E-mails von OpenBugBounty: Echte Sicherheitslücke oder doch nur Spam und Scam? (2022-04-09)

Weblog vom 09.04.2022: E-mails von OpenBugBounty: Echte Sicherheitslücke oder doch nur Spam und Scam?
Kategorie:	IT Security, Spam, Scam
Stichworte:	e-mail, OpenBugBounty, Spam, Scam, Betrug, Sicherheitslücke, Sicherheitsforscher, DKIM-Signatur, OBB-2897797, OBB-2897798, OBB-2897799

Normalerweise berichte ich nur selten über Spam und Scam. Denn meist sind die Betrugsversuche leicht zu durchschauen. Das ist mir dann keinen Artikel wert. Aber manchmal ist Spam einfach nur so skuril, dass ich mir einen Artikel nicht verkneifen kann, wie bei meinem Blog-Artikel Soll ich mittels genetisch modifizierter Katzenmädchen die Weltherrschaft an mich reißen?

Doch diesmal war ich doch ein bisschen verunsichert, ob es sich bei den drei e-mail, die gestern an meine Adressen postmaster, contact und support at Kryptografie.de gingen, um die Meldung einer echten Sicherheitslücke oder doch nur Spam und Scam handelt:

Wenn ich gleich mehrere e-mails auf einen Schlag vom gleichen Absender bekomme, dann nehme ich normalerweise breit gestreuten Spam an und habe ganz schnell das "J" auf meiner Tastatur gedrückt, was bedeutet, dass sich das nächste mal mein Spam-Filter um diese Art Nachrichten kümmern wird.

Doch hier passt die DKIM-Signatur und der Mailtext wirkt eigentlich ganz seriös auf mich, auch wenn er auf englisch kommt. Nach kurzer Recherche habe ich herausgefunden, dass es eine wohl nicht kommerzielle und echte Webseite namens OpenBugBounty.org gibt, auf der Sicherheitsforscher Kontakt mit Webseitenbetreibern aufnehmen können, um diesen auf eine Sicherheitslücke aufmerksam zu machen. Die macht eigentlich einen seriösen Eindruck und auch deren Zweck ist im Prinzip nicht zu verurteilen. Auch wenn es einen Beigeschmack hat, wenn sich ein Sicherheitsforscher darüber meldet mit der Absicht, weitere Informationen eventuell erst gegen Zahlung einer Bounty-Prämie preiszugeben. Sowas kann auch ganz schnell als Erpressungsversuch missverstanden werden.

OpenBugBounty.org schreibt sich auf die Fahnen, jede von einem Sicherheitsforscher auf einer Website gefundene Sicherheitslücke, die sie weiterleiten vorher abzuchecken, ob sie auch wirklich vorliegt. Nur dann benachrichtigt OpenBugBounty.org den Webseitenbetreiber über die Lücke und dieser kann sich mit dem Sicherheitsforscher in Verbindung setzen und etwas aushandeln.

Allerdings weiß der Webseitenbetreiber damit erst einmal nur, dass es eine irgendwie geartete Lücke auf seinen Seiten existiert. Nicht aber genau welche und was sie ihm wert ist. Böse Leute, die diesen Service missbrauchen wollen, könnten dies tun und von einem Webseitenbetreiber eine Prämie im Voraus verlangen, die sich dann im Nachhinein als unberechtigt oder überzogen herausstellt.

Ich bin ja der Meinung, dass Sicherheitsforscher, wenn sie zufällig eine Lücke gefunden haben, diese ohne Bedingungen melden sollten und der Betreiber dann freiwillig eine Prämie zahlt oder vielleicht eine größere Sicherheitsuntersuchung gegen Honorar bucht. Größere Hersteller können natürlich auch öffentlich Prämien ausloben, um Sicherheitsforscher zu motivieren, ihre Websites näher unter die Lupe zu nehmen. Wobei ein Vertrag über die Modalitäten der Suche nach Sicherheitslücke meines Erachtens sehr anzuraten ist, möchte der Betreiber keine Kollateralschäden und der Sicherheitsforscher keine Anzeige aufgrund eines Hacker-Paragrafen.

Aber zurück zu der mir gemeldeten Sicherheitslücke... Oder ist es doch nur Spam/Scam?

Stutzig macht mich folgendes:

Wenn der Sicherheitsforscher eine Sicherherheitslücke auf der Website von OpenBugBounty.org meldet, muss dieser, damit die Lücke nachvollziehbar ist, logischerweise Näheres zur Lücke angeben, was OpenBugBounty.org dann speichern wird. Warum wird mir hier kein Link zu dieser Information angezeigt?
Auch gibt es keinen Link zum Profil des Sicherheitsforschers, stattdessen heißt es nur: NOTICE : The security researcher has a private profile.
Die angegebene e-Mail-Adresse dennisyassine@gmail.com, die man direkt anschreiben soll, ist eine Google-Mail-Adresse, die im Prinzip jeder haufenweise generieren kann. Nicht, dass es nicht auch Hobby-Sicherheitsforscher mit GMail-Adresse gäbe, aber zusätzliches Vertrauen weckt eine solche Adresse bei mir sicher nicht.

Wenn der Sicherheitsforscher nichts über die Lücke preisgibt und ich ihn ohne weitere Infos per e-mail kontaktieren soll hat es doch Null Mehrwert, über den OpenBugBounty.org-Service zu gehen.

Nachdem ich auch nach Lesen eines Heise Security Artikels sicher bin, dass die Seite OpenBugBounty.org sauber ist, schaue ich mich da mal um, was diese mit der Bounty-Nr. OBB-2897799 und dem Sicherheitsforscher dennisyassine@gmail.com anfangen kann.

Zuerst suche ich nach meiner Domain, für die es ja angeblich eine Sicherheitslücke geben soll:

Seltsamerweise (oder eben nicht) gibt es da gar keinen Eintrag zu kryptografie.de. Das spricht für Fake/Scam. Und mir fällt ein Hinweis-Banner oben auf der Seite auf:

All Open Bug Bounty emails are sent only from openbugbounty.org domain being digitally signed. Ignore and report all other emails.

Also schaue ich mir die e-mails, die ich bekommen haben, mal genauer an, und zwar den Header:

Return-Path: support@openbug-bounty.net
Received: from server.openbug-bounty.net (artistrycrafts.info [163.182.174.137])
	by cool-web.de with ESMTPS
	(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256)
	; Fri, 8 Apr 2022 21:02:49 +0200

Oha! Da hätte ich schon vorher genauer drauf schauen sollen: Die Links in der Mail führen zwar alle zum Original OpenBugBounty.org, die Absenderadresse der e-mail hat aber eine leicht andere Domain: openbug-bounty.net. Spätestens jetzt ist klar, dass es bei den mails um einen Betrugsversuch handelt und der OpenBugBounty.org-Service nur als Transportmittel missbaucht wird und überhaupt nichts damit zu tun hat.

Und der Server, von dem die mail kommt, hat auch noch einen anderen Reverse-DNS-Eintrag, nämlich auf artistrycrafts.info. Und die istüber Domains By Proxy anonym registriert:

Domain Name: artistrycrafts.info
Registry Domain ID: cb5979b1f4fd48bfae35eadc9e3b31aa-DONUTS
Registrar WHOIS Server: whois.godaddy.com/
Registrar URL: http://www.godaddy.com/domains/search.aspx?ci=8990
Updated Date: 2021-11-20T14:24:49Z
Creation Date: 2020-07-15T09:54:52Z
Registry Expiry Date: 2022-07-15T09:54:52Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: Domains By Proxy, LLC
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: Arizona
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY

Hier möchte also jemand lieber anonym bleiben. Die Domain hat derjenige bei Turnkey Internet gehostet, wo man sich auch mal auf die Schnelle einen virtuellen Server mieten kann.

Wie oft habe ich schon die Abuse-Abteilungen der Domain-Registrare und Hoster angeschrieben und Missbrauchsfälle genau geschildert. Wie selten habe ich eine Antwort bekommen... und wie selten hat sich wirklich was getan? Der Scammer wird, selbst, wenn man ihm Domain und Server sperrt, einfach eine andere, ähnliche Domain kaufen und einen neuen virtuellen Server mieten und seine Tour weiter fahren. Mit viel Glück erwischen die Strafverfolgungsbehörden den Übeltäter nach vielen Jahren einmal und bestrafen ihn. Und mit noch mehr Glück hat dieser seine Lektion dann gelernt und hört auf mit den Betrügereien. Aber in der Zeit, die bis dahin vergeht, habe etliche die Masche kopiert und abgewandelt.

Es ist ein Kampf gegen Windmühlen. Ich habe schon keine Lust mehr, die Abuse-Abteilungen anzuschreiben. Wahrscheinlich bringt dieser Blog-Artikel mehr, wenn Betroffene darauf stoßen, weil sie sich nicht sicher sind, ob es eine echte Sicherheitslücke bei ihnen gibt oder ob es nur Spam/Scam ist. Denn die wissen jetzt, auf was sie achten müssen und können die mails ruhigen Gewissens löschen, wenn diese aussehen wie meine.

Seit wann geht das eigentlich schon?

Rein aus Neugier habe ich mal ein wenig nachgeforscht, wie lang der Spammer/Scammer schon so sein Unwesen treibt. Eine Suche nach der e-mail-Adresse dennisyassine@gmail.com bringt mich da weiter. Hier ein paar Suchergebnisse:

vom 23.10.2021 im Forum von WoltLab mit Betreff "Mail von OpenBugBounty erhalten ... Bitte um Meinung" war noch ein Profil in der e-mail angegeben:

Betreff: ... Security Vulnerability Notification | OBB-2897797 | Important

For more Details of the Vulnerability contact the security researcher
Profile of security researcher : https://www.openbugbounty.org/researchers/YassDennis/
Contact the researcher directly here : [email='dennisyassine@gmail.com'][/email]
Also Visit the profile for more information
...

Das Profil YassDennis gibt es in der Suche nicht mehr:

Sucht man direkt über den Link https://www.openbugbounty.org/researchers/YassDennis/ bekommt man eine Sicherheitswarnung:

Security Warning – External Emails

We are aware of con artist and scammer using “Dennis Yassine” name (and its variations). This fraudster unsuccessfully tries to impersonate the non-commercial Open Bug Bounty project by sending fake emails from typo-squatted or cyber-squatted domains.All genuine emails sent by Open Bug Bounty are always (i) digitally signed, and (ii) are sent only from the openbugbounty.org domain. Any other domains have no affiliation with the Open Bug Bounty project.

What’s next:

Ignore any emails referring to, mentioning or coming from the above-mentioned person.

Report squatted domains, used to send fake emails, to domain registrars for spam and fraud. Request to suspend them.

Get in touch with us may you need any help.

Bug bounty for the charlatan:

Please send us any information you have about Dennis Yassine’s location or identity. We are particularly interested to know its affiliation with commercial bug bounty platforms that may wish to discredit the ongoing success of our non-profit project.

Depending on the information you provide, we will do our best to reward it in appropriate manner. Kudos are guaranteed!

Auch hier bestätigt sich wieder: OpenBugBounty.org ist ansich eine seriöse Organisation, die sich von Dennis Yassine (und diversen anderen Pseudonymen) distanziert und vor ihnen warnt.

Auch witzig, dass die angebliche Fallnummer OBB-2897797 sein soll, meine war ja OBB-2897799, nur zwei Nummern weiter. Ich glaube kaum, dass auf OpenBugBounty so wenig gemeldet wird.

Nachtrag 2022-05-27

Heute haben "sie" es wieder versucht:

Ich bekam wieder eine mail, angeblich wieder von OpenBugBounty.org, in Wahrheit aber von openbugbounty.net, diesmal ohne Bindestrich im Domainnamen:

From: Openbugbounty 
Date: Fri, 27 May 2022 02:21:00 +0100

Diesmal ist allerdings auch ein Link von einem Security Forscher namens mit dem Usernamen alexomarkhan angegeben.

Profile of security researcher : https://www.openbugbounty.org/researchers/alexomarkhan/

Den gibt es wirklich und er scheint eine ganz gute Reputation zu haben:

Die im OpenBugBounty.org-Profil Kontakt email alexomarkhan@gmail.com ist die selbe, die auch in der Scam-Mail angegeben ist. Wer auf den Contact-Link klickt, wird wohl an den echten Alex antworten, wer den Antworten-Button seines Mail-Programms benutzt, wird an die Scammer unter contact@openbugbounty.net antworten. Und Benachrichtungen wegen unzustellbare rMails gehen wohl an

Return-Path: jjgghh04@gmail.com

wie es im Mailheader steht. Ob der GMail-Account vom echten Alex (so will ich ihn mal nennen) durch die Scammer gekapert worden ist (und die dann die Mails bekommen), weiß ich nicht. Ich kann nur annehmen, falls Alex als Sicherheitsforscher noch aktiv ist, sich das nicht gefallen lassen wird und sich bei Google melden wird.

Der echte Alex hat in Wahrheit überhaupt nichts mit dem angeblichen Sicherheitsvorfall von mir zu tun, was eine Abfrage der echten OpenBugBounty.org-Datenbank beweist:

Dort gibt es keinen Treffer für das angeblich mal wieder betroffene kryptografie.de. Es gibt also in Wahrheit (mal wieder) gar keine Sicherheitslücke. Und Alex guter Name wird hier einfach von Betrügern missbraucht.

Ich habe zur Sicherheit noch einmal eine globale Suche auf (dem echten) OpenBugBounty.org mit der Domain kryptografie.de angestoßen. Es gibt nirgends eine dort gelistete Sicherheitslücke dafür, auch nicht von anderen Sicherheitsforschern:

Scam-Spam von angeblich OpenBugBounty.org gibt es also in mehreren Farben und Formen. Und die Scammer sind hier immer noch aktiv. Was bisher immer half, war, die Echtheit der Sicherheitslücke auf der Website von OpenBugBounty.org zu überprüfen. Ist sie dort nicht gelistet, dann gibt es keine. Außerdem sollte man die Absender-Domain der e-mail prüfen, ob sie wirklich openbugbounty.org lautet und nicht openbugbounty.net, openbug-bounty.net oder sonstwie ähnlich.

Was mach auf keinen Fall machen sollte, ist den Scammern ohne vorherige Prüfung der mail zu antworten. Die werden dann versuchen, einen einzulullen oder unter Druck zu setzen und mit reichlich Lügen vorzugeben, dass man das und das tun muss und ruck zuck ist man sein Geld los oder hat sich eine Malware eingefangen. Scammer eben.

Quellen, Literaturverweise und weiterführende Links

Website von OpenBugBounty.org
Heise Security Artikel vom 12.01.2017: Open Bug Bounty: Sicherheitslücken gegen Prämie
Wikipedia Artikel zu Open Bug Bounty