安全观察 提防欺诈性的密码重置电子邮件

提防欺诈性的密码重置电子邮件

视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十一月 2024)

视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十一月 2024)
Anonim

在围绕OpenSSL Heartbleed漏洞的所有嗡嗡声中,最终用户最常见的建议是重置用于敏感网站的密码。 安全专家警告说,抛开可能不是最佳建议的事实,用户必须警惕即将发生的网络钓鱼攻击。

安全研究人员于本周早些时候披露了Heartbleed漏洞的详细信息,全球的服务器管理员和服务提供商一直在努力检查其​​系统并尽快关闭该漏洞。 正如在SecurityWatch和PCMag.com上所讨论的那样,可以利用该软件错误来捕获计算机内存中的随机信息位,从而可能泄露私钥,敏感数据和证书。

考虑到研究人员弄清问题的严重性和含义,对该主题的兴趣程度很高,伪装成网络钓鱼攻击的密码重置通知很有可能发生。 很难想象网络罪犯和其他骗子在计划背piggy式攻击时会欣喜地揉手。

不要点击!

一些组织已经对其系统进行了修补,并正在主动与客户联系以建议他们更改密码。 不幸的是,SecurityWatch至少在两个实例中发现该电子邮件包含一个可单击的链接,该链接将用户带到该站点以重置密码。 避免网络钓鱼攻击的首要规则是什么? 让我们一起说:不要点击电子邮件中的链接!

正如我们在伪造的PayPal和银行电子邮件中所看到的那样,很容易伪造电子邮件标题和制作看起来很逼真的电子邮件。 最终用户所访问的站点也可能看起来像真实的东西。

公平地说,人们越来越擅长将密码重置电子邮件识别为潜在恶意软件。 但是,对Heartbleed的担忧甚至可能欺骗最谨慎的用户。 “如果您在想,'嘿,也许我应该更改 example.com的 密码,以防万一,'然后一封电子邮件声称来自 example.com ,它会带您进入类似于 example.com 的登录屏幕……您只要遵循习惯并尝试登录就可以原谅。” Sophos的安全宣传员Paul Ducklin在Naked Security博客上写道。

安全规则仍然适用

是的,Heartbleed非常严重,并将在未来数月和数年内影响Internet安全。 但这并不意味着我们会忘记有关识别垃圾邮件和网络钓鱼电子邮件的所有课程。 对您收到的任何不请自来的电子邮件保持怀疑,即使它们来自您熟悉的公司。 如果电子邮件要求您单击消息内的链接以重设密码,请阻止这样做。 手动访问网站,然后直接从网站启动密码重置。

Ducklin认为,如果公司停止考虑安全隐患,并且没有在电子邮件本身中放置指向登录页面的链接,则对客户而言,这将更加安全,因为他们不会养成点击链接的习惯。 他说:“如果没有合法的站点在他们的电子邮件通信中放置登录链接,那么决定登录链接是好是坏:这很糟糕,到此结束。”

许多建议告诉用户在任何地方更改其密码。 相反,您只应在已确认已解决Heartbleed漏洞的网站上更改密码。 Ducklin警告说,其他任何事情实际上都可能增加您的私人信息被封存的机会。

提防欺诈性的密码重置电子邮件