近期美國不斷遭受來自中國的進階持續性威脅(APT),美國政府將這些攻擊行為者統稱為「鹽颱風」(Salt Typhoon),這些網路威脅組織主要針對美國電信商,破壞關鍵基礎設施來竊聽擷取敏感資訊。
早先 FBI 就已發出示警,要求美國 iPhone 和 Android 用戶停止使用不安全的 SMS / RCS 來傳訊息,隨後又建議用戶最好連 iMessage 也不要用;而現在美國聯邦網路防禦機構(CISA)也提出建議,要求用戶「僅使用端對端加密通訊,例如 Signal 或類似應用程式」,敦促用戶使用「與 iPhone 和 Android 作業系統相容,允許跨平台簡訊互通」應用程式。
這意味著也不要使用簡訊收 2FA / MFA 驗證碼,而是以 FIDO 網路釣魚防禦身分驗證取代。
什麼是 FIDO?這是種無密碼驗證,因傳統密碼早已不夠安全,容易被駭客破解。FIDO 將允許某種物理形式的身分驗證,可行的情況下,基於硬體的 FIDO 安全金鑰(像是 Yubico 或 Google Titan)會是最有效的方式。
CISA 認為,透過簡訊收臨時一次性驗證碼的形式已不再可被接受,建議使用者不要使用簡訊作為身分驗證的第二因素,SMS 訊息未加密,駭客能夠攔截訊息並讀取。SMS MFA 無法抵禦網路釣魚,因此對高度與個人關聯的帳戶來說,這並不是強驗證。
不過 CISA 指出,如果只是在一些平台註冊過程使用簡訊收驗證碼,那這種狀況可接受。除此之外,CISA 也建議,最好使用 PIN 碼鎖定手機、SIM 卡與電信商服務(像是語音信箱),這是對抗 SIM 卡交換技術的關鍵一步。
針對 iPhone 與 Android 設備 CISA 給出了更具體的用戶建議。用戶除了要確保作業系統始終維持更新在最新狀態外,也建議一些高階官員最好開啟 iPhone 的「iCloud 私密傳送」功能。
如果是使用 Android 設備,那麼要注意的情況就會更多;用戶最好開啟安全瀏覽、已知安全的特定 OEM/型號及長期安全性更新、Play Protect 安全防護,且對於那些已安裝應用程式的權限要求進行仔細評估。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
