美國資安主管機關發布通報,要求大選相關單位嚴防透過 Email 進行的駭侵攻擊
- 發布單位:TWCERT/CC
- 更新日期:2020-09-15
- 點閱次數:3095
主管美國資安事務的資安暨基礎建設安全局(CISA),日前發表資安通報,警告和即將舉行的美國總統大選活動有關的各單位,均應嚴防透過 Email 進行的駭侵攻擊。
主管美國資安事務的資安暨基礎建設安全局(Cybersecurity & Infrastructure Security Agency, CISA),日前發表資安通報,警告和即將舉行的美國總統大選活動有關的各單位,均應嚴防透過 Email 進行的各式駭侵攻擊。
CISA 在通報中指出,與大選相關的各種單位,包括政黨、競選活動、智庫、公民團體和相關個人等,過去一直都是駭侵團體鎖定的對象;最近的研究報告顯示,有 32% 的駭侵事件始於釣魚郵件攻擊,更有 78% 的間諜資料竊取透過釣魚攻擊展開。
CISA 要求使用雲端 Email 服務的個人或團體,必須使用由服務提供者指定的各種保護措施,包括:
- 所有的郵件帳號均須設定多次登入認證,包括使用符合 FIDO2 標準的硬體隨機密碼產生器、使用 TOTP 演算法的軟體隨機密碼產生 App 等。
- 除非只有簡訊或 Email 驗證方式可用,否則儘可能不要使用簡訊或 EMail 傳送的登入驗證碼,因為很容易在中途遭到攔截。
- 最好將所有 Email 用戶升級到更進階的帳號防護方案;包括 Google、Microsoft 等雲端服務大廠,均提供這類服務。
另外,針對身分地位較敏感的個人,或是保護程度要求較高的重要單位,CISA 也要求採行以下方式保護其資安:
- 採用密碼管理工具,並要求所有組織成員使用;因為密碼管理工具在遇到詐騙網站時,不會自動輸入帳密。
- 減少要求用戶更換密碼,也不要規定太複雜的密碼規則:最近的研究指出,太複雜的密碼規則要求與過度頻繁的密碼更換規定,會提升用戶的使用困難,反而降低保護程度;可以依據美國國家標準局提出的規範,以長但是好記的密碼、多詞組成的密碼為原則。