Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çin Halk Cumhuriyeti’ne (PRC) bağlı tehdit aktörleriyle bağlantılı siber casusluk faaliyetlerine ilişkin artan endişelerin ortasında mobil iletişimi korumak için yeni en iyi uygulama rehberini yayınladı.
Bu kötü niyetli aktörler, arama kayıtlarını ele geçirmek ve üst düzey hükümet yetkilileri ve siyasi şahsiyetler de dahil olmak üzere yüksek oranda hedef alınan kişilerin özel iletişimlerini tehlikeye atmak için ticari telekomünikasyon altyapısını hedef alıyor.
“Mobil İletişimde En İyi Uygulama Kılavuzu” başlıklı kılavuz, mobil iletişimin güvenliğini artırmaya yönelik güçlü tavsiyelerin ana hatlarını çiziyor. Tavsiye tüm kullanıcılara fayda sağlarken, özellikle siber tehdit aktörlerinin ilgisini çeken hassas bilgileri elinde tutması muhtemel kişileri korumaya odaklanıyor.
Kılavuzun Önemli Noktaları
CISA, bireylere, özellikle de hedef alınma riski yüksek olanlara, tüm mobil iletişimlerin (ister hükümet ister kişisel cihazlar üzerinden olsun) müdahaleye açık olduğunu varsaymalarını şiddetle tavsiye eder.
Hiçbir çözüm riski tamamen ortadan kaldırmasa da CISA, belirtilen en iyi uygulamaları benimsemenin korumayı önemli ölçüde artırabileceğini vurguluyor.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Tüm Kullanıcılara Genel Öneriler
Önerileri özetleyen bir tablo aşağıda verilmiştir:
| Tavsiye | Detaylar |
|---|---|
| FIDO Kimlik Doğrulamasını Benimseyin | Yubico veya Google Titan güvenlik anahtarları gibi kimlik avına karşı dayanıklı, donanım tabanlı FIDO yöntemlerini etkinleştirin. Gmail kullanıcıları için Google’ın Gelişmiş Koruma Programına kaydolun. |
| Uçtan Uca Şifreli Mesajlaşma Uygulamalarını Kullanın | Uçtan uca şifreleme özelliğine sahip Signal gibi güvenli mesajlaşma platformlarını tercih edin. Bu uygulamalar, farklı platformlarda metin, ses ve video iletişimini desteklerken mesajların kaybolması gibi gelişmiş gizlilik seçenekleri sunar. |
| SMS Tabanlı MFA’dan Kaçının | SMS MFA, müdahaleye ve kimlik avına karşı savunmasız olduğundan FIDO kimlik doğrulaması veya kimlik doğrulama uygulamaları gibi daha güvenli alternatiflere geçin. |
| Bir Parola Yöneticisi kullanın | Karmaşık şifreleri güvenli bir şekilde saklayın, zayıf veya güvenliği ihlal edilmiş şifreler için uyarılar alın ve benzersiz kimlik bilgileri oluşturun. |
| Telekom PIN’i belirleyin | SIM değiştirme saldırılarından kaynaklanan riskleri azaltmak için mobil operatör hesaplarına ek bir PIN ekleyin. |
| Mobil Yazılımı Düzenli Olarak Güncelleyin | Otomatik güncellemeleri etkinleştirerek işletim sistemlerinin ve uygulamaların güncel olduğundan emin olun. |
| En Son Mobil Donanımı Kullanın | Kritik güvenlik özelliklerinin mevcut olduğundan emin olmak için en yeni cihazlara yükseltin. |
| Kişisel VPN’lerden kaçının | Saldırı yüzeyinin artmasını önlemek için VPN kullanımını kurumsal gereksinimlerle sınırlandırın. |
iPhone’a Özel Öneriler
- Suistimal edilebilir saldırı yüzeylerini sınırlamak için Kilitleme Modunu etkinleştirin.
- iMessage için SMS geri dönüşünü devre dışı bırakın.
- IP adreslerini maskeleyerek ve DNS sorgularını şifreleyerek gizliliği artırmak için iCloud Private Relay’i kullanın.
- Kamera ve mikrofon erişimi gibi gereksiz uygulama izinlerini kısıtlayın.
Android’e Özel Öneriler
- Uzun vadeli güvenlik güncellemesi taahhütlerine ve donanım düzeyinde güvenlik modülleri gibi özelliklere sahip üreticilerin cihazlarını seçin.
- Mümkün olduğunda uçtan uca şifrelemeyle Zengin İletişim Hizmetlerini (RCS) kullanın.
- Cloudflare veya Google gibi güvenilir sağlayıcılara Özel DNS’yi yapılandırın ve Chrome’da Güvenli Tarama özelliklerini etkinleştirin.
- Kötü amaçlı uygulamaların tespiti için Google Play Korumayı düzenli olarak izleyin ve hassas uygulama izinlerini kısıtlayın.
Siber Güvenlik Farkındalığı İçin Daha Geniş Bir Destek
CISA, ayrıntılı teknik talimatlar sunmanın yanı sıra siber olayların raporlanmasının önemini de vurgulamaktadır. Kişiler ve kuruluşlar, telefon, e-posta veya çevrimiçi portal aracılığıyla CISA ile iletişime geçerek tehditleri veya ihlalleri bildirebilirler.
Bu kılavuz, özellikle güvenlik açıklarının yaygın sonuçlara yol açabileceği telekomünikasyon alanındaki kritik altyapılara yönelik hedefli siber saldırılara ilişkin artan endişeleri yansıtıyor.
CISA, bu tavsiyeleri uygulayarak son derece hassas bireylere yönelik riskleri azaltmayı ve gelişmiş düşmanlardan gelecek tehditleri azaltmayı umuyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin