Video: Prolomení hesla Wi-Fi sítě (November 2024)
Najbežnejšou radou pre koncových používateľov vo všetkých buzzoch okolo zraniteľnosti Heartbleed v OpenSSL bolo obnovenie hesiel používaných pre citlivé webové stránky. Odhliadnuc od skutočnosti, že to nemusí byť najlepšia rada, používatelia musia byť na pozore pred potenciálnymi phishingovými útokmi, varovali odborníci v oblasti bezpečnosti.
Vedci v oblasti bezpečnosti odhalili začiatkom tohto týždňa podrobnosti o zraniteľnosti Heartbleed a správcovia serverov a poskytovatelia služieb na celom svete sa snažili skontrolovať svoje systémy a čo najskôr túto chybu uzavrieť. Ako už bolo diskutované tu na stránkach SecurityWatch a PCMag.com, softvérová chyba sa môže využiť na zachytenie náhodných bitov informácií v pamäti počítača, potenciálne úniku súkromných kľúčov, citlivých údajov a certifikátov.
Vzhľadom na úroveň záujmu o túto tému, keď vedci zistia rozsah problému a jeho dôsledky, je veľmi pravdepodobné, že útoky typu phishing, ktoré sa maskujú ako oznámenia o obnovení hesla, sú veľmi pravdepodobné. Je ľahké si predstaviť, že kybernetickí zločinci a ďalší podvodníci si pri plánovaní útokov na chrbte s radosťou šúchajú ruky.
Neklikajte!
Niektoré organizácie už opravili svoje systémy a aktívne oslovujú zákazníkov, aby im poradili, ako zmeniť svoje heslá. Program SecurityWatch, nanešťastie, zaznamenal najmenej dva prípady, keď e-mail obsahoval odkaz, na ktorý sa dá kliknúť a ktorý priviedol používateľov na web, aby obnovili heslo. A aké je prvé pravidlo, ako sa vyhnúť útokom typu phishing? Povedzme to spoločne: neklikajte na odkazy v e-mailoch!
Ako sme videli pri falošných e-mailoch PayPal a bankovníctve, je ľahké falšovať hlavičky e-mailov a vytvárať veľmi realistické e-maily. Používatelia stránok, ktorí skončia, môžu tiež vyzerať ako skutočná vec.
Aby sme boli spravodliví, ľudia sa zlepšujú v rozpoznávaní e-mailov s obnovením hesla ako potenciálne škodlivého. Obavy týkajúce sa Heartbleed však môžu oklamať aj tých opatrnejších používateľov. „Ak ste si mysleli:„ Hej, možno by som si mal zmeniť svoje heslo example.com , len pre prípad, “a potom príde e-mail tvrdiaci, že je z example.com, ktorý vás zavedie na prihlasovaciu obrazovku, ktorá vyzerá rovnako ako example.com. … mohlo by sa vám odpustiť za to, že ste len nasledovali zvyk a pokúsili sa prihlásiť, “na blogu Naked Security napísal Paul Ducklin, evanjelista bezpečnosti pre Sophos.
Stále platia bezpečnostné pravidlá
Áno, Heartbleed je vážny a bude mať dopad na bezpečnosť internetu niekoľko mesiacov a rokov dopredu. To však neznamená, že zabudneme na všetky lekcie o rozpoznávaní spamu a phishingových e-mailov. Dajte si pozor na akékoľvek nevyžiadané e-maily, ktoré dostanete, aj keď sú od spoločností, ktoré poznáte. Ak vás e-mail požiada, aby ste klikli na odkaz vo vnútri správ, aby ste obnovili svoje heslo, potlačte ho, aby ste tak urobili. Ručne navštívte webovú stránku a inicializujte obnovenie hesla priamo z webu.
Keby spoločnosti prestali brať ohľad na bezpečnostné dôsledky a do samotného e-mailu neuviedli odkazy na prihlasovaciu stránku, bolo by to pre zákazníkov oveľa bezpečnejšie, pretože zvyknú kliknúť na odkazy, tvrdí Ducklin. „Ak žiadne legitímne weby nikdy nevložia prihlasovacie odkazy do svojej e-mailovej korešpondencie, potom sa rozhodnutie, či sú prihlasovacie odkazy dobré alebo zlé, stane bezvýznamné: sú zlé a to je koniec, “ uviedol.
Mnoho rád tam hovorí, aby používatelia všade menili svoje heslá. Namiesto toho by ste mali meniť heslá iba na stránkach, ktoré potvrdili, že odstránili chybu Heartbleed. Ducklin varoval, že čokoľvek iné by v skutočnosti mohlo zvýšiť šance na zavrhnutie vašich súkromných informácií.