Trong những năm gần đây, các cuộc tấn công zero-click đôi khi đã trở thành tâm điểm chú ý. Đúng như tên gọi, các cuộc tấn công zero-click không yêu cầu nạn nhân phải thực hiện hành động nào – nghĩa là kể cả những người dùng thành thạo nhất cũng có thể trở thành con mồi của các cuộc xâm nhập mạng và các công cụ phần mềm gián điệp nghiêm trọng.
Các cuộc tấn công zero-click thường có mục tiêu cao rõ ràng và sử dụng các chiến thuật tinh vi. Chúng có thể gây ra những hậu quả tàn khốc mà nạn nhân thậm chí không hề biết có điều gì đó không ổn đang xảy ra dưới nền. Các thuật ngữ "tấn công zero-click" và "khai thác zero-click" thường được sử dụng thay thế cho nhau. Đôi khi chúng còn được gọi là các cuộc tấn công không cần tương tác hoặc hoàn toàn từ xa.
Phần mềm độc hại zero-click là gì?
Theo truyền thống, phần mềm gián điệp dựa vào việc thuyết phục người dùng mục tiêu nhấn vào một đường liên kết hoặc tập tin bị xâm phạm để tự cài đặt vào điện thoại, máy tính bảng hoặc máy tính của họ. Tuy nhiên, với một cuộc tấn công zero-click, phần mềm có thể được cài đặt trên thiết bị mà không cần nạn nhân nhấn vào bất kỳ đường liên kết nào. Do đó, phần mềm độc hại zero-click hay phần mềm độc hại không cần nhấn chuột nguy hiểm hơn nhiều.
Việc giảm tương tác trong các cuộc tấn công zero-click có nghĩa là ít dấu vết hơn của bất kỳ hoạt động độc hại nào. Điều này – cùng với thực tế là các lỗ hổng bảo mật mà tội phạm mạng có thể khai thác cho các cuộc tấn công zero-click là khá hiếm – khiến chúng được những kẻ tấn công đặc biệt coi trọng.
Kể cả các cuộc tấn công zero-click cơ bản cũng để lại rất ít dấu vết, điều này có nghĩa là việc phát hiện chúng cực kỳ khó khăn. Ngoài ra, các tính năng tương tự giúp phần mềm an toàn hơn có thể khiến các cuộc tấn công zero-click khó bị phát hiện hơn. Các vụ xâm nhập zero-click đã xuất hiện trong nhiều năm và vấn đề này ngày càng trở nên phổ biến hơn khi điện thoại thông minh lưu trữ nhiều dữ liệu cá nhân ngày càng được sử dụng rộng rãi. Khi các cá nhân và tổ chức ngày càng trở nên phụ thuộc vào thiết bị di động, nhu cầu cập nhật thông tin về các lỗ hổng bảo mật zero-click chưa bao giờ cao hơn thế.
Cuộc tấn công zero-click diễn ra như thế nào?
Thông thường, việc lây nhiễm từ xa vào thiết bị di động của một mục tiêu đòi hỏi một số hình thức công nghệ xã hội, trong đó người dùng nhấn vào một đường liên kết độc hại hoặc cài đặt một ứng dụng độc hại để cung cấp cho kẻ tấn công điểm xâm nhập. Điều này không xảy ra với các cuộc tấn công zero-click, loại tấn công này hoàn toàn bỏ qua nhu cầu về công nghệ xã hội.
Tấn công zero-click khai thác lỗ hổng trong thiết bị của bạn, sử dụng lỗ hổng xác minh dữ liệu để xâm nhập vào hệ thống của bạn. Hầu hết phần mềm đều sử dụng các quy trình xác minh dữ liệu để ngăn chặn các vi phạm mạng. Tuy nhiên, vẫn có những lỗ hổng bảo mật zero-day dai dẳng chưa được cung cấp bản vá, tạo ra những mục tiêu có lợi tiềm năng cho tội phạm mạng. Những tin tặc tinh vi có thể khai thác các lỗ hổng bảo mật zero-day này để thực hiện các cuộc tấn công mạng mà không cần bạn làm gì.
Thông thường, các cuộc tấn công zero-click nhắm vào các ứng dụng cung cấp dịch vụ nhắn tin hoặc gọi thoại vì các dịch vụ này được thiết kế để nhận và diễn giải dữ liệu từ các nguồn không đáng tin cậy. Những kẻ tấn công thường sử dụng dữ liệu có dạng đặc biệt, chẳng hạn như tin nhắn văn bản ẩn hoặc tập tin hình ảnh để đưa mã xâm nhập vào thiết bị.
Một cuộc tấn công zero-click giả định có thể hoạt động như thế này:
- Tội phạm mạng xác định một lỗ hổng bảo mật trong ứng dụng thư hoặc tin nhắn.
- Chúng khai thác lỗ hổng bảo mật này bằng cách gửi một tin nhắn được thiết kế cẩn thận tới mục tiêu.
- Lỗ hổng bảo mật này cho phép các tác nhân độc hại lây nhiễm thiết bị từ xa thông qua email, tiêu tốn nhiều bộ nhớ.
- Email, tin nhắn hoặc cuộc gọi của tin tặc không nhất thiết lưu lại trên thiết bị.
- Sau cuộc tấn công, tội phạm mạng có thể đọc, sửa, để lộ hoặc xóa tin nhắn.
Vụ xâm nhập có thể là một chuỗi các gói mạng, các yêu cầu xác thực, tin nhắn văn bản, MMS, thư thoại, phiên hội nghị truyền hình, cuộc gọi điện thoại hoặc tin nhắn được gửi qua Skype, Telegram, WhatsApp, v.v. Tất cả những thứ này có thể khai thác một lỗ hổng bảo mật trong mã của một ứng dụng có nhiệm vụ xử lý dữ liệu.
Thực tế là các ứng dụng nhắn tin cho phép xác định danh tính mọi người bằng số điện thoại của họ, có thể dễ dàng tìm thấy, có nghĩa là họ có thể trở thành mục tiêu dễ thấy cho cả các thực thể chính trị và các hoạt động xâm nhập thương mại.
Chi tiết cụ thể của mỗi cuộc tấn công zero-click sẽ khác nhau tùy thuộc vào lỗ hổng bảo mật nào đang bị khai thác. Một điểm quan trọng của các cuộc xâm nhập zero-click là khả năng chúng không để lại dấu vết, khiến rất khó để phát hiện chúng. Điều này có nghĩa là không dễ để xác định ai đang sử dụng chúng và cho mục đích gì. Tuy nhiên, có báo cáo rằng các cơ quan tình báo trên toàn thế giới sử dụng chúng để chặn các tin nhắn từ và theo dõi nơi ở của các nghi phạm và những kẻ khủng bố.
Ví dụ về phần mềm độc hại zero-click
Lỗ hổng bảo mật zero-click có thể ảnh hưởng đến các thiết bị khác nhau, từ Apple đến Android. Các ví dụ nổi bật về khai thác zero-click bao gồm:
Zero-click Apple, cưỡng chế xâm nhập, 2021:
Vào năm 2021, iPhone của một nhà hoạt động nhân quyền người Bahrain đã bị xâm nhập bằng phần mềm gián điệp mạnh được bán cho các quốc gia dân tộc. Vụ xâm nhập, được phát hiện bởi các nhà nghiên cứu tại Citizen Lab, đã đánh bại các biện pháp bảo vệ bảo mật mà Apple áp dụng để chống lại các vụ xâm phạm vụng trộm.
Citizen Lab là một tổ chức giám sát internet có trụ sở tại Đại học Toronto. Họ đã phân tích chiếc iPhone 12 Pro của nhà hoạt động này và phát hiện ra rằng nó đã bị xâm nhập thông qua một cuộc tấn công zero-click. Cuộc tấn công zero-click đã lợi dụng lỗ hổng bảo mật chưa từng được biết đến trong iMessage của Apple, lỗ hổng này đã bị khai thác để đưa phần mềm gián điệp Pegasus, do công ty NGO Group của Israel phát triển, vào điện thoại của nhà hoạt động.
Vụ xâm nhập đã thu hút sự chú ý đáng kể của giới truyền thông, chủ yếu là vì nó đã khai thác phần mềm iPhone mới nhất tại thời điểm đó, cả iOS 14.4 và sau đó là iOS 14.6, được Apple phát hành vào tháng 5 năm 2021. Vụ xâm nhập đã vượt qua tính năng phần mềm bảo mật được tích hợp sẵn trong mọi phiên bản iOS 14, có tên là BlastDoor, nhằm mục đích ngăn chặn loại xâm nhập thiết bị này bằng cách lọc những dữ liệu độc hại được gửi qua iMessage. Vì có khả năng vượt qua BlastDoor nên khai thác này được gọi là ForcedEntry. Để ứng phó, Apple đã nâng cấp phòng thủ bảo mật với iOS 15.
Vi phạm WhatsApp, 2019:
Vụ vi phạm khét tiếng này được gây ra bởi một cuộc gọi nhỡ khai thác lỗ hổng trong khung mã nguồn của WhatsApp. Khai thác zero-day – tức là một lỗ hổng bảo mật mạng chưa được biết đến và chưa có bản vá trước đó – cho phép kẻ tấn công tải phần mềm gián điệp vào dữ liệu được trao đổi giữa hai thiết bị do cuộc gọi nhỡ. Sau khi được tải, phần mềm gián điệp sẽ tự kích hoạt nó như một tài nguyên nền, nằm sâu trong khung phần mềm của thiết bị.
Jeff Bezos, 2018:
Năm 2018, Thái tử Mohammed bin Salman của Ả Rập Xê Út được cho là đã gửi cho CEO của Amazon Jeff Bezos một tin nhắn WhatsApp có video quảng cáo thị trường viễn thông của Ả Rập Xê Út. Theo báo cáo, có một đoạn mã trong tập tin video cho phép người gửi trích xuất thông tin từ iPhone của Bezos trong nhiều tháng. Điều này dẫn đến việc thu thập các tin nhắn văn bản, tin nhắn tức thời, email và thậm chí có thể là cả các bản ghi âm nghe lén được ghi bằng micrô của điện thoại.
Dự án Raven, 2016:
Dự án Raven là đơn vị tác chiến mạng tấn công của UAE, bao gồm các quan chức an ninh của các tiểu Vương quốc Ả rập Thống nhất và các cựu nhân viên tình báo Hoa Kỳ làm việc với tư cách là nhà thầu. Theo báo cáo, họ đã sử dụng một công cụ có tên là "Karma" để lợi dụng một lỗ hổng trong iMessage. Karma đã sử dụng các tin nhắn văn bản được thiết kế đặc biệt để xâm nhập vào iPhone của các nhà hoạt động, nhà ngoại giao và các nhà lãnh đạo nước ngoài là đối thủ nhằm lấy ảnh, email, tin nhắn văn bản và thông tin vị trí.
Cách bảo vệ bản thân khỏi các cuộc tấn công zero-click
Vì các cuộc tấn công zero-click dựa trên việc không có tương tác từ nạn nhân nên bạn không thể làm gì nhiều để tự bảo vệ mình. Mặc dù đây là một suy nghĩ đáng sợ, nhưng điều quan trọng cần nhớ nói chung là các cuộc tấn công này có xu hướng nhắm vào các nạn nhân cụ thể vì mục đích gián điệp hoặc có thể là lợi ích tài chính.
Nói như vậy, việc thực hành an toàn mạng cơ bản sẽ giúp tối đa hóa sự an toàn trực tuyến của bạn. Các biện pháp phòng ngừa hợp lý mà bạn có thể thực hiện bao gồm:
- Luôn cập nhật hệ điều hành, firmware và các ứng dụng trên tất cả các thiết bị của bạn khi được nhắc.
- Chỉ tải xuống ứng dụng từ các cửa hàng chính thức.
- Xóa mọi ứng dụng mà bạn không còn sử dụng.
- Tránh "bẻ khóa" hoặc "chiếm quyền điều khiển" điện thoại vì làm như vậy sẽ mất đi khả năng bảo vệ mà Apple và Google cung cấp.
- Sử dụng tính năng bảo vệ mật khẩu thiết bị của bạn.
- Sử dụng hình thức xác thực mạnh để truy cập vào các tài khoản, đặc biệt là các mạng quan trọng.
- Sử dụng mật khẩu mạnh – nghĩa là mật khẩu dài và duy nhất.
- Thường xuyên sao lưu hệ thống. Các hệ thống có thể được phục hồi trong trường hợp phần mềm tống tiền và việc sao lưu toàn bộ dữ liệu sẽ giúp đẩy nhanh quá trình khôi phục.
- Cho phép trình chặn cửa sổ bật lên hoặc ngăn cửa sổ bật lên xuất hiện bằng cách điều chỉnh cài đặt trình duyệt của bạn. Những kẻ lừa đảo thường sử dụng cửa sổ bật lên để phát tán phần mềm độc hại.
Việc sử dụng phần mềm diệt virus toàn diện cũng sẽ giúp bạn an toàn khi trực tuyến. Kaspersky Total Security cung cấp khả năng bảo vệ 24/7 chống lại tin tặc, virus và phần mềm độc hại, cùng với các công cụ bảo vệ thanh toán và quyền riêng tư giúp bảo vệ bạn ở mọi góc độ. Kaspersky Internet Security for Android cũng sẽ bảo vệ thiết bị Android của bạn.
Sản phẩm được khuyến cáo:
