CISA發布警告：間諜軟體向即時通訊應用程式用戶發動攻擊

📡 Source: TWCERT/CC

美國網路安全和基礎設施安全局(CISA)針對不斷升級的網路間諜活動發布警報《Spyware Allows Cyber Threat Actors to Target Users of Messaging Applications》並更新行動通訊最佳實作《Mobile Communications Best Practice Guidance》。 鑑於針對行動通訊軟體的攻擊數量和複雜度持續增加，呼籲所有使用者提高警覺，以應對不斷升級的網路間諜活動。 CISA指出多個網路攻擊者，正積極利用商業間諜軟體，鎖定即時通訊應用程式的使用者。 這些攻擊者透過高度複雜的目標鎖定手法與社交工程技術部署間諜軟體，從而未經授權存取受害者資料，並進一步植入惡意程式，危害行動裝置的安全。 目前CISA觀察到攻擊者主要使用的策略包含： 帳戶盜用：透過網路釣魚和惡意QR Code誘導用戶將帳戶連結到攻擊者控制設備。 零點擊漏洞（Zero-click exploits）攻擊：此類攻擊無需使用者採取任何行動，攻擊者即可在設備中植入惡意軟體。 偽裝應用程式：偽冒Signal、WhatsApp等知名通訊應用程式，誘騙使用者下載含有惡意程式碼的偽冒版本。 為協助使用者抵禦惡意威脅，新版指南強化保護端點與加密通訊的防護措施，CISA所提出的關鍵安全措施包含： 一、行動通訊安全最佳實務 落實端對端加密(E2EE)：僅使用具備端對端加密技術的通訊工具，確保訊息在傳輸過程中無法被攔截與解密。 謹慎評估應用程式隱私政策：選擇通訊軟體時，務必檢視該應用程式及其相關服務對資料收集的範圍與內容。 優先採用高安全性平台：建議使用預設提供 E2EE 的即時通訊應用程式。 對系統警示保持高度警戒：特別是要求「重新驗證身分」或「連結新裝置」的提示，這往往是攻擊者試圖劫持帳號的常見手法。 二、強化身分驗證機制 導入防釣魚的多因子驗證(MFA)：啟用基於FIDO標準的 MFA 機制。 優先採用實體安全金鑰：強烈建議使用硬體型FIDO安全金鑰(如Yubico 或 Google Titan)，FIDO密碼密鑰(Passkey)亦為可接受的替代方案。 限縮核心帳號驗證途徑：針對 Microsoft、Apple 和 Google 等核心帳戶，在啟用硬體金鑰後，應主動停用其他安全性較低的 MFA 形式。 三、停用簡訊(SMS)雙重驗證 避免使用SMS作為第二因子驗證：由於簡訊傳輸並未加密，攻擊者可輕易攔截、讀取驗證碼，或透過SIM卡交換攻擊(SIM Swapping)進行竊取。 移除舊有弱點：在帳戶註冊了更安全的身分驗證器或 FIDO MFA 後，應立即至設定中「停用」SMS 驗證，避免其成為攻擊者降級攻擊的破口。 更多詳細建議可參考《Mobile Communications Best Practice Guidance》，其中亦提供針對iPhone與Android使用者的特定安全強化措施。

🔗 Read full article: https://www.twcert.org.tw/tw/cp-104-10726-fffcd-1.html