Видео: Anthem to the Fallen (Битката Ðа Прохода... (Октября 2024)
Самым распространенным советом для конечных пользователей во всех разговорах об уязвимости Heartbleed в OpenSSL было восстановление паролей, используемых для конфиденциальных веб-сайтов. Не обращая внимания на тот факт, что это может быть не лучшим советом, пользователи должны быть готовы к потенциальным фишинговым атакам, предупреждают эксперты по безопасности.
Исследователи безопасности раскрыли детали уязвимости Heartbleed ранее на этой неделе, и администраторы серверов и поставщики услуг по всему миру пытаются проверить свои системы и как можно скорее закрыть уязвимость. Как обсуждалось здесь на SecurityWatch и PCMag.com, программная ошибка может быть использована для захвата случайных битов информации в памяти компьютера, что может привести к утечке личных ключей, конфиденциальных данных и сертификатов.
Учитывая уровень интереса к этой теме, поскольку исследователи выясняют масштабы проблемы и ее последствия, весьма вероятно, что фишинговые атаки маскируются под уведомления о сбросе пароля. Легко представить, что киберпреступники и другие мошенники радостно потирают руки, планируя контрейлерные атаки.
Не нажимай!
Некоторые организации уже исправили свои системы и активно обращаются к клиентам, чтобы посоветовать им сменить пароли. К сожалению, SecurityWatch видел по крайней мере два случая, когда электронное письмо содержало кликабельную ссылку, ведущую пользователей на сайт для сброса пароля. И каково первое правило избегания фишинговых атак? Давайте скажем это вместе: не нажимайте на ссылки в электронных письмах!
Как мы видели в фальшивых PayPal и банковских письмах, легко подделать заголовки писем и создавать очень реалистичные письма. Пользователи сайта могут также выглядеть как настоящие.
Честно говоря, люди лучше распознают электронные письма для сброса пароля как потенциально опасные. Однако опасения по поводу Heartbleed могут обмануть даже самых осторожных пользователей. «Если вы подумали:« Эй, может, мне стоит сменить пароль на example.com , на всякий случай? », А затем приходит электронное письмо с утверждением, что оно с сайта example.com , и вы попадаете на экран входа в систему, похожий на example.com … вы можете быть прощены за то, что просто следовали привычке и пытались войти в систему », - написал Пол Даклин, евангелист по безопасности для Sophos, в блоге Naked Security.
Правила безопасности все еще применяются
Да, Heartbleed серьезен и будет иметь последствия для безопасности Интернета на месяцы и годы вперед. Но это не значит, что мы забываем все уроки о распознавании спама и фишинговых писем. С подозрением относитесь к любым нежелательным электронным письмам, которые вы получаете, даже если они принадлежат компаниям, с которыми вы знакомы. Если в электронном письме вас просят щелкнуть ссылку внутри сообщений, чтобы сбросить пароль, подавьте это побуждение. Вручную зайдите на сайт и начните сброс пароля прямо с сайта.
Если бы компании перестали рассматривать последствия для безопасности и не поместили ссылки на страницу входа в само письмо, это было бы намного безопаснее для клиентов, потому что они не привыкли нажимать на ссылки, утверждал Даклин. «Если никакие законные сайты никогда не помещают ссылки для входа в свою электронную почту, то решение о том, являются ли ссылки для входа хорошими или плохими, становится тривиальным: они плохие, и на этом все», - сказал он.
Многие советуют пользователям менять свои пароли везде. Вместо этого вы должны менять пароли только на сайтах, которые подтвердили, что они исправили ошибку Heartbleed. Даклин предупредил, что что-то еще может увеличить вероятность того, что ваша личная информация будет взломана.
