Mentre “attacchi zero-day” sono abbastanza brutti—sono chiamati così perché gli sviluppatori hanno avuto zero giorni per affrontare la vulnerabilità prima che esca allo scoperto—gli attacchi zero-click riguardano in modo diverso.
Definizione di attacchi zero-click
Molti attacchi informatici comuni come il phishing richiedono all'utente di intraprendere un qualche tipo di azione. In questi schemi l'apertura di un'e-mail, il download di un allegato o il clic su un collegamento consente l'accesso di software dannoso al dispositivo. Ma gli attacchi zero-click richiedono, beh, nessuna interazione da parte dell'utente per funzionare.
Questi attacchi non richiedono l'utilizzo di “ingegneria sociale,” le tattiche psicologiche utilizzate dai malintenzionati per indurti a fare clic sul loro malware. Invece, si limitano a ballare direttamente nella tua macchina. Ciò rende gli aggressori molto più difficili da rintracciare e, se falliscono, possono continuare a provare finché non lo ottengono, perché non sai di essere attaccato.
Le vulnerabilità a clic zero sono molto apprezzato fino al livello di stato-nazione. Aziende come Zerodium che comprano e vendono vulnerabilità sul mercato nero offrono milioni a chiunque riesca a trovarle.
Pubblicità
Qualsiasi sistema che analizza i dati ricevuti per determinare se tali dati possono essere considerati attendibili è vulnerabile a un attacco zero-click. Questo è ciò che rende le app di posta elettronica e di messaggistica obiettivi così attraenti. Inoltre, la crittografia end-to-end presente in app come iMessage di Apple rende difficile sapere se viene inviato un attacco zero-click perché il contenuto del pacchetto di dati non può essere visto da nessuno ma il mittente e il destinatario.
Questi attacchi spesso non lasciano molte tracce. Un attacco e-mail a zero clic, ad esempio, potrebbe copiare l'intero contenuto della tua casella di posta elettronica prima di eliminarsi. E più l'app è complessa, più spazio c'è per gli exploit zero-click.
RELAZIONATO: Cosa dovresti fare se ricevi un'e-mail di phishing?
Attacchi a zero clic in natura
A settembre, The Citizen Lab ha scoperto un exploit zero-click che consentiva agli aggressori di installare il malware Pegasus sul telefono di un bersaglio utilizzando un PDF progettato per eseguire automaticamente il codice. Il malware trasforma efficacemente lo smartphone di chiunque ne sia stato infettato in un dispositivo di ascolto. Da allora Apple ha sviluppato una patch per la vulnerabilità.
Ad aprile, la società di sicurezza informatica ZecOps ha pubblicato un articolo su diversi attacchi zero-click trovati nell'app Mail di Apple. Gli aggressori informatici hanno inviato e-mail appositamente predisposte agli utenti di posta che hanno consentito loro di accedere al dispositivo senza alcuna azione da parte dell'utente. E mentre il rapporto ZecOps afferma che non credono che questi particolari rischi per la sicurezza rappresentino una minaccia per gli utenti Apple, exploit come questo potrebbero essere utilizzati per creare una catena di vulnerabilità che alla fine consentono a un hacker di prendere il controllo.
Nel 2019, un exploit in WhatsApp è stato utilizzato dagli aggressori per installare spyware sui telefoni delle persone semplicemente chiamandole. Da allora Facebook ha citato in giudizio il fornitore di spyware ritenuto responsabile, sostenendo che stava usando quello spyware per prendere di mira dissidenti politici e attivisti.
Come proteggersi
Sfortunatamente, poiché questi attacchi sono difficili da rilevare e non richiedono alcuna azione da parte dell'utente per essere eseguiti, è difficile proteggerli. Ma una buona igiene digitale può comunque renderti meno un bersaglio.
CORRELATOCome mantenere aggiornato il tuo PC Windows e le tue app
Aggiorna spesso i tuoi dispositivi e le tue app, incluso il browser che utilizzi. Questi aggiornamenti spesso contengono patch per exploit che i malintenzionati possono usare contro di te se non li installi. Molte vittime degli attacchi ransomware WannaCry, ad esempio, avrebbero potuto evitarli con un semplice aggiornamento. Abbiamo guide per aggiornare le app per iPhone e iPad, aggiornare il tuo Mac e le sue app installate e mantenere aggiornato il tuo dispositivo Android.
Pubblicità
Procurati un buon programma antispyware e antimalware e usali regolarmente. Usa una VPN in luoghi pubblici, se puoi, e non inserire informazioni sensibili come i dati bancari su una connessione pubblica non attendibile.
Gli sviluppatori di app possono aiutare da parte loro testando rigorosamente i loro prodotti per gli exploit prima rilasciandoli al pubblico. Coinvolgere esperti professionisti di sicurezza informatica e offrire premi per le correzioni di bug può fare molto per rendere le cose più sicure.
Quindi dovresti perdere il sonno per questo? Probabilmente no. Gli attacchi zero-click sono usati principalmente contro spionaggio di alto profilo e obiettivi finanziari. Finché prendi tutte le misure possibili per proteggerti, dovresti fare bene.
RELAZIONATO: Sicurezza informatica di base: come proteggersi da virus, hacker e Ladri
LEGGI AVANTI
- › Le migliori alternative a Google Apps su Android
- › Come volano effettivamente i droni?
- › Come generare un codice QR per un collegamento Web in Google Chrome
- › Sono arrivate le recensioni di Google Pixel 6: ecco cosa amano i revisori
- › Come controllare e aggiornare la tua versione Git