Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) ka lëshuar një paralajmërim gjithëpërfshirës këshillues për përdoruesit kundër rreziqeve të mbështetjes në Shërbimin e Mesazheve të Shkurtër (SMS) për vërtetimin me shumë faktorë (MFA).
Ky rekomandim përbën një pjesë qendrore të Udhëzuesi i ri i praktikave më të mira të komunikimit celular”i CISA i cili synon të forcojë sigurinë e komunikimeve celulare, veçanërisht për individët shënjestruar nga sulme të sofistikuara kibernetike.
Këshillimi, i lëshuar më 18 dhjetor 2024, vjen mes kërcënimeve kibernetike në rritje, veçanërisht nga aktorët e sponsorizuar nga shteti që synojnë komunikime të ndjeshme.
“SMS MPJ nuk është rezistente ndaj phishing dhe Prandaj nuk është vërtetim i fortë për llogaritë e individëve shumë të shënjestruar”, thuhet në këshillim, duke nënvizuar agjencinë bëni thirrje për alternativa më të sigurta si protokollet e vërtetimit të Identitetit të shpejtë në internet (FIDO).
I lidhur: Zbrazëtira kritike e Microsoft MFA ekspozoi miliona llogari përdoruesish
Pse pse SMS MFA është e cenueshme
MPJ e bazuar në SMS ka qenë prej kohësh një zgjedhje popullore për sigurimin e llogarive online për shkak të thjeshtësisë dhe adoptim i përhapur. Megjithatë, CISA identifikon dy dobësi kryesore që e bëjnë SMS MPJ të papërshtatshme për sfidat moderne të sigurisë kibernetike.
Së pari, mesazhet SMS transmetohen në tekst të thjeshtë, duke i bërë ato të ndjeshme ndaj përgjimit nga sulmuesit që kanë fituar akses në rrjetet e telekomunikacionit. Së dyti, SMS MPA-së i mungon rezistenca ndaj phishing, që do të thotë se aktorët e kërcënimit mund t’i mashtrojnë lehtësisht përdoruesit që të ndajnë kodet e tyre të vërtetimit përmes mesazheve ose uebsajteve mashtruese.
I lidhur: AWS debuton Shërbimin e Reagimit ndaj Incidentit Midis Kibernetikës në rritje. Kërcënimet
Këto dobësi janë shfrytëzuar nga aktorë të sponsorizuar nga shteti, veçanërisht ato që lidhen me Kinën. Aktorë të tillë kanë synuar infrastrukturën e telekomunikacionit për të përgjuar mesazhet SMS dhe për të komprometuar llogaritë e ndjeshme.
Në këshillimin e saj, CISA paralajmëron se individët me rrezik të lartë, si zyrtarët e qeverisë dhe personeli i infrastrukturës kritike, janë veçanërisht të prekshëm ndaj këtyre formave të sulmit.
Tranzicioni në Autentifikimi rezistent ndaj phishing-ut
Për të adresuar këto rreziqe, CISA rekomandon kalimin në metodat MFA rezistente ndaj phishing-ut, me një theksi mbi vërtetimin FIDO. Protokollet FIDO përdorin çelësat kriptografikë për të vërtetuar përdoruesit pa transmetuar të dhëna të ndjeshme përmes rrjeteve të pasigurta.
Çelësat e sigurisë të bazuara në harduer, të tillë si Yubico ose Google Titan, janë theksuar si më të fortët opsion, megjithëse çelësat e kalimit FIDO-kredencialet kriptografike dixhitale-konsiderohen gjithashtu alternativa të pranueshme.
“Pasi të regjistroheni në Autentifikimi i bazuar në FIDO, çaktivizoni forma të tjera më pak të sigurta të MPJ-së”, këshillon udhëzimi. Kjo siguron që opsionet e kthimit, të tilla si SMS, të mos krijojnë pa dashje dobësi të shfrytëzueshme.
I lidhur >: Microsoft përditëson API-të e Windows 11 WebAuthn për të aktivizuar çelësat e kalimit të palëve të treta
Rekomandime më të gjera për sigurinë celulare
Përveç këshillimit kundër SMS MFA, udhëzimi i CISA ofron një sërë praktikash më të mira për sigurimin e komunikimeve celulare platformat e mesazheve, të tilla si Signal, për të siguruar që komunikimet mbeten private dhe të mbrojtura
Përditësimi i rregullt i softuerit të pajisjes është gjithashtu kritik, siç e përfshijnë shpesh përditësimet arna për dobësitë e njohura. CISA rekomandon më tej përdorimin e menaxherëve të fjalëkalimeve për të gjeneruar dhe ruajtur në mënyrë të sigurt fjalëkalime unike, duke reduktuar kështu rrezikun e komprometimit të llogarisë për shkak të kredencialeve të dobëta ose të ripërdorura.
Këshillimi gjithashtu paralajmëron kundër përdorimit të rrjeteve private virtuale personale (VPN) , duke deklaruar se ata mund të zhvendosin dobësitë nga ofruesit e shërbimeve të internetit tek ofruesit e VPN. Në vend të kësaj, organizatat inkurajohen të përdorin zgjidhje të nivelit të ndërmarrjes kur kërkohet qasja në VPN.
I ngjashëm: Malware i drejtuar nga AI: Si synojnë përdoruesit e Windows dhe macOS aplikacionet e rreme dhe CAPTCHA
p>
Të kuptuarit e vërtetimit FIDO
Shpejtë Identiteti Online (FIDO) vërtetimi përfaqëson një përparim të rëndësishëm në sigurinë e llogarisë. Ndryshe nga metodat tradicionale të MPJ-së, FIDO mbështetet në kriptografinë e çelësit publik për të vërtetuar përdoruesit.
Kur një përdorues regjistron një pajisje, një çelës privat kriptografik gjenerohet dhe ruhet në mënyrë të sigurt në pajisje, ndërsa një çelës publik përkatës ruhet në server. Gjatë identifikimit, pajisja nënshkruan një sfidë të serverit duke përdorur çelësin privat, duke siguruar që informacionet delikate të mos largohen kurrë nga pajisja.
Kjo metodë ofron mbrojtje të fuqishme kundër sulmeve të phishing dhe personit në mes, duke e bërë atë një mjet thelbësor për ruajtjen e llogarive me vlerë të lartë. Duke eliminuar nevojën për kode të transmetuara, vërtetimi FIDO trajton dobësitë thelbësore të natyrshme në SMS MFA.
Konteksti më i gjerë i sigurisë kibernetike
Udhëzimi i CISA është pjesë e një përpjekje më të mëdha për të adresuar kërcënimet në rritje nga aktorët kibernetikë të sponsorizuar nga shteti. Vitet e fundit, fushatat me qëllim të keq që synojnë infrastrukturën e telekomunikacionit janë shtuar, duke lejuar sulmuesit të përgjojnë komunikimet private dhe të nxjerrin të dhëna të ndjeshme.
Udhëzimi synon në mënyrë specifike individët në role me rrezik të lartë, si zyrtarët e lartë të qeverisë dhe drejtuesit e korporatave, të cilët shpesh janë fokusi i këtyre sulmeve të avancuara kibernetike.
“Individët me shënjestër të lartë duhet të supozojnë. se të gjitha komunikimet ndërmjet pajisjeve celulare janë në rrezik përgjimi ose manipulimi,”paralajmëron udhëzimi. Ky vlerësim i ashpër pasqyron natyrën në zhvillim të kërcënimeve kibernetike dhe nënvizon rëndësinë e zbatimit të masave më të forta të sigurisë.
