Video: Få en kode til appen (Oktober 2024)
Det mest almindelige råd til slutbrugere i al den brummer omkring Heartbleed-sårbarheden i OpenSSL var at nulstille adgangskoder, der bruges til følsomme websteder. Bortset fra det faktum, at det måske ikke er det bedste råd, skal brugerne være opmærksomme på potentielle phishing-angreb undervejs, advarede sikkerhedseksperter.
Sikkerhedsforskere afslørede detaljer om Heartbleed-sårbarheden tidligere i denne uge, og serveradministratorer og tjenesteudbydere over hele verden har skrumpet for at kontrollere deres systemer og for at lukke sårbarheden så hurtigt som muligt. Som der er diskuteret her på SecurityWatch og PCMag.com, kan softwarebuggen udnyttes til at hente tilfældige bits af oplysninger i computerens hukommelse, potentielt lækkende private nøgler, følsomme data og certifikater.
I betragtning af niveauet for interesse for emnet, da forskere finder ud af omfanget af problemet og implikationerne, er phishing-angreb, der er maskeret som meddelelser om nulstilling af adgangskode, meget sandsynlige. Det er nemt at forestille sig cyberkriminelle og andre svindlere, som glade gnider hænderne sammen, mens de planlægger piggyback-angreb.
Klik ikke!
Nogle organisationer har allerede opdateret deres systemer og rækker proaktivt ud til kunderne for at rådgive dem om at ændre deres adgangskoder. Desværre har SecurityWatch set mindst to tilfælde, hvor e-mailen indeholdt et link, der kan klikkes, og som fører brugere til stedet for at nulstille adgangskoden. Og hvad er den første regel for at undgå phishing-angreb? Lad os sige det sammen: Klik ikke på links i e-mails!
Som vi har set med falske PayPal- og bankemails, er det let at forfalske e-mail-overskrifter og skabe meget realistiske e-mails. Webstedets brugere vinder op kan også se ud som den rigtige ting.
For at være retfærdig bliver folk bedre til at genkende e-mails til nulstilling af adgangskode som værende potentielt ondsindede. Bekymringer over Heartbleed kan dog narre selv de mest forsigtige brugere. "Hvis du tænkte, 'Hej, måske skulle jeg ændre mit eksempel.com- adgangskode, bare i tilfælde af, ' og så ankommer en e-mail, der hævder at være fra eksempel.com, der fører dig til en login-skærm der ligner eksempel.com … du kunne tilgives for bare at følge vane og forsøge at logge ind, ”skrev Paul Ducklin, en sikkerhedsevangelist for Sophos, på bloggen Naked Security.
Sikkerhedsregler gælder stadig
Ja, Heartbleed er alvorlig og vil have konsekvenser for internetsikkerheden i måneder og år fremover. Men det betyder ikke, at vi glemmer alle lektioner om genkendelse af spam og phishing-e-mails. Vær mistænksom over for uopfordrede e-mails, du modtager, selvom de er fra virksomheder, du er bekendt med. Hvis e-mailen beder dig om at klikke på et link inde i meddelelserne for at nulstille din adgangskode, skal du kvæle denne trang til at gøre det. Besøg manuelt webstedet og start adgangskoden nulstilles direkte fra webstedet.
Hvis virksomheder stoppede for at overveje sikkerhedsmæssige implikationer og ikke satte links til login-siden i selve e-mailen, ville det være meget mere sikkert for kunder, fordi de ikke får en vane med at klikke på links, hævdede Ducklin. "Hvis ingen legitime websteder nogensinde lægger login-links i deres e-mail-korrespondance, bliver beslutningen om, hvorvidt login-links er god eller dårlig, triviel: De er dårlige, og det er slutningen på det, " sagde han.
Masser af råd derude fortæller brugerne at ændre deres adgangskoder overalt. I stedet skal du kun ændre adgangskoder på websteder, der har bekræftet, at de har rettet Heartbleed-fejlen. Alt andet kan faktisk øge chancerne for, at dine private oplysninger bliver snuglet, advarede Ducklin.
