Видео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Ноември 2024)
Най-често срещаният съвет за крайните потребители при всички шумове около уязвимостта на Heartbleed в OpenSSL беше да нулират паролите, използвани за чувствителни уебсайтове. Като оставят настрана факта, че може да не е най-добрият съвет, потребителите трябва да бъдат нащрек за потенциални фишинг атаки по пътя, предупредиха експерти по сигурността.
Изследователите по сигурността разкриха подробности за уязвимостта на Heartbleed по-рано тази седмица, а администраторите на сървъри и доставчиците на услуги по целия свят се опитваха да проверят своите системи и да затворят уязвимостта възможно най-скоро. Както беше обсъдено тук на SecurityWatch и PCMag.com, софтуерната грешка може да бъде използвана за събиране на произволни битове информация в паметта на компютъра, потенциално изтичащи частни ключове, чувствителни данни и сертификати.
Като се има предвид нивото на интерес към темата, тъй като изследователите установяват степента на проблема и последиците, фишинг атаките, маскирани като известия за нулиране на паролата, са много вероятни. Лесно е да си представим киберпрестъпници и други измамници, които радостно търкат ръцете си заедно, докато планират атаки за прасенце.
Не кликнете!
Някои организации вече са кръпкали системите си и активно се обръщат към клиентите, за да ги посъветват да сменят паролите си. За съжаление, SecurityWatch е видял поне два случая, в които имейлът включва връзка с възможност за кликване, отвеждаща потребителите към сайта за нулиране на паролата. И кое е първото правило за избягване на фишинг атаки? Да го кажем заедно: Не кликвайте върху връзки в имейлите!
Както видяхме с фалшиви PayPal и банкови имейли, лесно е да се подправят заглавки на имейли и да се изработват много реалистично изглеждащи имейли. Потребителите на сайта, на които се навива, също могат да изглеждат като истинските неща.
За да бъдем справедливи, хората стават все по-добри в разпознаването на имейлите за нулиране на паролата като потенциално злонамерени. Въпреки това притесненията за Heartbleed могат да подмамят дори и най-предпазливите потребители. "Ако сте мислили:" Ей, може би трябва да променя паролата си example.com , за всеки случай "и след това пристига имейл, в който се твърди, че сте от example.com, който ще ви отведе до екран за вход, който изглежда точно като example.com … може да ви бъде простено само ако следвате навика и да се опитате да влезете ", написа Пол Дъклин, евангелист по сигурността на Sophos, написа в блога Naked Security.
Правилата за сигурност все още се прилагат
Да, Heartbleed е сериозен и ще има отражение върху интернет сигурността с месеци и години напред. Но това не означава, че забравяме всички уроци за разпознаването на спам и фишинг имейли. Бъдете подозрителни към всички нежелани имейли, които получавате, дори ако са от компании, с които сте запознати. Ако имейлът ви помоли да кликнете върху връзка във вътрешността на съобщенията, за да нулирате паролата си, задушете желанието за това. Посетете ръчно уебсайта и инициирайте нулирането на паролата директно от сайта.
Ако компаниите спреха да разгледат последиците за сигурността и не поставят линкове към страницата за вход в самия имейл, би било много по-безопасно за клиентите, защото няма да имат навика да кликват върху връзки, твърди Дъклин. "Ако нито един легитимен сайт никога не постави връзки за вход в електронната си кореспонденция, тогава решението дали връзките за вход са добри или лоши става тривиално: те са лоши и това е краят на това", каза той.
Много съвети там казват на потребителите да сменят паролите си навсякъде. Вместо това трябва да сменяте паролите само на сайтове, които са потвърдили, че са отстранили недостатъка на Heartbleed. Всичко друго всъщност би могло да увеличи шансовете за ликвидиране на личната ви информация, предупреди Дъклин.