Seriösa buggjägare får kriminella efterföljare

Under flera år har företag erbjudit så kallade bug bounties, en slags hittelön för den som kan hjälpa till att identifiera skadlig kod.

Seriösa buggjägare får kriminella efterföljare
“Beg bounties” innebär att oseriösa aktörer skickar fejkade felrapporter med betalningskrav.

För hackare som funnit fel och sårbarheter har belöningen ibland varit stor.

Som så ofta får den här typen av företeelser sina mindre nogräknade efterföljare. IT-säkerhetsföretaget Sophos har funnit ett växande hot i form av oseriösa och cyberkriminella aktörer som skickar mer eller mindre fejkade felrapporter med betalningskrav – ”beg bounty”. Måltavlan är ofta mindre företag som med begränsad kunskap ska skrämmas till att betala.

Beg bounties möjliggörs av miljontals dåligt säkrade webbplatser där ägarna saknar kunskap och resurser att se igenom oseriösa felrapporter.

– Utvecklingen följer mönstret där cyberkriminella är opportunister. I det här fallet ser de en ny möjlighet att spela på rädsla och okunskap. E-postmeddelandet som skickas innehåller ofta en rapport som pekar på falska buggar och felkonfigurationer. För den oinvigde kan det förstås se allvarligt ut men man bör inte inleda någon slags dialog med avsändaren. Så här långt har vi inte funnit någon beg bounty som motiverar en betalning, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Ta det som en varning – men betala inte
Den som får e-post där avsändaren vill ha betalt för någon form av fel- eller sårbarhetsrapport bör inte betala men däremot ta det som en varning. Det är ett tecken på att webbtjänstens eller webbapplikationens säkerhet sannolikt behöver ses över och förbättras. Om det krävs bör man ta hjälp av externa experter.

– Det här visar att företag ofta behöver tänka mer proaktivt och se till att de skydd man har kan stoppa så kallade exploit techniques. Det innebär att man inte bara fokuserar på själva sårbarheten utan också analyserar om olika metoder används för att utnyttja sårbarheten för att exempelvis exekvera skadlig kod på enheten eller servern, avslutar Sophos Per Söderqvist.