Vídeo: ¿Cómo evitar extorsiones a través de bitcoins? (Setembre 2024)
El consell més comú per als usuaris finals de tots els sonors que envolten la vulnerabilitat Heartbleed a OpenSSL era restablir les contrasenyes utilitzades per a llocs web delicats. Deixant de banda que potser no és el millor consell, els usuaris han d’estar atents per possibles atacs de phishing durant el camí, van advertir els experts en seguretat.
Els investigadors de seguretat van revelar detalls de la vulnerabilitat Heartbleed a principis d’aquesta setmana i els administradors de servidors i proveïdors de serveis de tot el món s’han estat escorcollant per comprovar els seus sistemes i tancar la vulnerabilitat tan aviat com sigui possible. Com s’ha comentat aquí a SecurityWatch i PCMag.com, es pot explotar l’error del programari per agafar trossos d’informació aleatoris a la memòria de l’ordinador, podent filtrar claus privades, dades sensibles i certificats.
Tenint en compte el nivell d’interès en el tema ja que els investigadors es troben la magnitud del problema i les seves implicacions, és molt probable que es produeixin atacs de caça nocturna com a notificacions de restabliment de contrasenya. És fàcil imaginar ciberdelinqüents i altres estafadors que es freguen les mans juntes mentre planifiquen atacs de rebot.
No feu clic!
Algunes organitzacions ja han pegat els seus sistemes i acudeixen de forma proactiva als clients per aconsellar-los que canviïn la seva contrasenya. Malauradament, SecurityWatch ha vist almenys dues instàncies en què el correu electrònic incloïa un enllaç clicable que portava als usuaris al lloc per restablir la contrasenya. I quina és la primera norma d’evitar atacs de pesca? Diguem-ho junts: no feu clic als enllaços dels correus electrònics.
Com hem vist amb els correus electrònics falsos de PayPal i bancaris, és fàcil forjar capçaleres de correu electrònic i crear correus electrònics d’aspecte molt realista. Els usuaris del lloc que acaben podrien semblar realment.
Per ser justos, la gent millora en reconèixer els correus electrònics de restabliment de contrasenyes com a potencialment malintencionats. Tot i això, les preocupacions sobre Heartbleed poden enganyar fins i tot als usuaris més prudents. "Si penséssiu" Hola, potser hauria de canviar la meva contrasenya example.com , per si de cas ", i després arriba un correu electrònic que diu que és de example.com que us porta a una pantalla d'inici de sessió que sembla exactament a example.com … podríeu perdonar-vos per només seguir hàbit i intentar iniciar la sessió ", va escriure Paul Ducklin, evangelista de seguretat de Sophos al bloc Naked Security.
Les normes de seguretat continuen aplicant-se
Sí, Heartbleed és greu i tindrà implicacions en la seguretat d’Internet durant mesos i anys. Però això no vol dir que oblidem totes les lliçons sobre el reconeixement de correu electrònic de correu brossa i de suplantació. Desconfieu de qualsevol missatge de correu electrònic no sol·licitat, fins i tot si provenen d’empreses que coneixeu. Si el correu electrònic us demana que feu clic en un enllaç dels missatges per restablir la vostra contrasenya, ofegueu aquesta sol·licitud. Visiteu manualment el lloc web i inicieu el restabliment de la contrasenya directament des del lloc.
Si les empreses deixessin de tenir en compte les implicacions de seguretat i no posessin enllaços a la pàgina d’inici de sessió al correu electrònic mateix, seria molt més segur per als clients perquè no solen fer clic en enllaços, va argumentar Ducklin. "Si cap lloc legítim mai posa enllaços de sessió en la seva correspondència de correu electrònic, aleshores decidir si els enllaços de connexió són bons o dolents es converteix en banal: són dolents i això finalitza", va dir.
Hi ha molts consells per demanar als usuaris que canvien les seves contrasenyes a tot arreu. En canvi, només heu de canviar les contrasenyes dels llocs que hagin confirmat que han solucionat el defecte Heartbleed. Ducklin va advertir Ducklin.
