Vulnerability Report E-Mail Scam
Derzeit machen wieder so genannte Vulnerability Reports oder auch „Bug Bounties“ per E-Mail die Runde. Es geht darin um vermeintliche Schwachstellen im Code der Website des Empfängers. Wie gehe ich damit als Webmaster um? Das erfährst du in diesem Artikel.
Hast du Hinweise per E-Mail erhalten, dass deine Website konkrete Schwachstellen enthält? Vielleicht mit Screenshot und genauer Beschreibung der angeblichen Sicherheitslücke? Und möglicherweise inklusive eines Lösungsvorschlages? Dabei handelt es sich leider häufig um Betrugsversuche. Hier ist Vorsicht geboten: Der enthaltene Code, der zur Nachstellung oder Behebung der potentiellen Problematik helfen soll, könnte selbst schadhafte Links enthalten.
Am Ende steht aber vor allem eines im Raum: Eine Aufforderung zur Bezahlung als Belohnung für den Fund des edlen Scammers. Die Verfasser dieser Nachrichten stellen sich selbst als ethische Hacker hin, als die Guten. Sie wollen lediglich eine Entschädigung für die Hilfe. Ein wenig erinnert das an unaufgeforderte Scheibenputzer an großen Ampelkreuzungen im Urlaub, oder an die vermeintlichen Gepäckhilfen an großen, südländischen Bahnhöfen.
In diesem Artikel findest du eine Anleitung und empfohlene Schritte, die du unternehmen solltest, wenn du eine solche E-Mail erhalten hast.
Inhaltsverzeichnis
- Wie der Betrug funktioniert
- Wie du mit solchen Scam-Mails umgehen solltest
- Du bist nun verunsichert, was kannst du tun?
Wie der Betrug funktioniert
Der Betrüger führt ein öffentliches Scan-Tool eines Drittanbieters aus, um mögliche Schwachstellen zu ermitteln, z. B. das Fehlen optionaler HTTP-Header, DMARC-Einträge oder ähnliches.
Oft sind die entdeckten „Schwachstellen“ in deiner Hosting-Umgebung gar nicht vorhanden oder stellen gar keine echte Bedrohung dar. Besonders WordPress-Umgebungen sind von diesen vermeintlichen Schwachstellen betroffen, da es bekannt ist, dass WordPress immer wieder Sicherheitslücken durch schlechte Wartung und unseriöse Plugins offenbart.
Betrüger nutzen diese vermeintlichen Lücken als Druckmittel für Zahlungsanforderungen.
Solche Bug Bounties werden gerne in größeren Unternehmen ausgerufen, um schnell auf Schwachstellen zu stoßen die sonst erst erkannt würden, wenn es zu spät ist. Man kann sich das wie eine Art Ausschreibung vorstellen.
Reagierst du auf derartige E-Mails, werden die Anfragen in der Regel aggressiver und es wird gedroht, die Sicherheitslücke öffentlich zu machen.
Wie du mit solchen Scam-Mails umgehen solltest
Wie bei allen Arten von Spams & Scams empfehlen wir: Ignorieren. Reagiere auf keinen Fall auf diese E-Mails. In den meisten Fällen sind die enthaltenen „Bedrohungen“ nicht wirklich ein ernstes Problem.
Die Betrüger verweisen entweder auf nicht existente Sicherheitslücken (häufig sind das z.B. X-frame By-Passes, Cross-Site-Scripting Lücken) oder auf Kopfzeilen, die optional sind, aber fehlen.
Wir empfehlen dir, diese Nachrichten ungeöffnet zu löschen und einen Junk-Filter dagegen einzurichten. Unserer Erfahrung nach stellt eine Antwort ein größeres Risiko dar, da die Betrüger versuchen werden, dich zu erpressen.
Du bist nun verunsichert, was kannst du tun?
Statt auf derartige E-Mails zu reagieren, solltest du dein Sicherheitskonzept prüfen und erkannte Lücken schnellstmöglich und sinnvoll schließen. Kennst du dich damit nicht gut aus, ist externe Hilfe ratsam.
Benötigst du unsere Hilfe?
Wenn du Bedenken bezüglich der Sicherheit deiner Website hast, wende dich bitte so schnell wie möglich an Experten. Gerne helfen wir dir dabei, schreib uns einfach: hilfe [at] pressengers.de
Cross-Site-Scripting Lücken sind aber kritisch, da würde ich widersprechen. Bei den anderen Sachen stimmt ich zu
Hi David,
da gebe ich dir recht. Wenn tatsächlich solche Cross-Site-Scripting Lücken vorhanden sind, sollte man diese schließen, auf diese Art von E-Mails aber dennoch nicht reagieren.