Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) opublikowała kompleksowy poradnik ostrzegający użytkowników przed ryzykiem polegania na usłudze krótkich wiadomości tekstowych (SMS) w celu uwierzytelniania wieloskładnikowego (MFA).
To zalecenie stanowi centralną część nowe „Wytyczne dotyczące najlepszych praktyk w zakresie komunikacji mobilnej” CISA, których celem jest wzmocnienie bezpieczeństwa komunikacji mobilnej, szczególnie w przypadku osób będących celem zaawansowanych cyberataki.
Poradnik opublikowany 18 grudnia 2024 r. pojawia się w obliczu rosnących zagrożeń cybernetycznych, szczególnie ze strony podmiotów sponsorowanych przez państwo, których celem jest poufna komunikacja.
„SMS MFA nie jest odporny na phishing i nie zapewnia zatem silnego uwierzytelniania kont ściśle określonych osób” – stwierdza dokument, podkreślając wezwanie agencji do stosowania bezpieczniejszych alternatyw, takich jak Fast Identity Online protokoły uwierzytelniania FIDO.
Powiązane: Krytyczna luka w rozwiązaniu Microsoft MFA ujawniła miliony kont użytkowników
Dlaczego usługa SMS MFA jest podatna na zagrożenia
MFA oparte na wiadomościach SMS od dawna jest popularnym sposobem zabezpieczania kont internetowych ze względu na prostotę i powszechne zastosowanie. CISA identyfikuje jednak dwie główne luki, które sprawiają, że SMS MFA jest nieodpowiedni do współczesnych wyzwań związanych z cyberbezpieczeństwem.
Po pierwsze, wiadomości SMS są przesyłane w postaci zwykłego tekstu, co czyni je podatnymi na przechwycenie przez osoby atakujące, które uzyskały dostęp do sieci telekomunikacyjnych. Po drugie, SMS MFA nie jest odporny na phishing, co oznacza, że ugrupowania zagrażające mogą łatwo oszukać użytkowników, aby udostępnili swoje kody uwierzytelniające za pośrednictwem fałszywych wiadomości lub witryn internetowych.
Powiązane: AWS debiutuje z usługą reagowania na incydenty w obliczu gwałtownie rosnącego cyberbezpieczeństwa Zagrożenia
Te luki zostały wykorzystane przez podmioty sponsorowane przez państwo, szczególnie te powiązane z Chinami. Podmioty takie obierają za cel infrastrukturę telekomunikacyjną, aby przechwytywać wiadomości SMS i naruszać poufne konta.
W swoim poradniku CISA ostrzega, że osoby wysokiego ryzyka, takie jak urzędnicy rządowi i pracownicy infrastruktury krytycznej, są szczególnie narażone na te formy ataków.
Przejście do Uwierzytelnianie odporne na phishing
Aby zaradzić tym zagrożeniom, CISA zaleca przejście na metody MFA odporne na phishing, ze szczególnym naciskiem na Uwierzytelnianie FIDO. Protokoły FIDO wykorzystują klucze kryptograficzne do uwierzytelniania użytkowników bez przesyłania wrażliwych danych przez niezabezpieczone sieci.
Sprzętowe klucze bezpieczeństwa, takie jak Yubico lub Google Titan, są wyróżnione jako najbardziej niezawodne opcję, chociaż klucze FIDO — cyfrowe dane uwierzytelniające — są również uważane za akceptowalne alternatywy.
„Po zarejestrowaniu się w uwierzytelnianiu opartym na FIDO wyłącz inne, mniej bezpieczne formy MFA”, zgodnie z zaleceniami gwarantuje to, że opcje awaryjne, takie jak SMS, nie utworzą w sposób niezamierzony luk w zabezpieczeniach, które można wykorzystać.
Powiązane: Firma Microsoft aktualizuje interfejsy API WebAuthn systemu Windows 11, aby umożliwić korzystanie z kluczy dostępu innych firm
Szersze zalecenia dotyczące bezpieczeństwa urządzeń mobilnych
Oprócz odradzania stosowania SMS MFA, wytyczne CISA zawierają szereg najlepszych praktyki dotyczące zabezpieczania komunikacji mobilnej obejmują wdrażanie platform do szyfrowania wiadomości typu end-to-end, takich jak Signal, w celu zapewnienia prywatności i ochrony komunikacji.
Regularne aktualizowanie oprogramowania urządzenia jest również krytyczne, co często obejmuje aktualizacje poprawki znanych luk w zabezpieczeniach. CISA zaleca ponadto używanie menedżerów haseł do generowania i bezpiecznego przechowywania unikalnych haseł, zmniejszając w ten sposób ryzyko naruszenia bezpieczeństwa konta z powodu słabych lub ponownie użytych danych uwierzytelniających.
W poradniku ostrzega się również przed korzystaniem z osobistych wirtualnych sieci prywatnych (VPN). , stwierdzając, że mogą przenieść luki w zabezpieczeniach z dostawców usług internetowych na dostawców VPN. Zamiast tego zachęca się organizacje do korzystania z rozwiązań klasy korporacyjnej, gdy wymagany jest dostęp VPN.
Powiązane: Złośliwe oprogramowanie sterowane przez sztuczną inteligencję: w jaki sposób fałszywe aplikacje i kody CAPTCHA atakują użytkowników systemów Windows i macOS
Zrozumienie uwierzytelniania FIDO
Uwierzytelnianie Fast Identity Online (FIDO) stanowi istotny postęp w bezpieczeństwie konta. W przeciwieństwie do tradycyjnych metod MFA, FIDO opiera się na kryptografii klucza publicznego w celu uwierzytelniania użytkowników.
Kiedy użytkownik rejestruje urządzenie, generowany jest prywatny klucz kryptograficzny i bezpiecznie przechowywany na urządzeniu, podczas gdy odpowiedni klucz publiczny jest przechowywany na serwerze. Podczas logowania urządzenie podpisuje wyzwanie serwera za pomocą klucza prywatnego, zapewniając, że poufne informacje nigdy nie opuszczą urządzenia.
Ta metoda zapewnia solidną ochronę przed phishingiem i atakami typu man-in-the-middle, dzięki czemu jest to niezbędne narzędzie do zabezpieczania rachunków o dużej wartości. Eliminując potrzebę przesyłania kodów, uwierzytelnianie FIDO eliminuje podstawowe luki nieodłącznie związane z usługą SMS MFA.
Szerszy kontekst cyberbezpieczeństwa
Wytyczne CISA są częścią podjęcia większych wysiłków w celu zajęcia się rosnącymi zagrożeniami ze strony sponsorowanych przez państwo podmiotów cybernetycznych. W ostatnich latach wzrosła liczba złośliwych kampanii wymierzonych w infrastrukturę telekomunikacyjną, co umożliwiło atakującym przechwytywanie prywatnej komunikacji i wydobywanie wrażliwych danych.
Wytyczne są skierowane w szczególności do osób pełniących stanowiska wysokiego ryzyka, takich jak wyżsi urzędnicy rządowi i kadra kierownicza korporacji, które często są celem tych zaawansowanych cyberataków.
„Osoby, które są ściśle ukierunkowane, powinny zakładać, że że wszelka komunikacja między urządzeniami mobilnymi jest narażona na przechwycenie lub manipulację” – ostrzegają wytyczne. Ta surowa ocena odzwierciedla ewoluujący charakter zagrożeń cybernetycznych i podkreśla znaczenie wdrożenia silniejszych środków bezpieczeństwa.
