Beg bounties möjliggörs av miljontals dåligt säkrade webbplatser där ägarna saknar kunskap och resurser att se igenom oseriösa felrapporter.
– Utvecklingen följer mönstret där cyberkriminella är opportunister. I det här fallet ser de en ny möjlighet att spela på rädsla och okunskap. E-postmeddelandet som skickas innehåller ofta en rapport som pekar på falska buggar och felkonfigurationer. För den oinvigde kan det förstås se allvarligt ut men man bör inte inleda någon slags dialog med avsändaren. Så här långt har vi inte funnit någon beg bounty som motiverar en betalning, säger Per Söderqvist, säkerhetsexpert på Sophos.
Den som får e-post där avsändaren vill ha betalt för någon form av fel- eller sårbarhetsrapport bör inte betala men däremot ta det som en varning. Det är ett tecken på att webbtjänstens eller webbapplikationens säkerhet sannolikt behöver ses över och förbättras. Om det krävs bör man ta hjälp av externa experter.
– Det här visar att företag ofta behöver tänka mer proaktivt och se till att de skydd man har kan stoppa så kallade exploit techniques. Det innebär att man inte bara fokuserar på själva sårbarheten utan också analyserar om olika metoder används för att utnyttja sårbarheten för att exempelvis exekvera skadlig kod på enheten eller servern, avslutar Per Söderqvist.