Video: Lilla Snigel Akta Dig - Barnsånger på Svenska (November 2024)
Det vanligaste rådet för slutanvändare i allt surr kring Heartbleed-sårbarheten i OpenSSL var att återställa lösenord som används för känsliga webbplatser. Att lägga undan det faktum att det kanske inte är det bästa rådet, måste användare vara uppmärksamma på potentiella phishing-attacker på väg, varnade säkerhetsexperter.
Säkerhetsforskare avslöjade detaljer om Heartbleed-sårbarheten tidigare denna vecka och serveradministratörer och tjänsteleverantörer runt om i världen har rusat för att kontrollera sina system och för att stänga sårbarheten så snart som möjligt. Som diskuterats här på SecurityWatch och PCMag.com, kan programvarufelet utnyttjas för att ta slumpmässiga bitar av information i datorns minne, eventuellt läckande privata nycklar, känslig data och certifikat.
Med tanke på intresset för ämnet när forskare räknar ut storleken på problemet och implikationerna är det mycket troligt att phishing-attacker som har anmälts som meddelanden om återställning av lösenord. Det är lätt att föreställa sig cyberbrottslingar och andra bedragare som glöts gnider ihop sina händer när de planerar piggybackattacker.
Klicka inte!
Vissa organisationer har redan lappat sina system och når proaktivt till kunderna för att ge dem råd om att ändra sina lösenord. Tyvärr har SecurityWatch sett minst två fall där e-postmeddelandet inkluderade en klickbar länk som tar användare till webbplatsen för att återställa lösenordet. Och vad är den första regeln för att undvika nätfiskeattacker? Låt oss säga det tillsammans: Klicka inte på länkar i e-postmeddelanden!
Som vi har sett med falska PayPal- och bankmeddelanden är det enkelt att skapa e-postrubriker och skapa mycket realistiska e-postmeddelanden. Webbplatsanvändarna avslutas på kan också se ut som den verkliga saken.
För att vara rättvis blir människor bättre på att känna igen e-postmeddelanden om lösenordsåterställning som potentiellt skadliga. Oro över Heartbleed kan dock lura även de mest försiktiga användare. "Om du tänkte 'Hej, kanske skulle jag ändra mitt exempel.com- lösenord, i fall och fall', och då kommer ett e-postmeddelande som säger att det är från example.com som tar dig till en inloggningsskärm som ser ut som exempel.com … du kan förlåtas för att bara följa vana och försöka logga in, "skrev Paul Ducklin, en säkerhetsevangelist för Sophos, på bloggen Naked Security.
Säkerhetsregler gäller fortfarande
Ja, Heartbleed är allvarligt och kommer att få konsekvenser för Internet-säkerhet under månader och år framöver. Men det betyder inte att vi glömmer alla lärdomar om att känna igen skräppost och phishing-mejl. Var misstänksam på alla oönskade e-postmeddelanden du får, även om de kommer från företag som du känner till. Om e-postmeddelandet ber dig att klicka på en länk i meddelandena för att återställa ditt lösenord, kan du kväva den lusten att göra det. Besök webbplatsen manuellt och starta återställning av lösenord direkt från webbplatsen.
Om företag stannade för att överväga säkerhetsimplikationerna och inte lägger länkar till inloggningssidan i själva e-postmeddelandet, skulle det vara mycket säkrare för kunderna eftersom de inte kommer att få vana att klicka på länkar, hävdade Ducklin. "Om inga legitima webbplatser någonsin sätter in inloggningslänkar i sin e-postkorrespondens, blir beslutet om inloggningslänkar är bra eller dåliga triviala: de är dåliga, och det är slutet på det, " sade han.
Många råd där ute berättar för användare att ändra sina lösenord överallt. Istället bör du bara ändra lösenord på webbplatser som har bekräftat att de har fixat Heartbleed-bristen. Allt annat kan faktiskt öka chanserna för att din privata information blir snarvad, varnade Ducklin.
