Відео: Dame Tu cosita ñ (Листопад 2024)
Найпоширенішою порадою для кінцевих користувачів у всіх шумах навколо вразливості Heartbleed у OpenSSL було скидання паролів, що використовуються для чутливих веб-сайтів. Не відмовляючись від того, що може бути не найкращою порадою, користувачі повинні насторожено ставитись до потенційних фішинг-атак на шляху, попередили експерти з безпеки.
Дослідники з питань безпеки розкрили деталі вразливості Heartbleed на початку цього тижня, а адміністратори серверів та постачальники послуг у всьому світі намагаються перевірити їхні системи та якнайшвидше закрити вразливість. Як було обговорено тут на SecurityWatch та PCMag.com, помилка програмного забезпечення може використовуватися для захоплення випадкових бітів інформації в пам'яті комп'ютера, потенційно витікаючи приватні ключі, конфіденційні дані та сертифікати.
Враховуючи рівень зацікавленості цією темою, коли дослідники з'ясовують масштабність проблеми та наслідки, фішинг-атаки маскуються як повідомлення про скидання пароля. Неважко собі уявити кіберзлочинців та інших шахраїв, які радісно розтирають руки, коли вони планують атаки зі скарбничкою.
Не клацай!
Деякі організації вже виправили свої системи та активно звертаються до клієнтів, щоб порадити їм змінити свої паролі. На жаль, SecurityWatch помітив щонайменше два випадки, коли електронний лист містив посилання, що можна натискати, що переносить користувачів на сайт для скидання пароля. І яке перше правило уникати фішинг-атак? Скажімо це разом: Не натискайте на посилання в електронних листах!
Як ми бачили з фальшивими PayPal та банківськими електронними листами, легко підробляти заголовки електронної пошти та створювати дуже реалістично виглядаючі листи. Користувачі сайту, які закінчуються, також можуть виглядати справжніми.
Справедливо кажучи, люди все краще розпізнають електронні листи про скидання пароля як потенційно шкідливі. Однак проблеми з Heartbleed можуть обдурити навіть самих обережних користувачів. "Якщо ви думали:" Ей, можливо, я повинен змінити свій пароль example.com, на всякий випадок ", і тоді надійде електронний лист із твердженням, що він є з example.com, який переносить вас на екран входу, схожий на example.com … вам можуть бути прощені лише за наступні звички та спробу ввійти в систему ", - написав у блозі Naked Security Пол Даклін, євангеліст із безпеки Софосу.
Правила безпеки все ще застосовуються
Так, Heartbleed є серйозним і матиме вплив на безпеку Інтернету на місяці та роки вперед. Але це не означає, що ми забуваємо всі уроки про розпізнавання спаму та фішинг-електронних листів. Будьте підозрілі до будь-яких непотрібних електронних листів, які ви отримуєте, навіть якщо вони надходять від знайомих вам компаній. Якщо електронний лист попросить вас натиснути посилання всередині повідомлень, щоб скинути свій пароль, задушіть його, що вимагає цього зробити. Вручну відвідайте веб-сайт та ініціюйте скидання пароля безпосередньо з сайту.
Якщо компанії зупиняються на розгляді наслідків для безпеки і не розміщують посилання на сторінку входу в електронний лист, це було б набагато безпечніше для клієнтів, оскільки вони не отримають звички клацати на посилання, стверджував Даклін. "Якщо жоден законний веб-сайт ніколи не розміщує посилання для входу у свою електронну кореспонденцію, то рішення про те, хороші чи погані посилання для входу, стає тривіальним: вони погані, і це закінчилося", - сказав він.
Багато порад там спонукають користувачів змінювати свої паролі скрізь. Натомість слід змінювати паролі лише на сайтах, які підтвердили, що вони виправили недолік Heartbleed. Що-небудь інше насправді може збільшити шанси на те, що ваша приватна інформація буде зірвана, попередив Даклін.