Agenția americană de securitate cibernetică (CISA) a emis o versiune actualizată a ghidului pentru protecția comunicațiilor mobile, în contextul intensificării operațiunilor de spionaj cibernetic atribuite unor actori statali.

Documentul a fost publicat după ce hackerii Salt Typhoon, asociați cu Republica Populară Chineză, au vizat infrastructura comercială de telecomunicații, obținând acces la înregistrări de apeluri și la comunicații private ale unor persoane cu de rang înalt.

Ghidul se adresează în mod special oficialilor din structuri guvernamentale, militare și politice, însă CISA subliniază că recomandările pot îmbunătăți securitatea oricărui utilizator de dispozitive mobile.

Riscurile în creștere cer securitate sporită

Agenția avertizează că toate tipurile de comunicații realizate între dispozitive mobile și servicii online trebuie considerate potențial expuse interceptării sau manipulării.

În lipsa unei soluții unice care să elimine complet riscurile, CISA recomandă adoptarea unor măsuri complementare menite să reducă semnificativ vulnerabilitățile.

Conform agenției, utilizatorii ar trebui să folosească aplicații de mesagerie care oferă criptare completă (e.g. Signal), compatibile atât cu iOS cât și cu Android, unele incluzând opțiuni precum autodistrugerea mesajelor.

În cazul organizațiilor, soluții precum Microsoft Teams, Google Workspace, Slack, and WebEx asigură comunicarea securizată.

Utilizatorilor li se recomandă să evite invitațiile necunoscute în grupuri pe Signal și WhatsApp, scanarea de coduri QR din surse necunoscute, să fie atenți la alertele neașteptate care solicită coduri de verificare și să elimine dispozitivele neautorizate care sunt conectate la cont.

Agenția subliniază necesitatea activării autentificării bazate pe standardul FIDO, preferabil prin utilizarea unor chei hardware (Yubico, Google Titan). Dacă sistemul suportă, și passkey-urile FIDO bazate pe criptografia asimetrică oferă o protecție mai bună decât clasica parola.

Conturile considerate sensibile – precum cele de e-mail sau de servicii cloud – ar trebui înscrise în acest sistem și protejate prin dezactivarea metodelor mai slabe de autentificare.

Ghidul recomandă renunțarea la codurile trimise prin SMS, deoarece acestea nu sunt criptate, pot fi interceptate în cazul compromiterii infrastructurii operatorilor, și nu sunt rezistente la phishing.

Pentru conturile cu risc scăzut se pot folosi aplicații de generare a codurilor temporare, însă CISA precizează că doar metodele FIDO sunt complet rezistente la phishing.

Utilizarea unui manager de parole (Bitwarden, LastPass, Keeper) este prezentată drept o măsură esențială pentru generarea și stocarea unor parole unice și complexe. Parola principală trebuie să fie puternică, iar parolele mai vechi sau slabe trebuie înlocuite.

Agenția recomandă, dacă este posibil, setarea unui PIN suplimentar la contul furnizorului de servicii mobile pentru a preveni atacurile de tip SIM swapping. Acesta ar trebui combinat cu autentificare multifactor și cu actualizarea parolei contului.

CISA cere utilizatorilor să verifice periodic, ideal săptămânal, actualizările de sistem și de aplicații și să activeze instalarea automată. De asemenea, sunt recomandate dispozitivele mobile de generație nouă, care includ mecanisme de securitate ce nu pot fi implementate pe modele mai vechi.

Potrivit agenției, VPN-urile comerciale sau gratuite pot introduce riscuri suplimentare, direcționând traficul prin servicii care nu oferă garanții clare de securitate. Excepție fac VPN-urile impuse de organizații pentru acces la resurse interne.

Recomandări specifice pentru iPhone și Android

Utilizatorilor li se recomandă activarea modului Lockdown pe iPhone și dezactivarea utilizării aplicație de SMS atunci când iMessage nu este disponibil (iMessage oferă comunicații criptate între utilizatorii iOS).

Pentru Android, CISA recomandă alegerea unor modele cu actualizări lunare garantate, folosirea comunicării RCS doar când criptarea este activă, activarea opțiunii „Always Use Secure Connections” în Chrome și a sistemului Google Play Protect.

Pentru ambele tipuri de dispozitive CISA sfătuiește utilizatorii să folosească servicii de DNS criptate (1.1.1.1 de la CloudFlare, 8.8.8.8 de la Google) sau 9.9.9.9 de la Quad9).

Există variante de DNS resolvers și în Uniunea Europeană, utilizatorii putând testa DNS4EU, ce oferă pentru control parental și care pot bloca reclamele pe site-uri și în unele aplicații și NextDNS, o alternativă ce poate fi configurată mai în detaliu.

Deși ghidul se adresează persoanelor ce prezintă interes pentru actorii statali, unele opțiuni pot fi implementate și de utilizatori obișnuiți ce vor să se protejeze de eventuale atacuri cibercriminale