi, il che significa che farai del tuo meglio per dimostrare la tua tesi senza danneggiare nessun altro.
  • Che [ci] consentirai di correggere una vulnerabilità entro un lasso di tempo ragionevole prima di divulgare pubblicamente il problema identificato, il che implica che la tua motivazione, oltre a ricevere una taglia, è migliorare la sicurezza e chiudere i bug piuttosto che scoprire gli exploit per abusarne.

Nota che l’idea del bug bounty non è semplicemente quella di mostrare che puoi rompere qualcosa se vuoi, come un vandalo di strada che ha capito che può distruggere una pensilina con una mazza da baseball, ma di trovare e documentare i difetti reali con un rigore sufficientemente scientifico da poter essere rintracciati e risolti.

La comunità professionale dei cacciatori di bug, quindi, è diventata un gruppo in gran parte autoregolato.

Se non hai il giusto livello di esperienza, troverai difficile ottenere un risultato di qualità sufficiente a rendere le tue prove ripetibili e affidabili; se non hai il giusto livello di moralità, troverai comunque difficile giocare abbastanza correttamente da qualificarti per la ricompensa, e sarà davvero difficile essere accettato dalla comunità.

Sconcertali con discorsi ipertecnologici

I cosiddetti ” beg bounty hunters” di Chester non si preoccupano di niente di tutto questo, perché il loro modus operandi è più o meno questo:

  • Trova il contatto tecnico di un’azienda o un sito web.
  • Produci del testo con paroloni ipertecnologici che afferma di aver trovato una vulnerabilità, possibilmente supportata da una descrizione spaventosa copiata e incollata da uno strumento di scansione di sicurezza (o anche solo da Wikipedia o da un sito Web di comunità simile).
  • Spedisci il testo ipertecnologico, insieme a una sorta di richiesta, sottilmente camuffata, di contratto di lavoro per “aggiustare” la “vulnerabilità”, o di pagamento per “trovare” il “bug”, o entrambi.

Gli esempi nell’articolo di Chester ti danno una buona idea del modo nebuloso in cui operano questi bluff.

Alcuni di questi opportunisti, per essere scrupolosamente corretti, potrebbero sinceramente considerarsi cacciatori di bug con abilità sufficienti per aiutarti a proteggere meglio la tua rete, e potrebbero non essere effettivamente ciarlatani o criminali che operano con malizia premeditata.

Uno degli esempi di “beg bounties” che Chester ha sezionato, ad esempio (ne abbiamo ricevuto uno noi stessi), ti dice che hai una falla di sicurezza nel tuo sito web, ma sostiene la sua affermazione con il copia e incolla di testi trovate in rete su una presunta tecnologia di sicurezza che si applica ai server di posta elettronica.

Quindi l’interpretazione più generosa di questo report sul “beg bounty” è che il mittente è tecnicamente un incompetente quasi senza limiti e non dovrebbe essere autorizzato a svolgere lavori di sicurezza informatica nei pressi della tua rete.

Cosa fare?

Ecco il consiglio di Chester:

  • Non rispondere a offerte non richieste di “riparare” la tua rete. Tratta questi ciarlatani come i falsi truffatori del supporto tecnico che abbiamo menzionato sopra, che ti chiamano all’improvviso e ti costringono ad accettare e a pagare per un “aiuto” di cui non ti puoi fidare e di cui non hai bisogno.
  • Contatta un’azienda locale affidabile per valutare i tuoi punti deboli in materia di sicurezza. Cerca un team che lavorerà con te per aiutarti a migliorare la sicurezza della tua azienda a partire dalle basi.

Dopotutto, se c’è del vero in un presunto bug di sicurezza che ti ha segnalato un autoproclamato cacciatore di taglie, una società affidabile di test di sicurezza e penetrazione dovrebbe trovarlo e aiutarti a risolverlo correttamente.

Ma se la presunta vulnerabilità è una spazzatura, un partner affidabile per la sicurezza informatica lo scoprirà e ti impedirà di sprecare denaro.

L’autore

Naked Security es el blog oficial de Sophos en inglés en el que se cometan las últimas noticias sobre ciberseguridad.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *