"제로 데이 공격"은 충분히 나쁘지만(개발자가 공개되기 전에 취약점을 처리할 시간이 없었기 때문에 이름이 지정되었습니다.) 제로 클릭 공격은 다른 방식으로 경고합니다.
제로 클릭 - 공격 식별
피싱과 같은 많은 일반적인 사이버 공격은 사용자가 어떤 종류의 조치를 취해야 합니다. 이 차트에서 이메일을 열거나 첨부 파일을 다운로드하거나 링크를 클릭하면 맬웨어가 기기에 침투할 수 있습니다. 그러나 제로 클릭 공격은 작동하기 위해 사용자 상호 작용이 필요하지 않습니다.
이러한 공격은 악의적인 사용자가 악성 코드를 클릭하도록 하기 위해 사용하는 심리적 전술인 "사회 공학"을 사용할 필요가 없습니다. 대신 장치에 맞춰 춤을 춥니다. 이로 인해 사이버 공격자는 추적하기가 더 어려워지고, 실패하더라도 공격을 받고 있다는 사실을 알지 못하기 때문에 공격을 받을 때까지 계속 시도할 수 있습니다.
제로클릭 취약점은 국가 차원에서 높은 평가를 받고 있습니다. 암시장에서 취약점을 사고 파는 Zerodium과 같은 회사 누구에게나 수백만 달러를 줘 그는 그것을 찾을 수 있습니다.
수신 데이터를 분석하여 해당 데이터를 신뢰할 수 있는지 확인하는 모든 시스템은 제로 클릭 공격에 취약합니다. 이것이 이메일 및 메시징 앱이 매력적인 대상이 되는 이유입니다. 또한 Apple의 iMessage와 같은 앱에서 볼 수 있는 종단 간 암호화로 인해 데이터 패킷의 내용이 발신자와 수신자 외에는 볼 수 없기 때문에 제로 클릭 공격이 전송되고 있는지 여부를 알기 어렵습니다.
이러한 공격은 종종 흔적을 많이 남기지 않습니다. 예를 들어, 제로 클릭 이메일 공격은 자체를 삭제하기 전에 이메일 상자의 전체 내용을 복사할 수 있습니다. 애플리케이션이 복잡할수록 제로 클릭 익스플로잇을 위한 더 많은 공간이 있습니다.
야생에서의 노클릭 공격
XNUMX월, 발견 클릭 없는 Citizen Lab 익스플로잇 이를 통해 공격자는 코드를 자동으로 실행하도록 설계된 PDF 파일을 사용하여 대상의 전화기에 Pegasus 멀웨어를 설치할 수 있습니다. 멀웨어는 감염된 사람의 스마트폰을 청취 장치로 효과적으로 전환합니다. 그 이후로 Apple은 취약점에 대한 패치를 개발했습니다.
지난 XNUMX월 사이버 보안 회사 ZecOps . 다수에 대한 서면 보고서 Apple의 Mail 앱에서 발견한 제로 클릭 공격으로부터 인터넷을 통해 공격자는 메일 사용자에게 특수하게 조작된 이메일을 보내 사용자의 조치 없이 장치에 액세스할 수 있도록 했습니다. 그리고 ZecOps 보고서에 따르면 이러한 특정 보안 위험이 Apple 사용자에게 위협이 된다고 생각하지 않지만 이러한 취약성은 궁극적으로 사이버 공격자가 제어할 수 있도록 하는 일련의 보안 허점을 만드는 데 사용될 수 있습니다.
2019년에 공격자는 WhatsApp의 취약점을 사용하여 전화를 걸어 사람들의 전화기에 스파이웨어를 설치했습니다. 이후 페이스북은 스파이웨어 공급업체 고소 이 스파이웨어를 사용하여 반체제 인사와 정치 활동가를 표적으로 삼았다고 주장하는 책임 있는 사람으로 간주됩니다.
자신을 보호하는 방법
불행히도 이러한 공격은 탐지하기 어렵고 이를 수행하기 위해 사용자 작업이 필요하지 않기 때문에 보호하기 어렵습니다. 그러나 좋은 디지털 위생은 여전히 당신을 표적이 되지 않게 만들 수 있습니다.
사용 중인 브라우저를 포함하여 기기와 앱을 자주 업데이트하십시오. 이러한 업데이트에는 사용자가 설치하지 않을 경우 악의적인 행위자가 사용할 수 있는 익스플로잇용 패치가 포함되어 있는 경우가 많습니다. 예를 들어, WannaCry 랜섬웨어 공격의 많은 희생자는 간단한 업데이트로 피할 수 있었습니다. iPhone 및 iPad 앱 업데이트, Mac 및 설치된 앱 업데이트, Android 기기를 최신 상태로 유지하기 위한 가이드가 있습니다.
좋은 안티스파이웨어 및 맬웨어 소프트웨어를 구하고 정기적으로 사용하십시오. 가능하면 공개적으로 VPN을 사용하고 신뢰할 수 없는 공개 연결에 은행 데이터와 같은 민감한 정보를 입력하지 마십시오.
앱 개발자는 제품을 대중에게 공개하기 전에 제품의 취약성을 철저히 테스트하여 결국 도움을 줄 수 있습니다. 전문 사이버 보안 전문가를 고용하고 버그 수정에 대한 보상을 제공하면 상황을 더 안전하게 만들 수 있습니다.
그래서 이것 때문에 잠을 자야 합니까? 대부분 그렇지 않습니다. 제로 클릭 공격은 주로 세간의 이목을 끄는 스파이 활동 및 재정적 목표물에 대해 사용됩니다. 자신을 보호하기 위해 가능한 모든 조치를 취하는 한 잘해야 합니다.
