Embora os “ ataques de dia zero ” sejam ruins o suficiente – eles têm esse nome porque os desenvolvedores não tiveram nenhum dia para lidar com a vulnerabilidade antes que ela seja revelada – os ataques de zero clique são preocupantes de uma maneira diferente.
Índice
Ataques Zero-Click definidos
Muitos ataques cibernéticos comuns, como phishing, exigem que o usuário execute algum tipo de ação. Nesses esquemas, abrir um e-mail , baixar um anexo ou clicar em um link permite o acesso de software malicioso ao seu dispositivo. Mas os ataques de clique zero exigem, bem, nenhuma interação do usuário para funcionar.
Esses ataques não precisam usar “ engenharia social ” , as táticas psicológicas que os malfeitores usam para fazer você clicar em seu malware. Em vez disso, eles simplesmente entram na sua máquina. Isso torna os ciberataques muito mais difíceis de rastrear e, se eles falharem, podem simplesmente continuar tentando até que consigam, porque você não sabe que está sendo atacado.
Vulnerabilidades de clique zero são altamente valorizadas até o nível de estado-nação. Empresas como a Zerodium, que compram e vendem vulnerabilidades no mercado negro, estão oferecendo milhões para quem as encontrar.
Qualquer sistema que analisa os dados que recebe para determinar se esses dados são confiáveis está vulnerável a um ataque de clique zero. É isso que torna os aplicativos de e-mail e mensagens alvos tão atraentes. Além disso, a criptografia ponta a ponta presente em aplicativos como o iMessage da Apple torna difícil saber se um ataque de clique zero está sendo enviado porque o conteúdo do pacote de dados não pode ser visto por ninguém, exceto o remetente e o receptor.
Esses ataques também não costumam deixar muitos vestígios para trás. Um ataque de e-mail com clique zero, por exemplo, pode copiar todo o conteúdo da caixa de entrada do seu e-mail antes de deletar a si mesmo. E quanto mais complexo for o aplicativo, mais espaço haverá para exploits de clique zero.
RELACIONADOS: O que você deve fazer se receber um e-mail de phishing?
Ataques Zero-Click In The Wild
Em setembro, o Citizen Lab descobriu um exploit zero-click que permitia que os invasores instalassem o malware Pegasus no telefone de um alvo usando um PDF projetado para executar o código automaticamente. O malware efetivamente transforma o smartphone de qualquer pessoa infectado em um dispositivo de escuta. Desde então, a Apple desenvolveu um patch para a vulnerabilidade .
Em abril, a empresa de segurança cibernética ZecOps publicou um artigo sobre vários ataques de zero clique encontrados no aplicativo Mail da Apple. Os atacantes cibernéticos enviaram e-mails especialmente criados para usuários do Mail que lhes permitiram obter acesso ao dispositivo sem nenhuma ação do usuário. E embora o relatório do ZecOps afirme que eles não acreditam que esses riscos de segurança específicos representem uma ameaça para os usuários da Apple, explorações como essa podem ser usadas para criar uma cadeia de vulnerabilidades que, em última instância, permite que um ciberataque assuma o controle.
Em 2019, um exploit no WhatsApp foi usado por invasores para instalar spyware nos telefones das pessoas apenas ligando para elas. O Facebook, desde então, processou o fornecedor de spyware considerado responsável, alegando que estava usando esse spyware para atingir dissidentes políticos e ativistas.
Como se Proteger
Infelizmente, como esses ataques são difíceis de detectar e não requerem nenhuma ação do usuário para serem executados, eles são difíceis de proteger. Mas uma boa higiene digital ainda pode torná-lo um alvo menor.
Atualize seus dispositivos e aplicativos com frequência, incluindo o navegador que você usa. Essas atualizações geralmente contêm patches para exploits que atores mal-intencionados podem usar contra você se você não os instalar. Muitas vítimas dos ataques de ransomware WannaCry, por exemplo, poderiam tê-los evitado com uma simples atualização. Temos guias para atualizar aplicativos de iPhones e iPad , atualizar seu Mac e seus aplicativos instalados e manter seu dispositivo Android atualizado .
Obtenha um bom programa anti-spyware e anti-malware e use-os regularmente. Use uma VPN em locais públicos, se puder, e não insira informações confidenciais, como dados bancários em uma conexão pública não confiável .
Os desenvolvedores de aplicativos podem ajudar testando rigorosamente seus produtos para exploits antes de liberá-los para o público. Trazer especialistas profissionais em segurança cibernética e oferecer recompensas para correções de bugs pode ajudar muito a tornar as coisas mais seguras.
Então você deve perder o sono por causa disso? Provavelmente não. Ataques de clique zero são usados principalmente contra espionagem de alto perfil e alvos financeiros. Contanto que você tome todas as medidas possíveis para se proteger , você deve fazer tudo bem.
