Vídeo: Heartbleed Exploit - Discovery & Exploitation (Novembro 2024)
O conselho mais comum para os usuários finais em todo o burburinho que envolvia a vulnerabilidade Heartbleed no OpenSSL era redefinir senhas usadas em sites sensíveis. Deixando de lado o fato de que talvez não seja o melhor conselho, os usuários precisam estar alertas para possíveis ataques de phishing no caminho, alertaram especialistas em segurança.
Pesquisadores de segurança divulgaram detalhes da vulnerabilidade Heartbleed no início desta semana e os administradores de servidores e provedores de serviços em todo o mundo têm se esforçado para verificar seus sistemas e para fechar a vulnerabilidade o mais rápido possível. Como foi discutido aqui no SecurityWatch e no PCMag.com, o bug do software pode ser explorado para capturar bits aleatórios de informações na memória do computador, possivelmente vazando chaves privadas, dados confidenciais e certificados.
Considerando o nível de interesse no tópico, à medida que os pesquisadores descobrem a magnitude do problema e implicações, é muito provável que ocorram ataques de phishing disfarçados de notificações de redefinição de senha. É fácil imaginar criminosos cibernéticos e outros golpistas esfregando alegremente as mãos enquanto planejam ataques às costas.
Não clique!
Algumas organizações já corrigiram seus sistemas e estão buscando proativamente os clientes para aconselhá-los a alterar suas senhas. Infelizmente, o SecurityWatch viu pelo menos duas instâncias em que o email incluía um link clicável levando os usuários ao site para redefinir a senha. E qual é a primeira regra para evitar ataques de phishing? Vamos dizer juntos: Não clique nos links dos e-mails!
Como vimos com e-mails falsos do PayPal e bancários, é fácil criar cabeçalhos de e-mail e criar e-mails com aparência muito realista. Os usuários do site também podem parecer reais.
Para ser justo, as pessoas estão melhorando em reconhecer os e-mails de redefinição de senha como potencialmente maliciosos. No entanto, preocupações com o Heartbleed podem enganar até os usuários mais cautelosos. "Se você estava pensando: 'Ei, talvez eu deva alterar minha senha do example.com , apenas no caso' ', e então um e-mail chega dizendo que é do exemplo.com que o leva a uma tela de login que se parece com exemplo.com … você pode ser perdoado por seguir o hábito e tentar entrar ", escreveu Paul Ducklin, um evangelista de segurança da Sophos, no blog Naked Security.
Regras de segurança ainda se aplicam
Sim, o Heartbleed é sério e terá implicações na segurança da Internet nos próximos meses e anos. Mas isso não significa que esquecemos todas as lições sobre o reconhecimento de e-mails de spam e phishing. Suspeite de qualquer e-mail não solicitado que você receber, mesmo que seja de empresas com as quais você esteja familiarizado. Se o e-mail solicitar que você clique em um link dentro das mensagens para redefinir sua senha, reprima esse desejo. Visite manualmente o site e inicie a redefinição de senha diretamente do site.
Se as empresas parassem para considerar as implicações de segurança e não colocassem links para a página de login no próprio email, seria muito mais seguro para os clientes, porque eles não terão o hábito de clicar nos links, argumentou Ducklin. "Se nenhum site legítimo coloca links de login em suas correspondências por e-mail, então decidir se os links de login são bons ou ruins se torna trivial: eles são ruins e esse é o fim", disse ele.
Muitos conselhos estão dizendo aos usuários para alterar suas senhas em todos os lugares. Em vez disso, você deve alterar senhas apenas em sites que confirmaram que corrigiram a falha do Heartbleed. Qualquer outra coisa pode estar aumentando as chances de suas informações privadas serem confundidas, alertou Ducklin.