비디오: ìí´ë¡ ì§ê¸ë²¨ë½ (십월 2024)
OpenSSL의 Heartbleed 취약점을 둘러싼 모든 버즈에서 최종 사용자에게 가장 일반적인 조언은 민감한 웹 사이트에 사용되는 암호를 재설정하는 것이 었습니다. 최선의 조언이 아닐 수도 있다는 사실을 제쳐두고, 사용자는 잠재적 피싱 공격에주의를 기울여야한다고 보안 전문가들은 경고했다.
보안 연구원들은 이번 주 초 Heartbleed 취약점에 대한 세부 정보를 공개했으며 전 세계 서버 관리자 및 서비스 제공 업체는 시스템을 확인하고 가능한 한 빨리 취약점을 해결하기 위해 노력하고 있습니다. 여기 SecurityWatch 및 PCMag.com에서 논의한 것처럼 소프트웨어 버그는 컴퓨터 메모리의 임의의 비트 정보를 포착하여 잠재적으로 개인 키, 민감한 데이터 및 인증서를 유출시킬 수 있습니다.
연구원들이 문제의 크기와 의미를 파악할 때 주제에 대한 관심 수준을 고려하면 비밀번호 재설정 알림으로 가장 한 피싱 공격이 발생할 가능성이 높습니다. 피기 백 공격을 계획하면서 사이버 범죄자와 다른 사기꾼들이 손을 즐겁게 문지르는 것을 쉽게 상상할 수 있습니다.
클릭하지 마십시오!
일부 조직은 이미 시스템을 패치했으며 고객에게 비밀번호 변경에 대한 조언을 적극적으로 요청하고 있습니다. 안타깝게도 SecurityWatch는 이메일에 클릭 가능한 링크가 포함되어 사용자를 사이트로 이동시켜 비밀번호를 재설정하는 인스턴스가 두 개 이상있는 것으로 나타났습니다. 피싱 공격을 피하는 첫 번째 규칙은 무엇입니까? 함께 말해 봅시다: 이메일의 링크를 클릭하지 마십시오!
가짜 PayPal 및 뱅킹 이메일에서 보았 듯이 이메일 헤더를 위조하고 매우 사실적으로 보이는 이메일을 쉽게 만들 수 있습니다. 사이트 사용자가 바람을 피우더라도 실제처럼 보일 수 있습니다.
공평하게, 사람들은 암호 재설정 이메일을 잠재적으로 악의적 인 것으로 인식하는 데 능숙 해지고 있습니다. 그러나 Heartbleed에 대한 우려는 가장 신중한 사용자조차도 속일 수 있습니다. " '이봐, 만약을 대비해서 example.com 비밀번호를 변경해야한다고 생각했다면 example.com 에서 온 것으로 보이는 이메일이 example.com 과 같은 로그인 화면으로 연결됩니다." Sophos의 보안 전도자 인 Paul Ducklin은 Naked Security 블로그에 썼습니다.
보안 규칙은 여전히 적용
예, Heartbleed는 심각하며 앞으로 몇 개월 및 몇 년 동안 인터넷 보안에 영향을 미칩니다. 그러나 이것이 스팸 및 피싱 이메일 인식에 대한 모든 교훈을 잊어 버린 것은 아닙니다. 원치 않는 전자 메일이 익숙한 회사에서 온 경우라도 의심스러운 전자 메일을 의심합니다. 이메일에서 메시지 내부의 링크를 클릭하여 비밀번호를 재설정하라는 메시지를 표시하면 비밀번호를 다시 설정해야합니다. 웹 사이트를 수동으로 방문하여 사이트에서 직접 비밀번호 재설정을 시작하십시오.
회사가 보안 관련 사항을 고려하지 않고 이메일 자체에 로그인 페이지에 대한 링크를 넣지 않으면 링크를 클릭하는 습관을 들이지 않기 때문에 고객에게 훨씬 안전 할 것이라고 Ducklin은 주장했다. "합법적 인 사이트가 이메일 링크에 로그인 링크를 넣지 않았다면 로그인 링크가 좋은지 나쁜지를 결정하는 것은 사소한 것이됩니다. 그게 나쁘고 끝입니다."
사용자가 어디에서나 비밀번호를 변경하도록 지시하는 많은 조언이 있습니다. 대신 Heartbleed 결함을 수정 한 사이트에서만 비밀번호를 변경해야합니다. 더 클린은 실제로 개인 정보가 nar 될 가능성이 높아질 것이라고 경고했다.
