¿Está al tanto de los informes falsos de recompensas por errores de secuestro de clics? Si no, deberías estarlo. Este artículo lo pondrá al día y lo ayudará a mantenerse alerta.
¿Qué son los informes de recompensas por errores de secuestro de clics?
Si comenzamos por dividir el término en sus partes componentes, una recompensa por errores es un programa ofrecido por una organización, en el que las personas son recompensadas por encontrar y reportar errores de software. Las empresas suelen utilizar estos programas como una forma rentable de encontrar y corregir vulnerabilidades de software, mejorando así la seguridad de sus productos. También ayudan a generar buena voluntad con la comunidad de seguridad.
Para los cazarrecompensas (o hackers de sombrero blanco), tienen la oportunidad de ganar dinero y reconocimiento por sus habilidades.
El secuestro de clics es una técnica maliciosa utilizada para engañar a los usuarios para que hagan clic en algo que creen que es seguro, pero que en realidad es dañino. Por ejemplo, un pirata informático podría crear un botón falso que se parezca al botón “Me gusta” en un sitio de redes sociales. Cuando los usuarios hacen clic en él, es posible que, sin saberlo, les guste una página o publiquen contenido dañino. Si bien esto puede parecer una broma inofensiva, el secuestro de clics puede usarse para propósitos más maliciosos, como infectar la computadora de un usuario con malware o robar información confidencial.
Dado el daño potencial que puede causar el secuestro de clics, las grandes recompensas que reportan casos pueden ser muy beneficiosas para una organización.
Mi empresa no ofrece recompensas por errores. ¿Es necesario?
Como un informe de recompensas de errores puede traer beneficios financieros tanto para el cazarrecompensas como para la organización, el primero a menudo no esperará una invitación para buscar errores y adoptará un enfoque más proactivo. Esto significa que se le podrían enviar informes de recompensas incluso si no tiene un programa formal de recompensas por errores. Esta práctica, en la que un informe llega no solicitado con una solicitud de dinero, a menudo se denomina “pedir recompensa”.
¿Entonces, cuál es el problema?
Hay una tendencia creciente en los informes de recompensas de errores falsos porque las personas usan herramientas de escaneo para generar “problemas” y luego los señalan a tantas organizaciones como sea posible sin considerar el riesgo real.
Si bien algunos parecerán falsos, otros informes pueden ser lo suficientemente sofisticados como para estafar a una organización por miles de dólares. Y al ser víctima, no solo pagas una recompensa inmerecida; también le muestra al cazarrecompensas que tiene una experiencia limitada en seguridad, una debilidad que es muy probable que regrese y explote.
Por supuesto, cerrar las puertas e ignorar todos los informes de recompensas por errores no es la respuesta. Hay personas genuinamente buenas que están tratando de ayudar, y su descubrimiento puede ahorrarle a su negocio mucho dolor y gastos.
Entonces, ¿cómo sabe si un informe de recompensa por errores es genuino, especialmente si no es un profesional de seguridad o no tiene un equipo de seguridad?
¿Cómo identificar un informe falso de recompensas por errores de secuestro de clics?
Cuando aparecen dichos informes de personas que se posicionan como expertos en seguridad, puede ser difícil determinar qué es real y qué es falso, pero hay empresas que pueden realizar revisiones de informes de recompensas por errores para brindarle esa tranquilidad. Esto lo ofrecen ciertos proveedores de escaneo de vulnerabilidades, quienes, como parte de su servicio, también ejecutarán una vigilancia continua sobre sus sistemas para identificar, analizar y remediar las vulnerabilidades críticas más rápido.
Intruso, que ofrece dicho servicio y ha estado ayudando a los clientes a descubrir informes falsos de recompensas por errores de secuestro de clics durante años, ha visto un aumento en los casos recientemente. Hace apenas unas semanas, uno de sus Vanguardia los clientes fueron notificados de un “informe de vulnerabilidad” anónimo. El reportero afirmó poder eludir sus protecciones contra el secuestro de clics utilizando JavaScript disponible públicamente, pero gracias al profundo conocimiento del equipo de Vanguard de los sistemas del cliente, pudo descartar el informe como falso muy rápidamente.
También hay algunas cosas que puede tener en cuenta para detectar usted mismo un informe falso:
- Relevancia para su situación. Si se trata de un informe de recompensas de errores de alta calidad, se referirá a un sistema, página o programa que utiliza su organización y será específico en sus detalles.
- Explicación del impacto. Un verdadero cazarrecompensas de errores se habrá esforzado por su recompensa y podrá demostrar que la vulnerabilidad que ha encontrado es más costosa para usted que su “tarifa”. Cuanta más información puedan proporcionar sobre el impacto de la vulnerabilidad tanto en términos de tamaño como de implicaciones para su sitio web y organización, mejor.
- Estructura del informe. Es muy probable que alguien que ejecuta un correo masivo con informes de recompensas de errores falsos use una plantilla para sus informes y puede usar términos genéricos que son irrelevantes para su negocio.
- Condiciones de pago. Si un cazarrecompensas solicita el pago por adelantado sin proporcionar ningún detalle de sus hallazgos, es una señal de alerta. Puede responder diciendo que no puede ofrecer una recompensa sin ver primero el informe y ver si responden, o puede obtener la ayuda de un experto como Intruder que le aconsejará sobre el mejor curso de acción.
- Cumplimiento de sus políticas. Mire la configuración de un buzón de correo de seguridad específico e introduzca una política a través de un archivo de seguridad.txt que establece que solo debe revisar los informes de recompensas enviados a esa dirección.
- Imitadores. Otra buena forma de identificar una recompensa por mendicidad es buscar instancias en línea donde otras compañías estén recibiendo los mismos informes. Un informe genuino de recompensas por errores será exclusivo de sus sistemas y situación.
Ser víctima de un informe falso de recompensas de errores podría hacerle perder dinero y exponerlo a una avalancha de nuevos informes falsos, o peor aún, ataques, en el futuro. Evite tales problemas teniendo a su lado un escaneo automatizado continuo y un equipo de expertos profesionales en seguridad, de una compañía como Intruso. Su capacidad para profundizar y validar las debilidades potenciales podría tener un gran impacto en su negocio.