Video: Send Emails with Django for Password Reset (PRODUCTION ENVIRONMENT) (November 2024)
Het meest voorkomende advies voor eindgebruikers in alle drukte rond de Heartbleed-kwetsbaarheid in OpenSSL was het opnieuw instellen van wachtwoorden die worden gebruikt voor gevoelige websites. Afgezien van het feit dat dit misschien niet het beste advies is, moeten gebruikers alert zijn op mogelijke phishing-aanvallen onderweg, waarschuwden beveiligingsexperts.
Beveiligingsonderzoekers hebben eerder deze week details over de Heartbleed-kwetsbaarheid onthuld en serverbeheerders en serviceproviders over de hele wereld hebben hun best gedaan om hun systemen te controleren en de kwetsbaarheid zo snel mogelijk te verhelpen. Zoals hier op SecurityWatch en PCMag.com is besproken, kan de softwarefout worden misbruikt om willekeurige stukjes informatie in het geheugen van de computer op te halen, waardoor mogelijk privésleutels, gevoelige gegevens en certificaten kunnen lekken.
Gezien de mate van interesse in het onderwerp, aangezien onderzoekers de omvang van het probleem en de implicaties achterhalen, zijn phishing-aanvallen vermomd als meldingen voor wachtwoordherstel zeer waarschijnlijk. Het is gemakkelijk om je voor te stellen dat cybercriminelen en andere oplichters vrolijk hun handen in elkaar wrijven terwijl ze meeliften.
Klik niet!
Sommige organisaties hebben hun systemen al gepatcht en nemen proactief contact op met klanten om hen te adviseren hun wachtwoorden te wijzigen. Helaas heeft SecurityWatch ten minste twee gevallen gezien waarin de e-mail een klikbare link bevatte die gebruikers naar de site leidde om het wachtwoord opnieuw in te stellen. En wat is de eerste regel om phishing-aanvallen te vermijden? Laten we het samen zeggen: klik niet op links in e-mails!
Zoals we hebben gezien met valse PayPal- en bank-e-mails, is het gemakkelijk om e-mailkoppen te vervalsen en zeer realistisch ogende e-mails te maken. De sitegebruikers die eindigen, kunnen er ook echt uitzien.
Om eerlijk te zijn, worden mensen steeds beter in het herkennen van e-mails met wachtwoordherstel als potentieel schadelijk. Zorgen over Heartbleed kunnen echter zelfs de meest voorzichtige gebruikers misleiden. "Als u dacht:" Hé, misschien zou ik mijn voorbeeld.com- wachtwoord moeten wijzigen, voor het geval dat ", en dan komt er een e-mail die zegt van example.com te zijn die u naar een inlogscherm brengt dat eruitziet als voorbeeld.com … het kan je vergeven worden als je gewoonte volgt en probeert in te loggen, "schreef Paul Ducklin, een beveiligingsevangelist voor Sophos, op de Naked Security-blog.
Beveiligingsregels zijn nog steeds van toepassing
Ja, Heartbleed is serieus en heeft maanden en jaren gevolgen voor de internetbeveiliging. Maar dat betekent niet dat we alle lessen vergeten over het herkennen van spam en phishing-e-mails. Wees op uw hoede voor ongevraagde e-mails die u ontvangt, zelfs als deze afkomstig zijn van bedrijven die u kent. Als u in de e-mail wordt gevraagd op een koppeling in de berichten te klikken om uw wachtwoord opnieuw in te stellen, verstik die drang om dit te doen. Bezoek de website handmatig en start de wachtwoordreset rechtstreeks vanaf de site.
Als bedrijven zouden stoppen om de beveiligingsimplicaties te overwegen en geen links naar de inlogpagina in de e-mail zelf zouden plaatsen, zou dit voor klanten veel veiliger zijn omdat ze niet de gewoonte krijgen om op links te klikken, betoogde Ducklin. "Als er geen legitieme sites ooit inlog-links in hun e-mailcorrespondentie plaatsen, wordt de beslissing of inlog-links goed of slecht zijn triviaal: ze zijn slecht, en dat is het einde", zei hij.
Er is veel advies dat gebruikers vertelt dat ze hun wachtwoord overal moeten wijzigen. In plaats daarvan moet u alleen wachtwoorden wijzigen op sites die hebben bevestigd dat ze de Heartbleed-fout hebben verholpen. Al het andere zou de kans kunnen vergroten dat uw privégegevens worden gesnuffeld, waarschuwde Ducklin.
