今年10月底美國聯邦調查局(FBI)與網路安全暨基礎設施安全局(CISA)證實,中國資助的駭客非法存取美國的電信基礎設施,後續11月中旬他們確認這些駭客竊取用戶的通訊記錄資料,且針對參與政府及政治事務的特定人士,滲透私人通訊內容,究竟這些被鎖定的人們該如何自保?近期CISA給出了解方。

12月18日CISA發布行動通訊最佳實作指引(Best Practice Guidance for Mobile Communications),並表明這些指引內容就是針對前述中國駭客相關攻擊行動進行回應,適用於攻擊者可能會高度感到興趣的人士,例如:政府機關的高層。

當中最受到關注的部分,就是建議人們改用Signal這類實作全程加密(E2EE)的加密通訊軟體,來對他人進行通訊,CISA提及用戶挑選這類通訊軟體的必要條件,是至少有針對iOS和安卓作業系統實作全程加密,使得用戶能夠在不同平臺之間進行安全的通訊。

除此之外,他們也呼籲這些人士應採用FIDO身分驗證機制、密碼管理工具,並為手機號碼設置PIN碼,再者,使用者也不要繼續採用基於電話簡訊傳遞動態密碼的多因素驗證(MFA),並尋求其他替代方法。

CISA特別提及不要使用個人版VPN服務,他們認為這只是將既有的連網風險延伸,從你原本的網際網路服務供應商轉移到VPN服務供應商,而有可能增加攻擊面。此外,他們也針對iOS、安卓用戶提出建議的防護措施。

熱門新聞

Advertisement