Che cos’è un attacco zero-click?
Nel vasto panorama della sicurezza informatica, le minacce evolvono costantemente, adattandosi alle più recenti tecnologie e sfruttando sempre più spesso le debolezze umane. Oggi, più che mai, gli hacker cercano di penetrare nei sistemi informatici aziendali o di ottenere accesso alle informazioni aziendali, sfruttando abilmente il fattore umano, sia attraverso sofisticate tecniche di “Social engineering”, ossia attraverso l’inganno e la manipolazione psicologica, sia attraverso gli attacchi zero click. Gli attacchi zero click in particolare sono difficili da individuare e rappresentano un rischio significativo per tutte le organizzazioni.
In un attacco zero click, il più delle volte, il malware viene inviato attraverso un messaggio di testo a un dispositivo di un lavoratore connesso ai sistemi informatici o alla rete aziendale. Vengono lasciate poche tracce, se non addirittura nessuna, sfuggendo così al rilevamento sia da parte del lavoratore ignaro sia dell’organizzazione colpita.
Cerchiamo quindi di capire come funzionano gli attacchi zero-click, perché non sono rilevabili e quali sono le migliori pratiche per mitigare i rischi per i singoli individui e per l’organizzazione.
Gli attacchi zero-click vengono eseguiti senza alcuna interazione da parte della vittima, a differenza degli attacchi di phishing, che si basano sul Social Engineering per trarre in ingannano gli utenti. Questa tipologia di attacchi può infettare un dispositivo senza che l’utente faccia click su di un collegamento malevolo, apra un allegato o installi un programma indesiderato. Sono particolarmente pericolosi proprio perché difficili da individuare e prevenire, inoltre consentono agli hacker di rimanere all’interno di un sistema informatico per un periodo molto prolungato, violando dati, intercettando comunicazioni o pianificando nuove azioni malevoli.
Gli attacchi zero click si concentrano su organizzazioni pubbliche e private, su piccole e medie imprese e su singoli individui con l’obiettivo di violare dati e richiedere riscatti.
Come si verificano gli attacchi zero click?
- I criminali informatici riescono a sfruttare le vulnerabilità delle applicazioni e dei sistemi operativi dei dispositivi.
- Il codice malevolo si nasconde facilmente all’interno di e-mail, messaggi di testo, file PDF, immagini e testo.
- Una volta ottenuto l’accesso, il codice viene attivato e infetta il dispositivo con uno spyware per accedere ai dati, comprese e-mail, telefonate, messaggi di testo, accessi al sistema e altro ancora.
Le vittime inconsapevoli sono sfruttate dai criminali informatici avendo l’accesso alla totalità dei loro dispositivi mobili (comprese le app per password e foto). Non è necessaria l’interazione dell’utente per lanciare un attacco zero-click; quindi, qualsiasi traccia di attività dannosa o intrusione è invisibile. Una volta eseguito l’attacco, gli autori delle minacce iniziano a raccogliere informazioni sull’utente.
Le violazioni dei dispositivi e la compromissione dei dati possono includere:
- Raccolta di informazioni sull’utente, tra cui posizione, cronologia di navigazione, contatti e sostanzialmente qualsiasi altra cosa sul dispositivo.
- Installazione di software di sorveglianza per ascoltare le conversazioni.
- Crittografia dei file utente e richiesta di riscatto.
- Copiare tutto il contenuto in una casella di posta prima di eliminarsi.
Nel dicembre 2023 ad esempio, i ricercatori hanno scoperto due vulnerabilità di sicurezza in Microsoft Outlook che, una volta combinate, consentivano ai criminali informatici di eseguire codice arbitrario sui sistemi interessati senza richiedere all’utente di fare click su nulla.
Recentemente è stato scoperto un exploit spyware per iPhone zero click nel programma iMessage di Apple. L’exploit era stato installato su dispositivi di membri del Parlamento europeo, legislatori, giuristi, giornalisti e membri di organizzazioni civili.
Tre anni fa, WhatsApp è stata colpita da un attacco zero click attivato da una telefonata persa. Anche in questo caso ha consentito agli aggressori di caricare spyware nei dispositivi.
Zero-click e zero-day quali differenze?
Gli attacchi zero-click spesso si basano su attacchi zero-day per essere eseguiti. Anche se sembrano simili, gli attacchi zero-click e gli attacchi zero-day sono molto diversi. Gli attacchi zero-click sono un exploit che non richiede input o coinvolgimento da parte dell’utente. Gli attacchi zero click prendono di solito di mira le app di messaggistica poiché ricevono grandi quantità di dati senza richiedere alcuna convalida da parte del dispositivo o del proprietario. Come detto, gli attacchi zero click il più delle volte sfruttano una vulnerabilità zero-day, ossia una qualunque vulnerabilità di un software non nota ai suoi sviluppatori o nota ma non gestita. Uno zero-day exploit è un qualunque programma che sfrutta una vulnerabilità zero-day per causare effetti indesiderati.
Queste vulnerabilità sono estremamente importanti ed hanno un forte impatto sul mondo della sicurezza informatica. La loro criticità è evidente: chiunque sia a conoscenza della debolezza di un software, ignota ai suoi stessi creatori, potrà utilizzarla a proprio favore sicuro di portare a buon fine i propri attacchi.
Quando gli sviluppatori vengono a conoscenza della vulnerabilità e realizzano patch per risolverla, molto probabilmente l’attacco è stato già compiuto e il danno fatto. Gli attacchi zero-click sono progettati per aggirare la sicurezza degli endpoint, il che significa che è molto difficile per gli utenti proteggersi, questo diventa molto pericoloso per tutte quelle organizzazioni che consentono ai loro collaboratori di utilizzare i propri dispositivi mobili (BYOD) per scopi lavorativi, perché sono particolarmente suscettibili agli attacchi zero-click.
Come proteggersi da un attacco zero-click?
Per difendersi dagli attacchi zero-click, è importante adottare un approccio proattivo alla sicurezza informatica basato su più livelli di protezione, in particolare è necessario adottare strategie quali:
- Utilizzare l’MFA: l’autenticazione multi-fattore aggiunge un ulteriore livello di sicurezza in grado di salvaguardare dagli attacchi zero-click. Se un utente malintenzionato ottiene le tue credenziali attraverso una vulnerabilità nel software noto, questa tecnologia può impedirgli di utilizzare tali credenziali per accedere ai tuoi account ed eseguire un altro tipo di attacco. L’MFA può fare la differenza perché l’hacker avrebbe bisogno anche del secondo fattore di autenticazione per continuare con successo l’attacco.
- Eseguire aggiornamenti software regolari e applicare patch: per ridurre il rischio di attacchi hacker zero-click è fondamentale mantenere il software aggiornato e applicare le patch su base regolare. Gli sviluppatori rilasciano frequentemente aggiornamenti per risolvere le vulnerabilità e gli utenti dovrebbero installarli in modo tempestivo per chiudere potenziali punti di ingresso per gli attaccanti.
- Implementare la sicurezza avanzata degli endpoint: le soluzioni avanzate di sicurezza degli endpoint hanno la capacità di rilevare e prevenire attacchi zero-click analizzando il comportamento del sistema, identificando attività anomale e bloccando i tentativi di eseguire codice sospetto.
- Segmentare le reti: la segmentazione delle reti consente l’isolamento dei segmenti critici diminuendo il movimento laterale del malware e il suo potenziale impatto negativo. Stabilendo rigidi controlli di accesso basati sui ruoli degli utenti, è possibile limitare i danni in caso di attacco “zero-click”.
Da oltre 10 anni grazie alle tecnologie e alle soluzioni di sicurezza informatica di WatchGuard, forniamo strumenti per rendere più sicuri e resilienti i sistemi informatici aziendali.
Non aspettare che sia troppo tardi, CONTATTACI! Troveremo la soluzione più adatta per proteggere la tua organizzazione dai rischi del cybercrime.
Articolo a cura di
Enrico Valtolina
Network & Cyberber Security Specialist