Attacchi zero click, l’incubo della sicurezza informatica

Alcune vulnerabilità nel controllo dei dati aprono le porte agli hacker, che le utilizzano per installare spyware e rubare dati.

Tutti i cyberattacchi possono essere prevenuti in qualche modo, tramite autenticazioni sicure, antivirus e una buona igiene digitale, ma c’è un tipo di vulnerabilità contro cui né gli utenti né gli esperti di cybersecurity possono fare niente: gli attacchi zero click.

Come suggerisce il nome, si tratta di attacchi in cui non c’è bisogno che la vittima faccia click su un link o un allegato infetto: l’attacco va sempre a segno e chi lo subisce non solo non può fare niente per impedirlo, ma quasi sempre non se ne rende conto perché l’attacco non lascia tracce.

In questo post vediamo cosa sono gli attacchi zero click, come funzionano e cosa possiamo fare per ridurre al minimo le probabilità di subirne uno. Continua a leggere!

Zero click

Come abbiamo accennato, questi attacchi vengono chiamati zero click perché non hanno bisogno di un’azione compiuta dalla vittima. A differenza quindi del phishing classico, che si basa sulla partecipazione involontaria della vittima, questi attacchi vanno sempre a segno se si danno le condizioni necessarie.

Sembra fantascienza ma non lo è, è davvero possibile attaccare un sistema informatico e penetrare al suo interno senza che l’utente se ne renda conta e possa bloccarlo. Come? Sfruttando una vulnerabilità zero day nel controllo dei dati di un’applicazione.

Quando una vulnerabilità, un bug o un difetto di programmazione di un software non è ancora noto agli sviluppatori, gli hacker che lo scoprono possono usarlo come porta di accesso ai sistemi informatici su cui è installato il programma. In particolare, molti attacchi zero click sfruttano le vulnerabilità dei servizi di controllo dei dati per la messaggistica, in cui è più comune trovare dei bug.

Di solito, gli attacchi zero click colpiscono persone influenti, molto ricche o che ricoprono posizioni importanti.

Come funziona un attacco zero click

La vittima installa un’app o un software affetto da una vulnerabilità zero day, non ancora nota ai creatori. Gli hacker la utilizzano per intercettare la trasmissione dei pacchetti di dati tra il dispositivo e la rete, e inoculano uno spyware o un altro tipo di malware.

Questa è, in soldoni, la dinamica della maggior parte degli attacchi zero click, anche se nella pratica si tratta di processi molto più complessi, prima di tutto perché gli hacker hanno dovuto analizzare a fondo il software per trovare una vulnerabilità non ancora conosciuta, e poi perché l’attacco zero click è solo l’inizio di un cyberattacco più ampio.

Una volta installato lo spyware o la backdoor, l’hacker studierà i dati inviati e ricevuti dalla vittima fino a trovare credenziali di accesso agli account online o altre informazioni di suo interesse. Di fatto, gli attacchi zero click colpiscono di solito persone con un profilo particolare, molto ricche o che ricoprono posizioni importanti nella società o in un’azienda.

Gli attacchi zero click fanno parte del più ampio arsenale di strumenti informatici utilizzato nelle operazioni di ingegneria sociale, che gli hacker dispiegano quando vogliono entrare nel sistema informatico di una vittima in particolare e non per sferrare attacchi di massa nel Web.

LEGGI ANCHE: Spear phishing, cos’è e come difendersi

Casi famosi di attacchi zero click

Negli ultimi quattro anni, alcuni attacchi zero click hanno fatto notizia per via del loro impatto sociale. Ecco i casi più significativi conosciuti finora:

• Attacco al telefono di Jeff Bezos. Nel 2018, il proprietario di Amazon ha ricevuto un video dal principe ereditario dell’Arabia Saudita che conteneva uno spyware. Questo si è potuto installare sull’iPhone di Bezos sfruttando una vulnerabilità di WhatsApp nel controllo dei dati.
• Violazione di WhatsApp. Nel 2019, alcuni hacker hanno trovato il modo di intromettersi negli scambi di dati di WhatsApp tramite una semplice chiamata senza risposta. Il controllo dei pacchetti di dati, o in questo caso dei soli metadati, aveva un bug che consentiva di iniettare del codice dannoso nella comunicazione.

Non si sa bene quanti siano stati i danni causati da questo attacco zero click, perché l’azienda non ha potuto stimare il numero di dispositivi coinvolti e il volume di dati trafugati in questo modo.

• ForcedEntry. Questo è il nome dato a un exploit zero day scoperto nel 2021 sugli iPhone e che eludeva i controlli della funzionalità di sicurezza BlastDoor. Questa vulnerabilità è stata sfruttata da alcuni stati arabi per controllare il telefono di attivisti per i diritti umani del Bahrein tramite uno spyware chiamato Pegasus.

Pegasus è un malware sofisticato e molto noto nel settore, perché è stato sviluppato dalla società di sorveglianza israeliana NGO group ed è stato utilizzato in moltissimi casi di spionaggio politico.

Gli attacchi zero click sono casi rari, per cui non dobbiamo generalizzare e pensare che non possiamo difenderci online.

Perché esistono gli attacchi zero click

A questo punto è naturale chiedersi perché il telefono Apple di un multimilionario sia così facile da violare e perché un’app utilizzata da miliardi di persone come WhatsApp abbia delle vulnerabilità così grossolane e che, soprattutto, vengono scoperte prima dagli hacker che dagli sviluppatori.

La prima considerazione da fare è che probabilmente i fabbricanti non danno alla cybersicurezza l’importanza che dovrebbe avere. Un telefono o un portatile di fascia alta dovrebbe essere più protetto anche a livello di software.

Stessa cosa per le app come WhatsApp: prima di tutto vorremmo vedere più trasparenza. Le aziende dovrebbero riconoscere di aver sottovalutato certe vulnerabilità e dovrebbero implementare processi di verifica interni più rigorosi. Un esempio virtuoso è il caso di Chrome, per cui Google trova periodicamente le vulnerabilità e finora è sempre riuscita a battere sul tempo i cybercriminali.

Questo ci porta alla considerazione finale: se i produttori di software e hardware non danno la priorità alla cybersicurezza, in parte dipende dal nostro comportamento come consumatori, che non esigiamo un livello di sicurezza alto. Magari, la prossima volta che scegliamo un telefono o un’app potremmo dare più importanza a questo aspetto rispetto a quanto abbiamo fatto finora.

Come proteggersi

Ci piacerebbe scrivere che esistono molte misure di sicurezza per prevenire gli attacchi zero click, ma sarebbe una bugia. Date le giuste circostanze, questi attacchi sono impossibili da fermare e anche da rilevare (a meno che lo spyware installato trasmetta grandissime quantità di dati che facciano saltare l’allarme).

Quello che puoi fare è non peggiorare la situazione, ovvero seguire le norme di base della sicurezza online:

• Imposta gli aggiornamenti automatici del sistema operativo, dei software e dell’antivirus per approfittare di tutti gli aggiornamenti critici.
• Utilizza password complesse e l’autenticazione multifattoriale.
• Non riutilizzare le password per più account.
• Installa solo software e app sicure e da siti ufficiali. I software piratati e quelli gratuiti nascondono spesso brutte sorprese.
• Fai il backup periodico di computer e telefono.
• Attiva il blocco dei popup, che sono tuttora uno dei principali veicoli di infezione dei malware.
• Impara a riconoscere il phishing e non fare click su link e allegati sospetti.

Come abbiamo detto, di solito gli attacchi zero click sono la prima fase di attacchi più complessi rivolti contro persone particolari. Se ricopri un ruolo di spicco in un’azienda o nella società o se pensi che le tue credenziali possano far gola agli hacker per altri motivi, ti consigliamo di fare molta attenzione online e controllare periodicamente lo stato della sicurezza dei tuoi dispositivi.

Più in generale, tieni presente che questo tipo di cyberattacco rappresenta solo una piccola parte delle minacce informatiche che si trovano online, per cui è importante non generalizzare e non pensare che non possiamo difenderci online. Al contrario, possiamo e dobbiamo imparare a proteggerci da tutti gli altri attacchi, in cui è necessario un click da parte nostra per aprire le porte ai cybercriminali.

CONTINUA A LEGGERE: Panda Security, leader nei Performance test di AV-Comparatives

Buona navigazione e buona protezione da tutti gli altri attacchi informatici!