Çok faktörlü kimlik doğrulama için kısa mesaj kullanıyor musunuz? Muhtemelen farklı bir yönteme geçmelisiniz, özellikle de “ulusumuzun tarihindeki en kötüsü” olarak adlandırılan yeni bir hack hakkında öğrendiğimiz her şey göz önüne alındığında. Federal hükümet bile artık hükümet yetkililerine iletişim için yalnızca şifreli uygulamaları kullanma çağrısı da dahil olmak üzere uyarılar yayınlıyor.
İlk olarak Ekim ayında ortaya çıkan raporlara göre, Çin hükümetiyle bağlantılı bilgisayar korsanları ABD telekomünikasyon altyapısına o kadar derinlemesine sızdı ki, birçok kişinin şifrelenmemiş iletişimlerinin dinlenmesine olanak sağladı. Salt Typhoon adı verilen operasyon, görünüşe göre bilgisayar korsanlarının telefon görüşmelerini dinlemesine ve kısa mesajları yakalamasına izin verdi ve sızma o kadar kapsamlı ki henüz telekom ağlarından bile başlatılmadı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu hafta “yüksek oranda hedeflenen bireyleri” korumaya yönelik en iyi uygulamalar hakkında bir kılavuz yayınladı. yeni uyarı kısa mesajlar hakkında.
“Kimlik doğrulama için SMS’i ikinci bir faktör olarak kullanmayın. SMS mesajları şifrelenmez; bir telekomünikasyon sağlayıcısının ağına erişimi olan ve bu mesajları yakalayan bir tehdit aktörü bu mesajları okuyabilir. SMS MFA, kimlik avına karşı dayanıklı değildir ve bu nedenle, yüksek oranda hedeflenen kişilerin hesapları için güçlü bir kimlik doğrulaması sağlamaz” ifadeleri çevrimiçi olarak yayınlanan kılavuzda yer alıyor.
Her hizmet çok faktörlü kimlik doğrulamasına bile izin vermez ve bazen kısa mesajlar tek seçenektir. Ancak bir seçeneğiniz olduğunda, geçiş anahtarları veya kimlik doğrulama uygulamaları gibi kimlik avına karşı dayanıklı yöntemleri kullanmak daha iyidir. CISA, yalnızca yüksek değerli hedeflerden bahsettiğinde ısrar ederek kılavuzunun başında yer alıyor.
İnanılmaz bir şekilde FBI bile şifreleme kullanımını onayladı; bu belki de ABD telekomünikasyon altyapısına yapılan bu müdahalenin ne kadar ciddi hale geldiğini gösteriyor. FBI’ın, en azından kolluk kuvvetlerinin içinden geçebileceği bir tür arka kapı sağlamadan, her türlü şifrelemeye karşı çıkma konusunda çok uzun bir geçmişi var. Signal gibi uygulamalar mesajlaşma için uçtan uca şifreleme sağlıyor ancak saldırıya uğramayı imkansız hale getirmiyor.
CISA, yeni kılavuzunda “Güvenli iletişim için Signal veya benzeri uygulamalar gibi uçtan uca şifrelemeyi garanti eden ücretsiz bir mesajlaşma uygulamasını benimseyin” dedi. “CISA, hem iPhone hem de Android işletim sistemleriyle uyumlu, platformlar arasında kısa mesajların birlikte çalışabilmesine olanak tanıyan uçtan uca şifreli bir mesajlaşma uygulamasını öneriyor. Bu tür uygulamalar ayrıca MacOS, Windows ve Linux ve bazen de web için istemciler sunabilir.
Salt Typhoon’u yeterince ciddiye almadıkları için hem federal hükümet hem de telekom şirketleri eleştirildi. Virginia’dan bir Demokrat olan Senatör Mark Warner, Washington Post Ve New York Times Kasım ayı sonlarında tehdit hakkında geri döndüm ve alarmı çaldım. Ancak ortalama bir insanın bu konularda ne yapabileceğine dair kalıcı bir soru var. Öyle görünüyor ki cevap, sıradan insanların, yüksek profilli bireylere yönelik duyurular yaparken CISA gibi kurumların tavsiyelerine kulak verebilmeleridir.
