Badan Keamanan Siber dan Infrastruktur (CISA) telah merilis nasihat komprehensif yang memperingatkan pengguna terhadap risiko mengandalkan Layanan Pesan Singkat (SMS) untuk autentikasi multi-faktor (MFA).
Rekomendasi ini merupakan bagian utama dari “Panduan Praktik Terbaik Komunikasi Seluler” terbaru dari CISA, yang bertujuan untuk memperkuat keamanan komunikasi seluler, khususnya bagi individu yang menjadi sasaran serangan siber canggih.
Saran ini, yang dirilis pada 18 Desember 2024, muncul di tengah meningkatnya ancaman dunia maya, terutama dari aktor-aktor yang disponsori negara yang menargetkan komunikasi sensitif.
“SMS MFA tidak tahan terhadap phishing dan oleh karena itu bukan autentikasi yang kuat untuk akun dari individu-individu yang sangat ditargetkan,”demikian bunyi nasihat tersebut, yang menggarisbawahi seruan lembaga tersebut untuk mencari alternatif yang lebih aman seperti protokol autentikasi Fast Identity Online (FIDO).
Terkait: Celah Penting Microsoft MFA Terungkap Jutaan Orang Akun Pengguna
Mengapa MFA SMS Rentan
MFA berbasis SMS telah lama menjadi pilihan populer untuk mengamankan akun online karena kesederhanaannya dan penerapannya secara luas. Namun, CISA mengidentifikasi dua kerentanan utama yang membuat SMS MFA tidak memadai untuk menghadapi tantangan keamanan siber modern.
Pertama, pesan SMS dikirimkan dalam bentuk teks biasa, sehingga rentan terhadap intersepsi oleh penyerang yang telah mendapatkan akses ke jaringan telekomunikasi. Kedua, SMS MFA tidak memiliki ketahanan terhadap phishing, artinya pelaku ancaman dapat dengan mudah menipu pengguna agar membagikan kode autentikasi mereka melalui pesan atau situs web palsu.
Terkait: AWS Meluncurkan Layanan Respons Insiden di Tengah Meroketnya Dunia Maya Ancaman
Kerentanan ini telah dieksploitasi oleh aktor-aktor yang disponsori negara, khususnya yang terkait dengan Tiongkok. Pelaku-pelaku tersebut telah menargetkan infrastruktur telekomunikasi untuk menyadap pesan SMS dan menyusupi akun-akun sensitif.
Dalam nasihatnya, CISA memperingatkan bahwa individu yang berisiko tinggi, seperti pejabat pemerintah dan personel infrastruktur penting, sangat rentan terhadap bentuk-bentuk serangan ini.
Transisi ke Autentikasi Tahan Phishing
Untuk mengatasi risiko ini, CISA merekomendasikan peralihan ke metode MFA yang tahan phishing, dengan penekanan kuat pada autentikasi FIDO. Protokol FIDO memanfaatkan kunci kriptografi untuk mengautentikasi pengguna tanpa mengirimkan data sensitif melalui jaringan yang tidak aman.
Kunci keamanan berbasis perangkat keras, seperti Yubico atau Google Titan, disorot sebagai yang paling tangguh opsi ini, meskipun kunci sandi FIDO—kredensial kriptografi digital—juga dianggap sebagai alternatif yang dapat diterima.
“Setelah terdaftar dalam autentikasi berbasis FIDO, nonaktifkan bentuk MFA lain yang kurang aman,” saran panduan tersebut. Hal ini memastikan bahwa opsi cadangan, seperti SMS, tidak secara tidak sengaja menciptakan kerentanan yang dapat dieksploitasi.
Terkait: Microsoft Memperbarui API WebAuthn Windows 11 untuk Mengaktifkan Kunci Sandi Pihak Ketiga
Rekomendasi yang Lebih Luas untuk Keamanan Seluler
Selain memberikan saran terhadap SMS MFA, panduan CISA memberikan serangkaian praktik terbaik untuk mengamankan komunikasi seluler platform perpesanan terenkripsi ujung ke ujung, seperti Signal, untuk memastikan bahwa komunikasi tetap bersifat pribadi dan terlindungi.
Memperbarui perangkat lunak perangkat secara rutin juga penting, karena pembaruan sering kali menyertakan perbaikan untuk kerentanan yang diketahui. CISA selanjutnya merekomendasikan penggunaan pengelola kata sandi untuk membuat dan menyimpan kata sandi unik dengan aman, sehingga mengurangi risiko peretasan akun karena kredensial yang lemah atau digunakan kembali.
Saran ini juga memperingatkan terhadap penggunaan jaringan pribadi virtual (VPN) pribadi. , menyatakan bahwa mereka dapat mengalihkan kerentanan dari penyedia layanan internet ke penyedia VPN. Sebaliknya, organisasi didorong untuk menggunakan solusi tingkat perusahaan ketika akses VPN diperlukan.
Terkait: Malware Berbasis AI: Bagaimana Aplikasi Palsu dan CAPTCHA Menargetkan Pengguna Windows dan MacOS
Memahami Otentikasi FIDO
Fast Identity Online (FIDO) autentikasi mewakili pengaruh yang signifikan kemajuan dalam keamanan akun. Berbeda dengan metode MFA tradisional, FIDO mengandalkan kriptografi kunci publik untuk mengautentikasi pengguna.
Saat pengguna mendaftarkan perangkat, kunci kriptografi pribadi dibuat dan disimpan dengan aman di perangkat, sementara kunci publik terkait disimpan di server. Saat login, perangkat menandatangani tantangan server menggunakan kunci pribadi, memastikan bahwa informasi sensitif tidak pernah meninggalkan perangkat.
Metode ini memberikan perlindungan yang kuat terhadap serangan phishing dan man-in-the-middle, sehingga menjadikannya solusi yang aman. alat penting untuk menjaga akun bernilai tinggi. Dengan menghilangkan kebutuhan akan kode yang dikirimkan, autentikasi FIDO mengatasi kerentanan inti yang melekat pada SMS MFA.
Konteks Keamanan Siber yang Lebih Luas
Panduan CISA adalah bagian dari a upaya yang lebih besar untuk mengatasi meningkatnya ancaman dari pelaku siber yang disponsori negara. Dalam beberapa tahun terakhir, kampanye jahat yang menargetkan infrastruktur telekomunikasi semakin meningkat, sehingga memungkinkan penyerang menyadap komunikasi pribadi dan mengambil data sensitif.
Panduan ini secara khusus menargetkan individu-individu yang memiliki peran berisiko tinggi, seperti pejabat senior pemerintah dan eksekutif perusahaan, yang sering kali menjadi fokus serangan siber tingkat lanjut ini.
“Individu yang memiliki target tinggi harus berasumsi bahwa semua komunikasi antar perangkat seluler berisiko disadap atau dimanipulasi,”panduan ini memperingatkan. Penilaian yang tegas ini mencerminkan sifat ancaman dunia maya yang terus berkembang dan menggarisbawahi pentingnya menerapkan langkah-langkah keamanan yang lebih kuat.
