Хотя «атаки нулевого дня» достаточно опасны (их называют так, потому что у разработчиков было нулевое количество дней на то, чтобы разобраться с уязвимостью, прежде чем она появится в открытом доступе), атаки с нулевым кликом вызывают другое беспокойство.
Определение атак с нулевым кликом
Многие распространенные кибератаки, такие как фишинг, требуют от пользователя каких-либо действий. В этих схемах открытие электронного письма, загрузка вложения или клик по ссылке позволяет вредоносному программному обеспечению получить доступ к вашему устройству. Но атаки с нулевым кликом требуют для работы нулевого взаимодействия с пользователем.
В этих атаках не обязательно использовать «социальную инженерию» — психологическую тактику, которую используют злоумышленники, чтобы заставить вас запустить их вредоносное ПО. Вместо этого они просто попадают на ваш ПК. Это значительно затрудняет отслеживание кибератак, и если они потерпят неудачу, они могут просто продолжать попытки, пока не добьются этого, потому что вы не знаете, что вас атакуют.
Уязвимости с нулевым кликом высоко ценятся вплоть до уровня национального государства. Такие фирмы, как Zerodium, которые покупают и продают уязвимости на черном рынке, предлагают миллионы каждому, кто сможет их найти.
Любая система, которая анализирует полученные данные, чтобы определить, можно ли доверять этим данным, уязвима для атаки с нулевым кликом. Вот что делает приложения для электронной почты и обмена сообщениями такими привлекательными целями. Кроме того, сквозное шифрование, присутствующее в таких приложениях, как iMessage от Apple, затрудняет определение того, является ли сообщение атакой с нулевым кликом, потому что содержимое пакета данных не может видеть никто, кроме отправителя и получателя.
Эти атаки также часто не оставляют после себя особых следов. Например, электронная атака с нулевым кликом может скопировать все содержимое вашего почтового ящика перед удалением самого себя. И чем сложнее приложение, тем больше места для эксплойтов с нулевым кликом.
Обнаруженные атаки нулевого клика
В сентябре Citizen Lab обнаружила эксплойт с нулевым кликом, который позволил злоумышленникам установить вредоносное ПО Pegasus на телефон жертвы с помощью PDF-файла, созданного для автоматического выполнения кода. Вредоносная программа эффективно превращает зараженный ею смартфон в устройство для прослушивания. С тех пор Apple разработала исправление для этой уязвимости.
В апреле компания ZecOps, занимающаяся кибербезопасностью, опубликовала отчет о нескольких атаках с нулевым кликом, обнаруженных в приложении Apple Mail. Кибер-злоумышленники отправляли пользователям Mail специально созданные электронные письма, которые позволяли им получить доступ к устройству без каких-либо действий со стороны пользователя.
В 2019 году злоумышленники использовали эксплойт в WhatsApp для установки шпионского ПО на телефоны людей, просто позвонив им. С тех пор Facebook подал в суд на поставщика шпионского ПО, которого считают виновным, утверждая, что он использовал это шпионское ПО для нацеливания на политических диссидентов и активистов.
Как защитить себя
К сожалению, поскольку эти атаки трудно обнаружить и для их выполнения не требуется никаких действий со стороны пользователя, от них сложно защититься. Но хорошая цифровая гигиена все же может сделать вас менее доступной мишенью.
Часто обновляйте свои устройства и приложения, в том числе используемый вами браузер. Эти обновления часто содержат исправления для эксплойтов, которые злоумышленники могут использовать против вас, если вы их не установите. Например, многие жертвы атак программы-вымогателя WannaCry могли бы избежать их с помощью простого обновления.
Купите хорошую программу защиты от шпионского и вредоносного ПО и используйте ее регулярно. По возможности используйте VPN в общественных местах и не вводите конфиденциальную информацию, например банковские данные, в ненадежное общедоступное соединение.
Разработчики приложений могут помочь со своей стороны, тщательно тестируя свои продукты на наличие эксплойтов, прежде чем публиковать их. Привлечение профессиональных экспертов по кибербезопасности и предложение вознаграждений за исправление ошибок могут иметь большое значение для повышения безопасности.
Так стоит ли вам беспокоиться об этом? Возможно нет. Атаки с нулевым кликом в основном используются против финансовых целей. Если вы принимаете все возможные меры, чтобы защитить себя, все будет в порядке.