Ασφάλεια διαδικτύου, Διαδικτυακές απειλές

Οι Zero-Click Eπιθέσεις

Γράφει η Ειρήνη Λαουρδέκη, φοιτήτρια Ψυχολογίας

 

Τα τελευταία χρόνια, με την πρόοδο της τεχνολογίας, οι “επιθέσεις” προς τους χρήστες της γίνονται ολοένα και περισσότερες, αλλά ταυτόχρονα και ποικιλόμορφες. Πιο συγκεκριμένα, οι επιθέσεις “zero-click” (επιθέσεις μηδενικού κλικ), όπως τις αποκαλούν, έχουν βρεθεί στο επίκεντρο του ενδιαφέροντος. Όπως υποδηλώνει το όνομα, οι συγκεκριμένες επιθέσεις δεν απαιτούν κάποια ενέργεια από το θύμα. Αυτό σημαίνει ότι ακόμα και οι πιο εξειδικευμένοι χρήστες του διαδικτύου μπορούν να πέσουν θύματα, αυτού του τύπου επίθεσης στον κυβερνοχώρο.

Πώς λειτουργούν όμως οι zero click επιθέσεις;

Αρχικά, το κακόβουλο λογισμικό μπορεί να εγκατασταθεί στην συσκευή του θύματος, χωρίς να το ίδιο το θύμα να το αντιληφθεί. Οι εγκληματίες του κυβερνοχώρου εντοπίζουν μια ευπάθεια σε μια εφαρμογή αλληλογραφίας ή ανταλλαγής μηνυμάτων. Εκμεταλλευόμενοι την συγκεκριμένη ευπάθεια, στέλνουν ένα ειδικά διαμορφωμένο μήνυμα στον στόχο.  Επομένως, η μειωμένη αλληλεπίδραση ανάμεσα στον χρήστη και το λογισμικό (δεν χρειάζεται δηλαδή να ανοίξουν κάποιον ύποπτο σύνδεσμο μέσω email) φέρει ως συνέπεια να μην γίνεται αισθητή η απειλή.  Έτσι, οι εγκληματίες του κυβερνοχώρου μπορούν να διαβάσουν, να επεξεργαστούν, να διαρρεύσουν ή να διαγράψουν μηνύματα, δηλαδή να έχουν πρόσβαση σε προσωπικά δεδομένα. Τέτοιου είδους επιθέσεις, υπάρχουν εδώ και χρόνια και το ζήτημα έχει γίνει πιο διαδεδομένο με την έκρηξη της χρήσης των smartphones, που αποθηκεύουν προσωπικά δεδομένα.

Οι επιθέσεις μπορεί να γίνουν υπό τη μορφή αιτημάτων ελέγχου ταυτότητας, μηνυμάτων κειμένου, φωνητικών μηνυμάτων, τηλεδιασκέψεων, τηλεφωνικών κλήσεων ή μηνυμάτων, που αποστέλλονται μέσω Skype, Telegram, WhatsApp κ.λπ.

Μερικά παραδείγματα τέτοιων επιθέσεων είναι η παραβίαση συσκευών της Apple, όπως τα iPhones, στα οποία η μη εξουσιοδοτημένη πρόσβαση στα προσωπικά δεδομένα ήταν μια εύκολη υπόθεση. Ειδικότερα, κατά το  διάστημα μεταξύ 2017 και 2020 ένα κακόβουλο λογισμικό ονόματι Pegasus, βρέθηκε σε επίσημα δίκτυα του Ηνωμένου Βασιλείου. Πρόκειται για ένα εργαλείο spyware, το οποίο καθιστά πολύ εύκολη την παρακολούθηση της συσκευής, στην οποία έχει εγκατασταθεί. Επίσης το 2019 παραβιάστηκε η εφαρμογή WhatsApp μέσω μιας αναπάντητης κλήσης. Πιο συγκεκριμένα, η  κλήση αυτή εκμεταλλεύτηκε μια ευπάθεια στον πηγαίο κώδικα του WhatsApp και επέτρεψε σε κακόβουλους χρήστες να εγκαταστήσουν ένα λογισμικό παρακολούθησης στα δεδομένα, που ανταλλάχθηκαν μεταξύ των δύο συσκευών λόγω της αναπάντητης κλήσης. Μόλις φορτώθηκε, το spyware ενεργοποιήθηκε ως πόρος παρασκηνίου.

Καθώς ο άνθρωπος εξαρτάται ολοένα και περισσότερο από τις κινητές συσκευές, η ανάγκη ενημέρωσης σχετικά με επιθέσεις “μηδενικού κλικ” είναι μεγάλη. Βέβαια υπάρχουν τρόποι και βήματα με σκοπό να προστατευθεί κανείς από επιθέσεις μηδενικού κλικ στον κυβερνοχώρο. Ωστόσο επειδή, όπως προαναφέρθηκε η τεχνολογία συνεχώς εξελίσσεται, δεν υπάρχει κάποιο εργαλείο που να εγγυάται απόλυτη προστασία. Θα ήταν ιδιαίτερα ωφέλιμο λοιπόν:

  1. Το λειτουργικό σύστημα και οι συσκευές να είναι ενημερωμένες, όπως προβλέπεται.
  2. Ό,τι μήνυμα προέρχεται από άγνωστο παραλήπτη να αγνοείται και οι χρήστες να μην ανοίγουν άγνωστους συνδέσμους (σε περίπτωση που έχει σταλεί κάποιος), ούτε να καταχωρούν προσωπικές πληροφορίες, αν αυτές ζητηθούν.
  3. Για πρόσβαση σε εφαρμογές που χρειάζονται κωδικούς πρόσβασης, προτείνεται η χρήση ελέγχου ταυτότητας δύο παραγόντων.
  4. Καλό θα ήταν να είναι ενεργοποιημένος ο αποκλεισμός αναδυόμενων παραθύρων, προσαρμόζοντας τις ρυθμίσεις του προγράμματος περιήγησης.
  5. Προτείνεται, επίσης, η εγκατάσταση κάποιου έγκριτου προγράμματος Internet Security.

Καταλήγοντας μπορεί να επισημανθεί, πως πολλές επιθέσεις στον χώρο του διαδικτύου απαιτούν από τον χρήστη να λάβει κάποια συγκεκριμένη ενέργεια όπως στην περίπτωση του phishing και του hacking. Οι επιθέσεις “zero-click”, δεν χρειάζεται να χρησιμοποιήσουν κάποιο δελεαστικό και ψυχολογικό μηχανισμό, για να προσελκύσουν τα θύματα τους. Αρκεί μόνο να εισέλθουν σε συσκευές και λογαριασμούς, που δεν έχουν λάβει τα απαραίτητα μέτρα προστασίας.

Πηγές:

https://www.kaspersky.com/resource-center/definitions/what-is-zero-click-malware

https://technoglitz.com/greece/τι-είναι-μια-επίθεση-μηδενικού-κλικ/

https://www.secnews.gr/400198/iphone-exploit-midenikou-klik-xrisimopoieitai-epitheseis-spyware-nso/