ระวังอีเมลรีเซ็ตรหัสผ่านที่สั่นสะเทือน

คำแนะนำที่พบบ่อยที่สุดสำหรับผู้ใช้ในเรื่องปากต่อปากรอบ ๆ ช่องโหว่ Heartbleed ใน OpenSSL คือการรีเซ็ตรหัสผ่านที่ใช้สำหรับเว็บไซต์ที่ละเอียดอ่อน นอกเหนือจากข้อเท็จจริงที่ว่าอาจไม่ใช่คำแนะนำที่ดีที่สุดผู้ใช้จะต้องตื่นตัวสำหรับการโจมตีแบบฟิชชิงที่อาจเกิดขึ้นในทางผู้เชี่ยวชาญด้านความปลอดภัยเตือน

นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดของช่องโหว่ Heartbleed เมื่อต้นสัปดาห์ที่ผ่านมาและผู้ดูแลเซิร์ฟเวอร์และผู้ให้บริการทั่วโลกได้ทำการตรวจสอบระบบและปิดช่องโหว่โดยเร็วที่สุด ดังที่มีการกล่าวถึงที่นี่ใน SecurityWatch และ PCMag.com ข้อผิดพลาดของซอฟต์แวร์สามารถถูกนำไปใช้ประโยชน์เพื่อจับข้อมูลบิตในหน่วยความจำของคอมพิวเตอร์การรั่วไหลของคีย์ส่วนตัวข้อมูลที่ละเอียดอ่อนและใบรับรอง

เมื่อพิจารณาถึงระดับความสนใจในหัวข้อขณะที่นักวิจัยหาขนาดของปัญหาและผลกระทบการโจมตีแบบฟิชชิงที่หลอกลวงเนื่องจากการแจ้งเตือนการรีเซ็ตรหัสผ่านมีความเป็นไปได้สูงมาก เป็นเรื่องง่ายที่จะจินตนาการถึงอาชญากรไซเบอร์และนักต้มตุ๋นคนอื่น ๆ ถูมือกันอย่างสนุกสนานเมื่อพวกเขาวางแผนโจมตีลูกหมู

อย่าคลิก!

บางองค์กรได้ทำการติดตั้งระบบของพวกเขาแล้วและได้ทำการติดต่อลูกค้าเพื่อให้คำแนะนำในการเปลี่ยนรหัสผ่าน ขออภัย SecurityWatch ได้เห็นอินสแตนซ์อย่างน้อยสองกรณีที่อีเมลนั้นมีลิงก์แบบคลิกได้ที่นำผู้ใช้ไปยังไซต์เพื่อรีเซ็ตรหัสผ่าน และกฎข้อแรกของการหลีกเลี่ยงการโจมตีแบบฟิชชิงคืออะไร สมมติว่ามันเข้าด้วยกัน: อย่าคลิกลิงก์ในอีเมล!

ดังที่เราเห็นจากอีเมล PayPal และธนาคารปลอมปลอมง่ายต่อการปลอมแปลงหัวเรื่องอีเมลและสร้างอีเมลที่ดูสมจริง ผู้ใช้ไซต์ที่ปิดท้ายอาจมีลักษณะเหมือนของจริง

เพื่อความเป็นธรรมผู้คนเริ่มจดจำอีเมลรีเซ็ตรหัสผ่านได้ดีขึ้นว่าอาจเป็นอันตราย อย่างไรก็ตามความกังวลเกี่ยวกับ Heartbleed อาจหลอกลวงแม้กระทั่งผู้ใช้ที่ระมัดระวังที่สุด "หากคุณกำลังคิดว่า 'เฮ้ฉันอาจเปลี่ยนรหัสผ่าน example.com ของฉันในกรณีนี้' จากนั้นอีเมลก็มาถึงโดยอ้างว่ามาจาก example.com ซึ่งจะพาคุณไปยังหน้าจอเข้าสู่ระบบที่มีลักษณะคล้ายกับ example.com … คุณอาจได้รับการให้อภัยเพียงทำตามนิสัยและพยายามลงชื่อเข้าใช้ "Paul Ducklin ผู้สอนศาสนาด้านความปลอดภัยของ Sophos เขียนไว้ในบล็อกของ Naked Security

กฎความปลอดภัยยังคงใช้

ใช่ Heartbleed นั้นร้ายแรงและจะมีผลกระทบต่อความปลอดภัยของอินเทอร์เน็ตเป็นเวลาหลายเดือนและหลายปีข้างหน้า แต่นั่นไม่ได้หมายความว่าเราลืมบทเรียนทั้งหมดเกี่ยวกับการจดจำอีเมลขยะและอีเมลหลอกลวง สงสัยอีเมลที่ไม่ได้รับเชิญที่คุณได้รับแม้ว่าจะมาจาก บริษัท ที่คุณคุ้นเคย หากอีเมลขอให้คุณคลิกลิงก์ภายในข้อความเพื่อรีเซ็ตรหัสผ่านของคุณให้ยับยั้งการทำเช่นนั้น เยี่ยมชมเว็บไซต์ด้วยตนเองและเริ่มการรีเซ็ตรหัสผ่านโดยตรงจากเว็บไซต์

หาก บริษัท หยุดพิจารณาถึงผลกระทบด้านความปลอดภัยและไม่ได้ใส่ลิงค์ไปยังหน้าเข้าสู่ระบบในอีเมลตัวเองมันจะปลอดภัยกว่าสำหรับลูกค้าเพราะพวกเขาจะไม่ติดนิสัยในการคลิกที่ลิงก์ Ducklin กล่าว "หากไม่มีเว็บไซต์ที่ถูกกฎหมายใด ๆ ที่เคยใส่ลิงค์เข้าสู่ระบบในการติดต่อทางอีเมลของพวกเขาแล้วตัดสินใจว่าลิงค์เข้าสู่ระบบดีหรือไม่ดีกลายเป็นเรื่องเล็กน้อย: พวกเขาไม่ดีและนั่นคือจุดสิ้นสุดของมัน" เขากล่าว

มีคำแนะนำมากมายที่บอกให้ผู้ใช้เปลี่ยนรหัสผ่านทุกที่ แต่คุณควรเปลี่ยนรหัสผ่านบนเว็บไซต์ที่ยืนยันว่าพวกเขาได้แก้ไขข้อบกพร่อง Heartbleed แล้วเท่านั้น อะไรก็ตามที่อาจเป็นการเพิ่มโอกาสให้ข้อมูลส่วนตัวของคุณถูกดักฟัง Ducklin เตือน