Videó: ELFELEJTETT JELKÓD? ITT A MEGOLDÁS! (November 2024)
Az OpenSSL-ben a Heartbleed sebezhetőséget körülvevő buzzban a végfelhasználók számára a leggyakoribb tanács az volt, hogy visszaállítsák az érzékeny webhelyekhez használt jelszavakat. Figyelembe véve azt a tényt, amely nem feltétlenül a legjobb tanács, a felhasználóknak figyelmeztetniük kell az esetleges adathalász támadásokra - figyelmeztette a biztonsági szakértők.
A biztonsági kutatók a hét elején közölték a Heartbleed sebezhetőség részleteit, és a szerver rendszergazdái és szolgáltatói szerte a világon rászorultak rendszerük ellenőrzésére és a sebezhetőség mielőbbi bezárására. Amint azt a SecurityWatch és a PCMag.com itt tárgyalt, a szoftverhibát ki lehet használni véletlenszerű információ-bitek megragadására a számítógép memóriájában, potenciálisan kiszivárogtatva a személyes kulcsokat, az érzékeny adatokat és a tanúsítványokat.
Figyelembe véve a téma iránti érdeklődés mértékét, mivel a kutatók kitalálják a probléma nagyságát és következményeit, nagyon valószínű, hogy az adathalász támadások maszkolódnak jelszó-visszaállítási értesítésekként. Könnyű elképzelni, hogy a számítógépes bűnözők és más csalók vidáman dörzsölik a kezüket, miközben háborús támadásokat terveznek.
Ne kattintson!
Néhány szervezet már javította a rendszerét, és proaktívan fordul az ügyfelekhez, hogy tanácsot adjon nekik a jelszavak megváltoztatásához. Sajnos a SecurityWatch legalább két példát látott, amikor az e-mail tartalmazott egy kattintható linket, amely a felhasználókat a webhelyre irányította a jelszó visszaállításához. És mi az első szabály az adathalász támadások elkerülésére? Mondjuk együtt: Ne kattintson az e-mailekben található hivatkozásokra!
Mint láttuk a hamis PayPal és a banki e-mailek esetében, könnyű hamisítani az e-mailek fejléceit, és nagyon reális megjelenésű e-maileket készíteni. A webhely felhasználói is valódinak tűnhetnek.
Az igazságosság kedvéért az emberek egyre jobban felismerik a jelszó-visszaállítási e-maileket potenciálisan rosszindulatúnak. A Heartbleed-rel kapcsolatos aggodalmak azonban a leg óvatosabb felhasználókat is becsaphatják. "Ha arra gondolt:" Hé, talán meg kellene változtatnom a example.com jelszavam, csak esetleg ", és e-mail érkezik, amely azt állítja, hogy a example.com webhelyről származik , és eljuttat egy bejelentkezési képernyőre, amely ugyanúgy néz ki, mint a example.com. … megbocsáthatunk, ha csak a szokást követed és megpróbálsz bejelentkezni "- írta Paul Ducklin, a Sophos biztonsági evangélistaje a Meztelen Biztonsági blogban.
A biztonsági szabályok továbbra is érvényesek
Igen, a szívverés súlyos, és az elkövetkező hónapokban és években kihatással lesz az internetes biztonságra. De ez nem azt jelenti, hogy elfelejtettük a spam és az adathalász e-mailek felismerésével kapcsolatos összes órát. Legyen gyanús a kéretlen e-mailekkel kapcsolatban, még akkor is, ha azokat olyan cégektől érkezik, amelyekkel Ön ismerős. Ha az e-mail megkérdezi, hogy kattintson az üzenetben található linkre a jelszó visszaállításához, szüntesse meg az erre késztetést. Manuálisan látogasson el a webhelyre, és kezdeményezze a jelszó visszaállítását a webhelyről.
Ha a vállalatok abbahagynák a biztonsági következmények mérlegelését, és nem helyeznék el a bejelentkezési oldalra mutató hivatkozásokat maga az e-mailben, az sokkal biztonságosabb lenne az ügyfelek számára, mert nem fogják megszokni a linkekre kattintást - állította Ducklin. "Ha egy legitim webhely soha nem tesz bejelentkezési linkeket az e-mail levelezésükbe, akkor triviaálisvá válik annak eldöntése, hogy a bejelentkezési linkek jóak vagy rosszak: rosszok, és ez a vége" - mondta.
Sok tanács ad arra, hogy a felhasználók mindenhol megváltoztassák jelszavukat. Ehelyett csak azokon a webhelyeken kell módosítania a jelszavakat, amelyek megerősítették, hogy kijavították a Heartbleed hibát. Ducklin figyelmeztette, hogy bármi más megnövelheti a személyes adatainak megzavarodásának esélyét.
