U svijetu u kojem su pametni telefoni i prijenosna računala postali svakodnevni suputnici, sve je više korisnika svjesno opasnosti koje dolaze s otvaranjem sumnjivih poruka ili poveznica. No, sve veći izazov predstavljaju tzv. “zero-click” napadi – hakerski napadi koji ne zahtijevaju nikakvu radnju korisnika kako bi kompromitirali uređaj.
Riječ je o vrlo sofisticiranim cyber napadima koji mogu preuzeti kontrolu nad uređajem bez da korisnik klikne bilo što – dovoljno je da primi poruku, poziv ili datoteku. Napadači iskorištavaju ranjivosti u aplikacijama i operativnim sustavima, ostavljajući korisnika potpuno nesvjesnog da je postao meta.
Prema Nathan Houseu, izvršnom direktoru britanske tvrtke StationX, koja se bavi obukom iz područja kibernetičke sigurnosti, glavni problem nije u tipu uređaja već u softverskim manjkavostima koje napadači koriste. ''Bilo koji uređaj spojen na mrežu može biti izložen ako ima propust u sigurnosti'', upozorava House.
Aras Nazarovas, stručnjak za informacijsku sigurnost iz Cybernewsa, pojašnjava da se zbog visoke cijene razvoja takvih napada zero-click eksploiti uglavnom koriste za ciljanje političara, novinara i VIP osoba, često u autoritarnim režimima. Komercijalna krađa novca ovim metodama je rijetka.
Jedan od najpoznatijih slučajeva takve špijunaže bio je Pegasus skandal, u kojem je izraelski NSO Group razvio softver sposoban za daljinsko prisluškivanje ciljeva bez njihova znanja. The Guardian i drugi mediji objavili su da su tom tehnologijom nadzirani novinari, predsjednici i politički oponenti, uključujući Emmanuela Macrona i Rahula Gandhija, dok je novinar Jamal Khashoggi bio među metama prije nego što je ubijen 2018. u Istanbulu.
Nedavno je i TikTok bio u središtu pozornosti nakon što su hakerski napadi kompromitirali više računa, uključujući profil medijske kuće CNN, a stručnjaci za sigurnost sumnjaju da se radilo upravo o zero-click napadu.
Tržište eksploita i dalje cvjeta u sivoj i crnoj zoni: nekim hakerima nude se i do milijun dolara za funkcionalan “zero-click exploit chain” za popularne aplikacije i uređaje. Iako umjetna inteligencija (AI) zasad ne igra ključnu ulogu u ovim napadima, eksperti upozoravaju da bi AI uskoro mogao olakšati razvoj ovakvih prijetnji i za manje iskusne napadače.
U pokušaju prevencije, brojne tehnološke kompanije nude tzv. “bug bounty” programe, u kojima hakeri mogu prijaviti otkrivene sigurnosne propuste i pritom biti nagrađeni – umjesto da ih prodaju na tržištu za zlonamjernu uporabu.
Za sada, najčešće mete ostaju visoko rangirane javne osobe i institucije, no stručnjaci upozoravaju da niti obični korisnici nisu u potpunosti sigurni, iako su ciljani znatno rjeđe.
