Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora

Presente e futuro della sicurezza informatica negli eventi sportivi

Negli ultimi anni le competizioni sportive sono state utilizzate dai criminali informatici come esca per truffare gli utenti, indipendentemente dallo sport in questione.

Sebbene gli attacchi di phishing e spam vengano solitamente effettuati nelle settimane precedenti l’evento, ci sono eccezioni che suscitano l’interesse dei truffatori anche con più di un anno di anticipo, come in questo caso.

Solo tra  il 15 agosto e il 15 ottobre di quest’anno, infatti, sono state scoperte 11.000 e-mail dannose che utilizzavano come gancio la Coppa del Mondo di calcio in Qatar.

Le aspettative sono alte durante i tornei internazionali di questa portata. Ogni squadra è sottoposta a una forte pressione per esibirsi di fronte a un pubblico mondiale. Ma questa pressione non ha nulla a che vedere con quella avvertita dalla nazione ospitante che, per quattro settimane, ha avuto gli occhi del mondo puntati sui suoi stadi e sulle sue infrastrutture. 

La Coppa del Mondo FIFA è una delle occasioni sportive più attese e seguite al mondo e il torneo di quest’anno in Qatar sicuramente non ha  fatto eccezione.

Popolare e globale, la Coppa del Mondo come ogni grande evento rappresenta un target interessante per possibili attori malevoli. Gli obiettivi più interessanti sono rappresentati dai tifosi ma anche da gruppi transnazionali ai quali  potrebbero essere causati problemi anche solo a fini politici.

Oltre a garantire una competizione equa e divertente e servizi di ogni genere la nazione ospitante deve assicurare anche la sicurezza dei tifosi, dei giocatori e del personale. Nell’era digitale di oggi, grandi gruppi di persone sono connessi al mondo tramite sistemi, computer e dispositivi: vi sono flussi video online in diretta, una biglietteria globale, siti web di sponsor dell’evento, siti di merchandising e persino sistemi informatici delle amministrazioni locale e servizi collegati di ogni sorta,  tutto ciò rappresenta  infinite opportunità per i cyber-attaccanti determinati di creare scompiglio, destabilizzare ed appropriarsi di dati sensibili.

La sicurezza informatica ormai è al centro della pianificazione di ogni grande evento sportivo, ed e’ ormai presa in considerazione al pari della sicurezza fisica ma non è stato sempre così: la Coppa del Mondo del 2014 e i Giochi Olimpici del 2016 ci hanno dato un buon esempio delle minacce alle quali eventi di tale portata, sono soggetti.

La Coppa del Mondo del Qatar ha presentato delle sfide importanti ed in questo tipo di eventi è molto probabile che qualcuno cerchi di causare disordini e/o colpire un’ampia fetta di pubblico con qualsiasi mezzo disponibile.

Project Stadia

Lo scorso marzo, il Supreme Committee for Delivery and Legacy del Paese ha ospitato un summit di esperti di cybersecurity provenienti da tutto il mondo, con l’obiettivo di esplorare la gamma di minacce informatiche affrontate dai grandi eventi sportivi. Questo ha fatto  seguito al lancio da parte del Ministero dei Trasporti e delle Comunicazioni, avvenuto un mese prima, del National Information Security Standards Framework, volto a standardizzare le capacità di sicurezza informatica di software, sistemi e servizi forniti da fornitori internazionali.

Alla base di tutto questo c’è il Project Stadia dell’Interpol, un’iniziativa decennale volta a migliorare le attività di polizia e la sicurezza per i Mondiali di calcio del 2022. Il progetto ha riunito le intuizioni e le informazioni degli esperti su tutto ciò che riguarda l’Internet delle cose e i sistemi di controllo industriale, le capacità nazionali di sicurezza informatica, la gestione del rischio di sicurezza informatica e le operazioni di sicurezza informatica per le sedi. 

Secondo Falah Al Dosari, senior project manager di Project Stadia, “comprendere meglio l’ambiente globale delle minacce e le sue implicazioni è vitale per le nazioni che ospiteranno i futuri grandi eventi”.

Il team di ricerca di Digital Shadows Photon ha monitorato le minacce informatiche che si sono coalizzate intorno alla Coppa del Mondo negli ultimi 90 giorni, utilizzando un sistema di allerta appositamente creato. Hanno scoperto che ci sono stati oltre 170 domini che si sono spacciati  per proprietà online ufficiali della Coppa del Mondo, molti dei quali siti web di phishing destinati a rubare i dati delle vittime. Hanno trovato inoltre 53 app mobili dannose, utilizzate per installare adware, rubare dati e credenziali e scaricare ulteriori payload di malware  e decine di pagine di social media fraudolente, alcune delle quali utilizzate per diffondere dubbie truffe di marketing di affiliazione o piramidali. 

Per contrastare queste minacce, in generale, è necessario rimanere vigili sui segnali di una truffa, non cliccare sui link delle e-mail non richieste, scaricare applicazioni dall’App Store o da Google Play e cercare notizie e informazioni da media noti e affidabili, come la BBC o Sky.

Inoltre durante la ricerca, il team ha trovato diversi annunci di registri di dati grezzi che sono stati rubati utilizzando il malware Redline. Redline è un infostealer utilizzato per raccogliere coppie di credenziali, dati di completamento automatico e informazioni sulle carte di credito dai browser web delle vittime. Può anche raccogliere altri dati tecnici sul sistema compromesso.

Obiettivi di valore

Il Qatar ha visto l’arrivo di circa 1,5 milioni di visitatori: numeri di questa portata sono un’enorme superficie di attacco e, dati i costi relativamente elevati del viaggio, del soggiorno e in generale dell’utilizzo di ciò che il Paese ha da offrire, è probabile che gli aggressori considerino i visitatori di questo tipo di eventi come obiettivi di alto valore.

In passato ai Mondiali di calcio ed ai Giochi olimpici, la maggior parte degli “incidenti” ha assunto la forma di attacchi online contro i siti web: scraping di biglietti e bot per l’accaparramento delle scorte per i biglietti “solo per i locali”, scansione delle vulnerabilità e DDoS sugli sponsor dell’evento, nonché credential stuffing e acquisizione di account diretti ai siti di biglietteria. 

Ci sono stati molti attacchi di tipo DDoS durante le cerimonie di apertura, in quanto ciò avrebbe generato la maggiore pubblicità per gli aggressori.

Poi ci sono i dispositivi presenti all’evento. Le Olimpiadi di Londra sono state il primo evento ad avere il WiFi negli stadi. Prima dei Giochi invernali di Sochi e Pechino, si parlava molto di lasciare i dispositivi a casa perché quando gli utenti si connettevano alla rete WiFi o addirittura alla rete cellulare in quei Paesi, sarebbero stati esposti a numerosi attacchi.  

Tokyo è stata la prima Olimpiade in cui gli organizzatori si aspettavano di avere più dispositivi sugli spalti che spettatori. Esistono alcune protezioni integrate nel Wi-Fi, come la separazione dei client, che impedisce ai dispositivi sullo stesso punto di accesso di attaccarsi a vicenda. Tuttavia, non c’è nulla che impedisca a un criminale di creare un proprio punto di accesso apparentemente legittimo ma privo di protezione.

Esiste un’ampia varietà di aggressori, tutti con le loro rispettive motivazioni. Spesso gli attaccanti sono alla ricerca di pubblicità per la loro causa o per punire l’obiettivo.

Poi ci sono i criminali, come quelli che attaccano i dispositivi durante gli eventi: cercano di infettare il maggior numero possibile di dispositivi in modo che, quando gli utenti tornano a casa o in ufficio, gli aggressori si colleghino a quelle reti e possano usare quell’accesso per colpire altri obiettivi. 

Questo diventa un grosso problema quando i dispositivi rientrano nella rete aziendale. Naturalmente, inoltre ci sono anche i criminali online che attaccano i siti web, come le bande di riscatto DDoS o i criminali che rubano i dati dai siti web in una violazione dei dati.

Allo stesso tempo, i gruppi di hacktivisti possono sfruttare l’attenzione pubblica data a questi eventi per aumentare esponenzialmente la portata del loro messaggio. Anche i gruppi di advanced persistent threat (APT) sponsorizzati da uno Stato possono decidere di prendere di mira gli eventi sportivi globali per raggiungere obiettivi statali nel Paese ospitante o nella più ampia comunità dell’evento

Gruppi come Anonymous, già noti a livello mondiale per le loro campagne hacktiviste, sembrano avere avuto  nel mirino la Coppa del Mondo. Il 25 ottobre scorso, un rappresentante del gruppo ha chiesto alla FIFA di bandire la squadra nazionale iraniana alla luce della brutale repressione delle proteste anti-regime da parte di Teheran, firmando con l’ormai tradizionale saluto di Anonymous: “Aspettateci”.

La natura dei grandi eventi sportivi fa sì che i team IT non dispongano di una buona base di riferimento per definire il traffico normale dell’evento. È la definizione stessa di flash crowd: si passa da un traffico pari a zero a milioni di visitatori contemporanei, a volte in pochi minuti. Ciò rende molto difficile per i team di sicurezza che gestiscono la rete, in quanto non dispongono di un traffico precedente con cui confrontarlo e devono quindi tirare a indovinare cosa sia dannoso e cosa no. Il successo in questo caso dipende molto dal numero di addetti alle operazioni di sicurezza o di “blue-teamers” con esperienza in situazioni simili, in modo da poter analizzare gli eventi in modo rapido e accurato.

Dobbiamo pensare  alla superficie di attacco come a due diversi ambiti: il primo livello è costituito dai siti web e da altri servizi accessibili via Internet per i quali l’obiettivo finale è disporre di un’architettura che abbia la resilienza necessaria e di persone che abbiano l’esperienza necessaria per conoscere la maggior parte dei problemi da affrontare e che abbiano la velocità e la precisione di analisi.

La seconda superficie di attacco è costituita dai dispositivi informatici degli utenti finali, ovvero i computer portatili, i telefoni e gli altri oggetti che utilizziamo.È quindi molto probabile che i criminali effettuino in queste occasioni attacchi personali ai tifosi in visita attraverso i loro dispositivi digitali. Utilizzando tecniche come il phishing e l’ingegneria sociale, cercano di rubare informazioni personali o finanziarie che potranno essere riutilizzate per effettuare attacchi successivi o vendute sul mercato nero a scopo di lucro. Le connessioni Wi-Fi aperte non protette possono essere “spooffate”, inducendo gli utenti a connettersi utilizzando i loro dati personali. In alternativa, cliccando sui link malevoli contenuti nelle e-mail promozionali fraudolente relative alla Coppa del Mondo si possono inviare i tifosi a siti web appositamente creati dove, ancora una volta, possono inconsapevolmente consegnare le loro informazioni personali ai criminali.

Mitigazione e prevenzione

Vari sono gli accorgimenti da adottare in questi casi : la prima cosa da stabilire è se il dispositivo è necessario all’evento e se è necessario abilitarne l’accesso alla rete. Se si ha bisogno solo di una fotocamera, si può utilizzare il dispositivo in modalità aereo, che disattiva tutta la connettività, in particolare il WiFi e il Bluetooth.

I fan potrebbero anche portare con sé un altro dispositivo da resettare in fabbrica prima di andare all’evento e poi, dopo, spostare le foto e i video su una scheda SD e fare un altro reset in fabbrica del dispositivo in modo da distruggere qualsiasi malware che si trovi su di esso. 

Dovrebbero sempre mantenere i loro dispositivi patchati e aggiornati. Questo è facile da fare, poiché quasi tutti i dispositivi supportano gli aggiornamenti automatici. Se il dispositivo è supportato da un antivirus, usatelo e tenetelo aggiornato.

La sicurezza e’ un processo iterativo : un flusso continuo di informazioni sulle minacce in tempo reale prima e durante ogni grande evento fornisce una maggiore comprensione delle minacce potenziali e consente ai professionisti della sicurezza di difendersi meglio da esse.

Inoltre un’analisi dei dati  e degli insight fatta posteriormente ci permetterà in futuro  di riconoscere dove si trovano le vulnerabilità e affrontarle di conseguenza, consentendo una migliore protezione delle reti mobili e aiuterà a proteggersi dagli attacchi mirati.