כמשתמשי אינטרנט, תמיד נאמר לנו להישאר ערניים במיוחד בעת לחיצה על קישורים וקבצים מצורפים לדוא"ל ולציית לשיטות האבטחה הטובות ביותר. אף שהעצה הזו חלה על רוב מתקפות הסייבר, היא, למרבה הצער, אינה יכולה להגן עלינו מפני התקפת אפס קליקים חסרת רחמים.
התקפות אפס קליק חודרות למכשירים ולמערכות ללא אזהרה או היבט של אינטראקציה אנושית, מה שהופך אותם לקשים ביותר לזיהוי ולהתגונן מפניהם.
אבל האם התקפת אפס קליק זהה להתקפה של יום אפס? ומה הופך אותה למסוכנת משמעותית מהתקפות מיינסטרים? המשך לקרוא כדי לגלות.
מהי התקפת אפס קליק?
לא כל התקפות הסייבר שוות או דורשות טעות של משתמשים כדי להתרבות. כפי שהשם מרמז, התקפת אפס קליק מתרחשת עם "אפס" לחיצות עכבר, לחיצות מקשים או אינטראקציות משתמש.
האקרים מכוונים בעיקר את ההתקפות הללו לניצול לרעה של נקודות תורפה שכבר קיימות בתוכנה או באפליקציית הודעות. לפעמים האקרים מוכרים את הפגיעויות הללו בשוק השחור, או שחברות יציעו תגמולים נדיבים למי שמוצא אותן.
התקפות בלחיצת אפס הן מועדפות אישיות של תוקפים מכיוון שהן אינן דורשות אף אחת מהן הנדסה חברתית טקטיקות לשכנע את הקורבנות ללחוץ על קישורים או קבצים מצורפים זדוניים. הם גם לא דורשים שום אינטראקציה של משתמשים עם הקורבנות, מה שמקשה מאוד על מעקב אחר התוקפים.
כיצד פועלת התקפת אפס קליקים?
התקפות אפס קליקים מכוונות בעיקר לאפליקציות המספקות יכולות העברת הודעות או שיחות קוליות, כמו WhatsApp או iMessage, מכיוון ששירותים אלו מקבלים ומנתחים נתונים ממקורות לא ידועים.
האקרים יוצרים במיוחד פיסת נתונים כמו הודעת טקסט נסתרת, דואר אלקטרוני, תא קולי או קובץ תמונה ולמסור אותו להתקן יעד דרך חיבור אלחוטי באמצעות Wi-Fi, NFC, Bluetooth, GSM, או LTE. אספקת נתונים זו מעוררת פגיעות לא ידועה ברמת החומרה או התוכנה.
התקפות אפס קליק ידועות לשמצה כמיקוד לאייפון ואייפד, והפגיעות קיימת מאז ספטמבר 2012, כאשר אפל הוציאה לראשונה את ה-iPhone 5 עם iOS 6.
מה הופך התקפת אפס קליקים למסוכנת כל כך?
התקפות אפס קליק הן מתוחכמות ביותר. האקרים מתקדמים וממומנים היטב מפתחים אותם כדי לא להשאיר עקבות מאחור, מה שהופך אותם למסוכנים עוד יותר. התקפת דואר אלקטרוני בלחיצה אפס, למשל, יכולה להעתיק את כל תיבת הדואר הנכנס לפני מחיקת עצמה.
מיותר לציין שהתקפת אפס קליק לוקחת את איומי האבטחה לרמה חדשה לגמרי. הנה כמה סיבות לכך שהתקפות אפס קליקים קטלניות הרבה יותר מהתקפות סייבר מיינסטרים:
- התקפות אפס קליקים אינן דורשות מהקורבן ללחוץ על קישור, להוריד קובץ מצורף או להיתקל באתר מרוכז בתוכנות זדוניות. מכיוון שהכל קורה מאחורי הקלעים, המשתמשים אינם מודעים לחלוטין.
- התוקפים אינם צריכים לבזבז זמן על הקמת מלכודת משוכללת או פיתיון כדי לפתות קורבנות לבצע משימה. זה מזרז את התפשטות התקפת אפס קליקים.
- התקפות אפס קליק מתקינות כלי מעקב ממוקדים במיוחד או תוכנות ריגול במכשירים של הקורבן על ידי שליחת הודעה לטלפון של משתמש שאינה מפיקה התראה. משתמשים אפילו לא צריכים לגעת בטלפונים שלהם כדי שהזיהומים יתחילו.
- התקפות אלו מכוונות בעיקר לאנשים בעלי כוח או ידע על אבטחת סייבר, מכיוון שתוקפים לא יכולים להערים עליהם ללחוץ על קישורים זדוניים.
- התקפות אפס קליק לא משאירות אחריהן עקבות או אינדיקטורים של פשרה.
- התקפות אפס קליק משתמשות בטכניקות הפריצה המתקדמות ביותר שיכולות לעקוף כל מערכת אבטחת נקודות קצה, אנטי וירוס או חומת אש.
מלבד הסיבות שהוזכרו לעיל, התקפות אפס קליק משגשגות מאוד על הצריכה ההולכת וגדלה של מכשירים ניידים על ידי ניצול של כיסוי רשת, פגיעויות Wi-Fi וזמינות של בעלי ערך נתונים.
לצד ההטעיה, ההתקפות הללו מתרחבות במהירות עם השימוש הגובר בטכנולוגיה.
האם התקפות אפס קליק ואפס יום זהות?
רוב האנשים מתבלבלים בין התקפות אפס קליקים לאפס יום. בעוד ש"אפס" הוא המכנה המשותף כאן, לשתי ההתקפות יש בעיקר קונוטציות שונות.
התקפה של יום אפס מתרחשת ברגע שתוקפים מנצלים פגיעות תוכנה או חומרה ומשחררים תוכנה זדונית לפני שלמפתח יש הזדמנות ליצור תיקון לתיקון הפגיעות.
התקפת אפס קליק, כפי שכבר דיברנו, דורשת אפס קליקים או אינטראקציות כדי להתרחש. עם זאת, עדיין יש מתאם בין שני סוגי ההתקפות מכיוון שלפעמים התקפות אפס קליק מנצלות את הפגמים העמוקים ביותר והבולטים ביותר של יום אפס כדי לבצע את ההתקפה שלהן.
במילים פשוטות, מכיוון שמפתחים עדיין לא דיווחו על פגמים ביום אפס, התקפות אפס קליק מנצלות את ההיבט הזה, ובכך מבצעות ניצולים שקשה יהיה לזהות או לחקור.
קָשׁוּר: מהו ניצול יום אפס וכיצד פועלות התקפות?
האם תוכנת ריגול של פגסוס היא מתקפת אפס קליקים?
בספטמבר 2021, The Citizen Lab, שבסיסה בטורונטו, הודיעה על גילוי מתקפת אפס קליקים אפשרו להאקרים להתקין תוכנות זדוניות של פגסוס במכשירים של הקורבן כולל מכשירי אייפון, אייפד, מקבוקים ואפל שעונים.
המקרה האחרון של פגסוס תוכנה זדונית עם אפס קליקים התגלה בשירות iMessage של אפל.
תוקפים מעבירים את התוכנה הזדונית של Pegasus באמצעות PDF זדוני שמבצע אוטומטית קוד המעבד את המכשירים הנגועים למכשיר האזנה. למרבה המזל, אפל פיתחה מאז תיקון לפגיעות זו דרך iOS 14.8/iPadOS 14.8 עבור מכשירי iPhone ו-iPad, ו-watchOS 7.6.2 עבור Apple Watch Series 3, ואילך.
קָשׁוּר: האם האייפון שלי נגוע בתוכנת ריגול של פגסוס?
טיפים להגנה על עצמך מפני התקפות אפס קליקים
למרבה הצער, בשל האופי הבלתי נראה של התקפות אפס קליק, זה די בלתי אפשרי להגן על עצמך מפניהן. אבל החדשות הטובות הן שסוגים אלה של התקפות מכוונות בעיקר לאישים בעלי פרופיל גבוה מסיבות ריגול פוליטי או כלכליות.
למרות שאינך יכול למתן התקפות אפס קליקים, הטיפים הבאים יכולים לעזור למזער את הסיכון:
- שמור תמיד את המכשירים, האפליקציות והדפדפנים שלך מעודכנים.
- מזהים כמו הטלפון שלך מתחמם, המסך לא נטען או שיחות מתנתקות יכולים לפעמים להיות קשורים להתקפות אפס קליקים. אז שימו לב להתנהגות לא סדירה שכזו.
- השקיעו בכלים חזקים נגד תוכנות ריגול ואנטי תוכנות זדוניות.
- השתמש תמיד ב-VPN כאשר אתה מתחבר לאינטרנט במקומות ציבוריים או לא ידועים.
- עבור ארגונים, שכירת מומחי אבטחת סייבר חיצוניים או ציידי ראשים באגים יכולה לעזור לך לזהות פרצות ונקודות תורפה.
- אם אתה יצרן סמארטפון או מפתח תוכנה, אז אתה צריך לבדוק בקפדנות את המוצרים שלך מפני פגיעויות לפני שחרורם לציבור.
- הימנע מפריצת מכשיר בכלא. לצד היותו תרגול מסוכן, זה גם יכול להגביר את הפגיעות של המכשיר להתקפות מרחוק עקב התקנת אפליקציות שאינן בחנות האפליקציות הכללית או בחנות הפליי.
- בעת התקנת אפליקציה חדשה, קרא בעיון את האותיות הקטנות ובחן את ההרשאות שהיא מבקשת.
העובדה שהתקפות אפס קליקים לא דורשות אינטראקציה אנושית לא צריכה להרתיע אותך מלנסות כמיטב יכולתך לצמצם את הסיכונים. כמשתמש, עליך לעשות כל שביכולתך כדי לוודא שהאקרים לא יוכלו לנצל את המכשירים שלך בקלות.
הקפידו על התקפות אפס קליקים עם עדכוני תוכנה
אמנם אין ערובה להגנה מפני התקפות אפס קליקים, אבל הדרך היעילה ביותר לצמצם את הסיכון היא על ידי שמירה על הכל מעודכן.
לרוב חברות התוכנה יש ביקורות קוד בקרב מפתחים שהן עורכות כדי למזער את הפגיעויות במוצרים שלהן לפני השחרור. מפתחים בסופו של דבר מתקנים ניצול אפס קליקים בגרסאות ובגרסאות חדשות יותר.
במאבק נגד התקפות אפס קליקים, הדרך היחידה לצאת מנצחת היא להתעדכן בעדכוני המפתחים האחרונים.
תוהה איך לעדכן הכל באייפון שלך? אנו מראים לך כיצד לעדכן את iOS, מה לעשות לפני כן, וכיצד לעדכן גם אפליקציות לאייפון.
קרא הבא
- בִּטָחוֹן
- אבטחת סייבר
- תוכנה זדונית
- עצות אבטחה
קינזה היא עיתונאית טכנולוגיה בעלת תואר ברשתות מחשבים ומספר רב של הסמכות IT תחת החגורה שלה. היא עבדה בתעשיית הטלקומוניקציה לפני שהתחילה לעסוק בכתיבה טכנית. עם נישה בנושאי אבטחת סייבר ונושאים מבוססי ענן, היא נהנית לעזור לאנשים להבין ולהעריך את הטכנולוגיה.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
לחץ כאן כדי להירשם