Seriösa buggjägare får kriminella efterföljare
Digitalisering & IT
Så kallade bug bounties har under flera år erbjudits av företag. Det är en slags hittelön för den som kan hjälpa till att identifiera skadlig kod. För hackare som funnit fel och sårbarheter har belöningen ibland varit stor. Som så ofta får den här typen av företeelser sina mindre nogräknade efterföljare.
IT-säkerhetsföretaget Sophos har funnit ett växande hot i form av oseriösa och cyberkriminella aktörer som skickar mer eller mindre fejkade felrapporter med betalningskrav – ”beg bounty”. Måltavlan är ofta mindre företag som med begränsad kunskap ska skrämmas till att betala.
Någonting är fel
Läs vidare – starta din prenumeration
- Strategiska artiklar med tips och analyser.
- 6 fullmatade magasin årligen.
- Tillgång till premiumnyheter på vdtidningen.se.
- 100 procents fokus på vd-rollen.
Beg bounties möjliggörs av miljontals dåligt säkrade webbplatser där ägarna saknar kunskap och resurser att se igenom oseriösa felrapporter.
– Utvecklingen följer mönstret där cyberkriminella är opportunister. I det här fallet ser de en ny möjlighet att spela på rädsla och okunskap. E-postmeddelandet som skickas innehåller ofta en rapport som pekar på falska buggar och felkonfigurationer. För den oinvigde kan det förstås se allvarligt ut men man bör inte inleda någon slags dialog med avsändaren. Så här långt har vi inte funnit någon beg bounty som motiverar en betalning, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.
Den som får e-post där avsändaren vill ha betalt för någon form av fel- eller sårbarhetsrapport bör inte betala men däremot ta det som en varning. Det är ett tecken på att webbtjänstens eller webbapplikationens säkerhet sannolikt behöver ses över och förbättras. Om det krävs bör man ta hjälp av externa experter.
– Det här visar att företag ofta behöver tänka mer proaktivt och se till att de skydd man har kan stoppa så kallade exploit techniques. Det innebär att man inte bara fokuserar på själva sårbarheten utan också analyserar om olika metoder används för att utnyttja sårbarheten för att exempelvis exekvera skadlig kod på enheten eller servern, avslutar Per Söderqvist.
Läs mer om beg bounties här
