Trang Chủ Đồng hồ an ninh Cảnh giác với các email đặt lại mật khẩu lừa đảo

Cảnh giác với các email đặt lại mật khẩu lừa đảo

Video: Play store ki id kaise banaye || How to create play store id || by Avnit zone (Tháng mười một 2024)

Video: Play store ki id kaise banaye || How to create play store id || by Avnit zone (Tháng mười một 2024)
Anonim

Lời khuyên phổ biến nhất cho người dùng cuối trong tất cả những ồn ào xung quanh lỗ hổng Heartbleed trong OpenSSL là đặt lại mật khẩu được sử dụng cho các trang web nhạy cảm. Các chuyên gia bảo mật cảnh báo, gạt sang một bên thực tế có thể không phải là lời khuyên tốt nhất, người dùng phải cảnh giác với các cuộc tấn công lừa đảo tiềm năng trên đường đi.

Các nhà nghiên cứu bảo mật tiết lộ chi tiết về lỗ hổng Heartbleed vào đầu tuần này và các quản trị viên máy chủ và nhà cung cấp dịch vụ trên khắp thế giới đã tranh giành để kiểm tra hệ thống của họ và đóng lỗ hổng này càng sớm càng tốt. Như đã được thảo luận ở đây trên SecurityWatch và PCMag.com, lỗi phần mềm có thể bị khai thác để lấy các bit thông tin ngẫu nhiên trong bộ nhớ của máy tính, có khả năng rò rỉ khóa riêng, dữ liệu nhạy cảm và chứng chỉ.

Xem xét mức độ quan tâm của chủ đề khi các nhà nghiên cứu tìm ra mức độ nghiêm trọng của vấn đề và hệ lụy, các cuộc tấn công lừa đảo giả mạo như thông báo đặt lại mật khẩu là rất có thể. Thật dễ dàng để tưởng tượng tội phạm mạng và những kẻ lừa đảo khác vui vẻ xoa hai bàn tay vào nhau khi chúng lên kế hoạch tấn công cõng.

Đừng bấm!

Một số tổ chức đã vá hệ thống của họ và chủ động tiếp cận khách hàng để tư vấn cho họ thay đổi mật khẩu. Thật không may, SecurityWatch đã thấy ít nhất hai trường hợp trong đó email có một liên kết có thể nhấp đưa người dùng đến trang web để đặt lại mật khẩu. Và quy tắc đầu tiên để tránh các cuộc tấn công lừa đảo là gì? Hãy nói cùng nhau: Đừng nhấp vào liên kết trong email!

Như chúng ta đã thấy với các email PayPal và ngân hàng giả, thật dễ dàng để giả mạo các tiêu đề email và tạo các email trông rất thực tế. Người dùng trang web kết thúc cũng có thể trông giống như thật.

Công bằng mà nói, mọi người đang trở nên tốt hơn trong việc nhận ra các email đặt lại mật khẩu là có khả năng gây hại. Tuy nhiên, những lo ngại về Heartbleed có thể đánh lừa cả những người dùng thận trọng nhất. "Nếu bạn đang nghĩ, 'Này, có lẽ tôi nên thay đổi mật khẩu example.com của mình, chỉ trong trường hợp, ' và sau đó một email đến tự xưng là từ example.com đưa bạn đến một màn hình đăng nhập trông giống như example.com … Bạn có thể được tha thứ cho việc tuân theo thói quen và cố gắng đăng nhập ", Paul Ducklin, nhà truyền giáo bảo mật cho Sophos, viết trên blog của Security Security.

Quy tắc bảo mật vẫn được áp dụng

Có, Heartbleed rất nghiêm túc và sẽ có ý nghĩa đối với bảo mật Internet trong nhiều tháng và nhiều năm tới. Nhưng điều đó không có nghĩa là chúng ta quên tất cả các bài học về nhận dạng thư rác và email lừa đảo. Hãy nghi ngờ về bất kỳ email không mong muốn nào bạn nhận được, ngay cả khi chúng đến từ các công ty mà bạn quen thuộc. Nếu email yêu cầu bạn nhấp vào một liên kết bên trong các tin nhắn để đặt lại mật khẩu của bạn, hãy ngăn chặn sự thôi thúc đó. Truy cập thủ công trang web và bắt đầu đặt lại mật khẩu trực tiếp từ trang web.

Nếu các công ty dừng xem xét ý nghĩa bảo mật và không đặt liên kết đến trang đăng nhập trong email, thì sẽ an toàn hơn cho khách hàng vì họ sẽ không có thói quen nhấp vào liên kết, Ducklin lập luận. "Nếu không có trang web hợp pháp nào đặt liên kết đăng nhập trong thư điện tử của họ, thì việc quyết định xem liên kết đăng nhập là tốt hay xấu trở nên tầm thường: chúng xấu, và đó là kết thúc của nó", ông nói.

Có rất nhiều lời khuyên ngoài kia đang nói với người dùng thay đổi mật khẩu của họ ở mọi nơi. Thay vào đó, bạn chỉ nên thay đổi mật khẩu trên các trang web đã xác nhận rằng họ đã sửa lỗi lỗ hổng Heartbleed. Bất cứ điều gì khác thực sự có thể làm tăng cơ hội thông tin cá nhân của bạn bị đánh cắp, Ducklin cảnh báo.

Cảnh giác với các email đặt lại mật khẩu lừa đảo