Nhiều người tin rằng, chẳng có gì phải lo lắng về việc lây nhiễm phần mềm độc hại nếu không nhấp vào các liên kết nguy hiểm, mở các tệp đáng ngờ hoặc cài đặt chương trình từ các nguồn không đáng tin cậy. Tuy nhiên, sự thật không phải như vậy.
Tinh vi "zero click"
Thực tế, có cách khai thác gọi là "zero-click", không yêu cầu bất kỳ hành động nào của người dùng mục tiêu (nhấp chuột hay thao tác nhấp trên tin nhắn) mà kẻ lừa đảo vẫn có thể chiếm quyền điều khiển thiết bị.
Cụ thể, kẻ lừa đảo đã tận dụng các lỗ hổng của tin nhắn để chiếm quyền điều khiển thiết bị mà nạn nhân KHÔNG cần nhấp vào đường dẫn được gửi đến. Người dùng chỉ cần mở xem tin nhắn là đã nhiễm mã độc.
Để có thể sử dụng kỹ thuật khó và phức tạp này, những hacker cần nhiều đầu tư và nghiên cứu các lỗ hổng bảo mật zero-click.
Các lỗ hổng này rất nguy hiểm và có hiệu quả cao trong tấn công lừa đảo tài chính nên thường được bán trên thị trường chợ đen với giá thậm chí có thể lên đến triệu USD.
Các thông tin về các lỗ hổng bảo mật (bao gồm cả những lỗ hổng phù hợp để tạo ra các cách khai thác không cần nhấp, zero-click) cũng thường được các công ty bảo mật hàng đầu đăng tải.
Vì vậy, tội phạm mạng có thể theo dõi tin tức về thế giới bảo mật để biết thông tin và khai thác lỗ hổng này trong phần mềm độc hại của chúng.
Phòng chống tấn công zero-click
Các nhà phát triển phần mềm đều cố gắng khắc phục những lỗ hổng trên sản phẩm của mình càng sớm càng tốt. Tuy nhiên, không phải người dùng nào cũng cài đặt, nâng cấp các bản cập nhật sửa lỗi lỗ hổng bảo mật...
Điều này cực kỳ nguy hiểm bởi kẻ xấu không cần là một hacker chuyên nghiệp cũng có thể tạo ra những mã độc dựa theo lỗ hổng zero-click để tấn công trực tiếp vào hàng loạt người dùng không cập nhật các bản vá. Vì vậy, người dùng hãy cập nhật thiết bị và ứng dụng của bạn thường xuyên, bao gồm cả trình duyệt web.