セキュリティウォッチ 不正なハートブリードパスワードリセットメールに注意してください

不正なハートブリードパスワードリセットメールに注意してください

ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)

ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)
Anonim

OpenSSLのHeartbleed脆弱性を取り巻くすべての話題でエンドユーザーに最も一般的なアドバイスは、機密Webサイトに使用されるパスワードをリセットすることでした。 最善のアドバイスではない可能性があるという事実はさておき、ユーザーは途中で潜在的なフィッシング攻撃に注意する必要がある、とセキュリティ専門家は警告しました。

セキュリティ研究者は、今週初めにHeartbleed脆弱性の詳細を開示し、世界中のサーバー管理者とサービスプロバイダーがシステムをチェックし、できるだけ早く脆弱性を閉じるように急いでいます。 SecurityWatchおよびPCMag.comでここで説明したように、ソフトウェアのバグを悪用して、コンピューターのメモリ内のランダムな情報を取得し、秘密キー、機密データ、証明書を漏えいさせる可能性があります。

研究者が問題の大きさと意味を理解する際のトピックへの関心のレベルを考慮すると、パスワードリセット通知を装ったフィッシング攻撃は非常に可能性が高いです。 サイバー犯罪者や他の詐欺師がピギーバック攻撃を計画するときに喜んで手をこすり合っていることは簡単に想像できます。

クリックしないでください!

一部の組織はすでにシステムにパッチを適用しており、パスワードを変更するようにアドバイスするために積極的に顧客に連絡しています。 残念ながら、SecurityWatchでは、ユーザーがサイトにアクセスしてパスワードをリセットするためのクリック可能なリンクが電子メールに含まれているインスタンスが少なくとも2つ確認されています。 そして、フィッシング攻撃を回避する最初のルールは何ですか? 一緒に言いましょう:メールのリンクをクリックしないでください!

偽のPayPalや銀行の電子メールで見たように、電子メールのヘッダーを偽造したり、非常にリアルな電子メールを作成したりするのは簡単です。 結局、ユーザーは本物に見えるかもしれません。

公平を期すために、人々はパスワードリセットメールを潜在的に悪意のあるものとして認識する能力が向上しています。 ただし、Heartbleedに対する懸念は、最も慎重なユーザーでさえだまされる可能性があります。 「「念のため、たぶん、 example.comの パスワードを変更する必要がある」と考えていた場合、 example.com から送信されたと主張するメールが届き、 example.comの ようなログイン画面が表示され ます。 ソフォスのセキュリティエバンジェリストであるPaul Ducklin氏はNaked Securityブログで次のように書いています。

セキュリティルールは引き続き適用されます

はい、Heartbleedは深刻であり、今後数か月から数年にわたってインターネットセキュリティに影響を及ぼします。 しかし、それは、スパムやフィッシングメールの認識に関するすべての教訓を忘れているわけではありません。 よく知っている会社からのメールであっても、受け取った迷惑メールには疑いを抱きます。 メールでパスワードをリセットするためにメッセージ内のリンクをクリックするように求められた場合は、そうするように促します。 Webサイトに手動でアクセスし、サイトから直接パスワードのリセットを開始します。

企業がセキュリティへの影響を考慮せず、メール自体にログインページへのリンクを配置しなかった場合、リンクをクリックする習慣がつかなくなるため、顧客にとってははるかに安全だとダックリンは主張しました。 「合法的なサイトがログインリンクをメール通信に含めない場合、ログインリンクが良いか悪いかを決めるのは簡単になります。悪いので、それで終わりです」と彼は言いました。

そこには多くのアドバイスがあり、ユーザーはどこでもパスワードを変更するように言っています。 代わりに、Heartbleedの欠陥を修正したことを確認したサイトのパスワードのみを変更する必要があります。 ダックリンは、他の何かが実際にあなたの個人情報がされる機会を増やす可能性があると警告した。

不正なハートブリードパスワードリセットメールに注意してください