Intigriti ekibi yakın zamanda, kötü niyetli aktörlerin meşru beyaz şapka korsanları olarak poz verdiği, hedeflenen şirketleri iyi niyetle gerçekleştirildiğine inanmaya aldığı sektör genelinde trend olan bir istismar senaryosu gözlemledi.
Kötü aktörler her zaman, herhangi bir sektördeki sistemi kişisel kazanç için kullanmaya çalışacaktır. Intigriti olarak, müşterilerin sadece meşru güvenlik araştırmalarının bunu yapmasını sağlayarak bu manzaraya gitmelerine yardımcı oluyoruz. Uzman Triyaj ekibimiz, hileli raporları ve eylemleri tanımlar ve filtreler, işletmelerin gerçek tehditlere ve güvenlik duruşlarını güvenle artırmaya odaklanmasına izin verir.
Beyaz şapkalı bilgisayar korsanları uygun şekilde kullanıldığında paha biçilmez olsa da, bilgisayar korsanları uygun doğrulama ve güvenilirliğe sahip olmadığında sorunlar ortaya çıkar.
Comied ‘Bego’ avcılık, dolandırıcılar hedeflenen uygulamalara ve platformlara görünüşte hassas belgeleri toplar ve yükler, ancak o zaman bu verileri sistemlerinde sızdırılmış veya savunmasız olarak bildirmek için. Amaç, “sorunu” tanımlamak için bir ödül talep etmektir.
Son zamanlarda, Intigriti ekibi bir kullanıcının aşağıdaki işlemleri yürüttüğünü gözlemledi.
Kötü aktör, kimlik doğrulaması olmadan mevcut olan çevrimiçi yardım masası yazılımı ile hedefleri izledi.
Kullanıcı daha sonra hassas verilerin ekini içeren bir bilet gönderdi. Bu, örneğin, pasaport görüntüleri gibi kişisel olarak tanımlanabilir bilgilerin (PII) taramalarını içerebilir. Yardım masası kimlik doğrulaması olmadan kullanılabilir olduğundan, ekler de vardı.
Kullanıcı daha sonra Virustotal’a ek için kesin URL’yi gönderdi ve daha sonra bu ekin ‘sızdırmasını’ şirket için bir güvenlik kaygısı olarak gönderdi.
Son olarak, kullanıcı ‘tehdidi’ tanımlamak için bir ödeme talebi sundu.
Birçok müşteri için çalışan bir triyaj ekibi olarak, tüm müşteri tabanımıza yardımcı olmak için bir müşteri raporunu tetiklemekten kazanılan bilgileri kullanarak eğilimleri gözlemlemeye hızlı bir şekilde giriyoruz. Bu şekilde iç takımların özü ve spot sorunlarını kaçırırız.
Bir başka begil avı biçimi, bir şirkete bir ‘güvenlik açığı’ açığa çıkarmadan önce, sadece bir tehdit veya kırılganlık olarak kabul edilmeyen ve dolayısıyla ödemeye layık görülmeyen bir konuyu vurgulamak için ‘Bounty dilencileri’ istek ödemesi olduğunda ortaya çıkar. Odak noktaları, müşteriye değer ne olursa olsun, kalite üzerindeki miktardır. Bir veri sızıntısı veya güvenlik açığı üretmek yerine, aktör düşük asılı meyve arar ve daha sonra verileri serbest bırakmadan önce ödeme talep eder. Küçük sorunların raporlanması, sektörde kabul edilirken ve takdir edilirken, mesele ödemenin cajollanmasıdır.
Bu tür tehditler yıllardır dolaşıyor ve işletmeleri çok değerli. 2017 yılında Troy Hunt, internete bağlı yumuşak oyuncaklar üreten şirketi çevreleyen CloudPets’i çevreleyen ciddi gizlilik ve güvenlik sorunlarını tartışan bir blog yayınladı. Blog, ebeveynlerin çocuklarına sesli mesajlar göndermesine izin veren internete bağlı bir oyuncak oyuncak ayı ile ilgili bir olay sergiledi. Halka açık ve korunmasız bir MongoDB veritabanı nedeniyle 2.18 milyon ses kaydı ve 820.000 kullanıcı kaydı ortaya çıktı.
Bu verilerin ihlalini bu kadar endişe verici kılan şey, güvenlik araştırmacıları tarafından güvenlik açığı konusunda bulutpetleri uyarmak için birden fazla girişimde bulunulmasıdır. Ancak şirket cevap veremedi. Nedeni? Cloudpets, rastgele bir insanın bilgilerine güvenmedi, ancak aynı şekilde bilginin doğru olduğunu kontrol etmek için gereken özen göstermedi.
CloudPets CEO’su tarafından yapılan bir açıklamada Michael Kan, ‘Bir muhabirin geçen hafta birkaç kez bizimle iletişime geçmeye çalıştığımız, bir veri ihlali hakkında rastgele bir kişiye cevap vermediğinizi’ iddia ediyor.
Buradaki mesele, iç veya üçüncü taraf güvenlik ekipleriniz sorunu tespit etmediyse, bunun gibi güvenlik açıklarını tespit edecek tek kişi, böcek ödül avcıları ve göz ardı edilmemesi gereken iyi niyetli gazetecilerdir. Bir şirket bir tehditten haberdar edildiğinde, özellikle böyle hassas bir konuda birden fazla bildirim gönderildiğinde, rapor edilenler hakkında ödevini yapmak için şirketin gayretine düşer.
Begil dolandırıcıları, meşru beyaz şapka hackerları ve muhabirleri için bir korku kültürü aşılıyor ve suyu çamurlandırıyor.
Meşru böcek ödül programları olmayan küçük ve orta ölçekli işletmeler (KOBİ’ler) daha büyük risk altındadır. KOBİ’lerin sadece sınırlı kaynakları olmakla kalmaz, aynı zamanda ek siber güvenlik için verimli finansmandan yoksundur, bu da bilgisayar korsanlarının ortamları dolaşmasını kolaylaştırır.
Özellikle Begil şemalarının büyümesini destekleyen az sayıda istatistik olmasına rağmen, taktik siber suç ve siber sahtekarlığın genel manzarasına katkıda bulunur. Global Scam karşıtı ittifaklar 2024 tarafından sağlanan bir raporda, İngiltere sakinleri tek başına bir yılda dolandırıcılık için 11,4 milyar £ kaybetti, bu da 2023’ten bu yana 4 milyar arttı.
Kilit mesaj, işletmelerin saygın şirketleri kullanmasıdır. Meşru böcek ödül ekipleri en son gelişmelerin, taktiklerin ve prosedürlerin üstünde kalır ve dahili bir ekibin genellikle kaçıracağı eğilimleri ve bilgileri tespit etmek için çok çeşitli programlar üzerinde çalışır.
Bir şirketin güvenliğini etkileyecek gerçek sistem sorunlarını tespit etmek için doğru beceri setine sahip üst düzey doğrulanmış bir hacker gerektirir. Genellikle düşük seviyeli bilgisayar korsanları, etkiye bakılmaksızın herhangi bir şeyi tespit edip rapor eder.
Bir böcek ödül planına sahip olarak, şirketler çeşitli şekillerde fayda sağlayarak:
Kime veya neye güveneceğiniz konusunda tahminler kaldırılır.
Müşterinin zamanı, raporları araştırmak ve kapatacak bir ekip bulunarak kaydedilir.
Kullanıcılar doğrulanır, böylece tam olarak kiminle çalıştığınızı bilirsiniz.
Uzman bir ekip, herhangi bir ödeme yapılmadan önce tüm eylemleri izler ve tüm raporları kapatır.
Etik dışı eylemler için kullanıcıları platformlardan yasaklama yeteneği.
Bug Bounty’nin nasıl çalıştığı ve sahte ödül şemalarını nasıl tespit edeceğiniz hakkında daha fazla bilgi için bugün Intigriti ekibine başvurun.