Sabato primo giugno 2024 si disputerà la finale della coppa Uefa Champions League e i cyber criminali affilano già le armi per sferrare cyber attacchi e tentare vecchie e nuove truffe.
La partita tra Manchester City e Inter superò l’anno scorso i 10 milioni di telespettatori. Quest’anno il match fra Borussia Dortmund e Real Madrid si conferma un’occasione ghiotta per chi vuole attaccare tifosi e società sportive con phishing, ransomware eccetera.
“Sui grandi eventi incombono sempre pericolose minacce”, commenta Enrico Morisi, ICT Security Manager, “così come i grandi banchi di pesci, per usare una metafora, rappresentano un ‘desco’ tanto succulento quanto indifeso per i micidiali predatori marini”.
“
Il rischio segnalato da Kaspersky non riguarda solo eventi sportivi di grande popolarità e non è una novità.
Più in generale, l’utilizzo di particolari situazioni ad alto impatto mediatico per veicolare phishing con finalità di portare cyber attacchi è ben noto e diffuso da tempo.
“I cybercriminali, come cerchiamo di spiegare da anni, sono vere e proprie aziende che fanno ricerca e sviluppo e sanno cogliere velocemente le opportunità di mercato”, aggiunge Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Qualunque evento che coinvolga milioni di persone è un’ottima opportunità per lanciare la ‘pesca a strascico’, cioè campagne di phishing massivo”.
Ecco i consigli per mettere all’angolo il crimine informatico, sempre in agguato nei grandi eventi, e godersi l’evento sportivo in tranquillità proteggendosi da potenziali attacchi.
Indice degli argomenti
Uefa Champions League nel mirino di cyber attacchi
Secondo Kaspersky, stanno già crescendo i cyber attacchi contro tifosi e società sportive, che, in occasione di grandi eventi, corrono sempre rischi cyber.
“Lo sport, il calcio e, in particolare, le finali delle competizioni prestigiose come la Uefa Champions League, non ne sono esenti”, conferma Enrico Morisi, “in particolare nell’ambito della information security, come testimoniato dai casi già saliti agli onori della cronaca.
Già nel corso dei Mondiali 2022, si era impennata l’attività malevola durante l’evento, a partire dall’aumento degli attacchi di phishing, di tipo ransomware e i consueti, ma sempre efficaci, schemi di social engineering, perché è il fattore umano il punto debole in questi casi.
Ma in agguato sono i anche malware, pronti a colpire i tifosi e organizzazioni per compromettere la security e violare la privacy degli utenti e rubare informazioni sensibili e personali, finanziarie o commerciali.
“I threat actor cercano infatti ghiotte opportunità da capitalizzare, soprattutto quelle caratterizzate da ambienti estremamente connessi, che coinvolgano una moltitudine di dispositivi diversi” per raggiungere l’obiettivo, secondo Morisi.
“Quindi nulla di nuovo: gli attaccanti sfruttano le vulnerabilità umane quali il desiderio e l’avidità per convincere gli utenti meno attenti (che sono la maggioranza!) a commettere un errore. In questi casi si cerca di giocare anche sull’urgenza per indurre le persone a fare in fretta (e quindi a non pensare), per non perdere la “fantastica offerta” che l’email o il messaggio propone. Citando Kevin Mitnick: “There is no patch for stupidity”, le vulnerabilità umane sono le più difficili da patchare ed anzi continuano a funzionare benissimo“, conferma Sbaraglia: “E quindi, torniamo sempre allo stesso punto: la prima causa di attacco informatico continua ad essere il fattore umano”.
I grandi eventi sono il bersaglio preferito
“Pensiamo per esempio ai momenti dell’anno in cui ricorre il Black Friday, il Cyber Monday o il Prime Day: milioni di utenti si lanciano alla ricerca di acquisti a prezzi superconvenienti: queste sono le occasioni perfette per una pesca a strascico che troverà tanti pesci già predisposti ad abboccare”, spiega Giorgio Sbaraglia: “Check Point Research ha rilevato un aumento di 16 volte delle campagne di phishing a giugno rispetto a maggio 2023, durante le due giornate del Prime Day.
Un’altra ricerca di Bitdefender segnala che il 46% dei messaggi spam sul Black Friday è in realtà una truffa. Queste campagne di phishing hanno come principale tema Amazon, che è tra i brand più popolari usati come esca per rubare credenziali e numeri delle carte di credito, ma riguarda anche altri marchi di lusso della moda come Louis Vuitton, RayBan, Rolex e molti altri”.
Come mitigare il rischio
Occorre implementare misure di sicurezza preventive per evitare potenziali cyber attacchi, oltre a non abbassare mai la guardia e mantenere alta l’attenzione. La consapevolezza è la migliore difesa.
Bisogna dunque mantenere aggiornati i propri sistemi e software installando le patch di sicurezza, in modo da eliminare le falle conosciute, oltre a effettuare regolarmente i backup (e crittografarli) per tagliare drasticamente l’effetto di attacchi ransomware come la perdita di dati.
Inoltre per non cadere vittime del phishing, bisogna prestare attenzione alle mail e ai messaggi sospetti con link dannosi o a richieste di informazioni sensibili. Infatti è necessario diffidare di biglietti per la finale di Champions a un prezzo troppo conveniente per essere credibile o link sospetti alla visione gratuita della partita. Nessuno regala mai niente, il rischio è che sia una truffa.
“La prevenzione è la chiave per proteggere i dati personali e finanziari in
queste occasioni”, secondo Marc Rivero, Lead Security Researcher di Kaspersky.
“Il tema è critico e molto sentito, tant’è che diverse organizzazioni governative hanno pubblicato guide per promuovere l’inclusione dei processi di gestione dei rischi cyber nella pianificazione dei grandi eventi, come ad esempio le Nazioni Unite e NCSC (UK National Cyber Security Centre)”, spiega Morisi.
“Questi phishing non si riescono a contrastare efficacemente con protezioni informatiche: se un utente scrive il numero della propria carta di credito in risposta ad un’email di phishing, nessun antivirus lo potrà salvare dalla truffa”, mette in guardia Sbaraglia: “L’unica misura efficace è una crescita della maturità digitale delle persone, in altri termini – ed è quello che faccio quotidianamente nella mia attività di formazione – creare cultura sull’uso dei dispositivi informatici e dare consapevolezza (awareness) sui rischi connessi”.
“In Italia sul tema della cultura digitale c’è ancora molta strada da fare”, contclude Sbaraglia: “intanto secondo il Rapporto Clusit 2024 l’Italia è uno dei paesi al mondo che subisce più attacchi informatici”.
La cultura della sicurezza anche in Uefa Champions League
“Infine”, continua Morisi, CISA (Cybersecurity & Infrastructure Security Agency) e NCS4 (National Center for Spectator Sports Safety and Security) già nel 2022 hanno pubblicato uno spotlight sulla mitigazione dei rischi negli stadi, con riferimento, in particolare, alle varie tipologie di sistemi e dispositivi interconnessi, tra cui si possono annoverare:
- Video Board, digital signage and Public Address (PA) System
- Small Unmanned Aircraft System (sUAS)
- Closed-Circuit Television (CCTV)
- Heating, Ventilation, and Air Conditioning (HVAC)
- Fire and Emergency Management
- Smart Grid
- Stadium Kiosk
- Telecommunication systems
- Electric Vehicle (EV) Charging Stations
- Stadium Entrance Equipment
- Point of Sale (POS)
- Automated Lighting Controls
- Wi-Fi hotspots, mobile apps, and QR codes
- Stadium access and infrastructure equipment.
Una notevole varietà di sistemi e dispositivi, esposti ad una mole non indifferente di rischi diversi, per non parlare di quelli relativi alla vendita dei biglietti (e.g. ticket scam) lo streaming video degli eventi (e.g. DDoS attack) e, magari, la infausta brama di riceverlo “free of charge” (somministrazione di malware come ad esempio gli infostealer) e così via”.
Dunque, “è di fondamentale importanza sviluppare un vero e proprio programma completo di information security, fondato sulla gestione del rischio, con una particolare attenzione anche al mondo OT (Operational Technology) e senza mai trascurare l’aspetto più importante in assoluto: la promozione della cultura della sicurezza.
Del resto, anche la FIFA (Fédération Internationale de Football Association) ha recentemente organizzato una serie di eventi orientati alla diffusione delle best practice nell’ambito della cyber security e della data protection, nel regno degli sport”, conclude Morisi.
L’IA scende in campo per rendere lo sport più sicuro
Lo sport potrebbe infine adottare l’Intelligenza Artificiale (IA), applicandola per verificare le azioni nelle partite di calcio senza far attendere cinque o sette minuti per confermare un fuorigioco, come oggi fa il sistema del VAR.
Mettendo a confronto le azioni svolte con elenchi di comportamenti anomali, l’IA ottimizza l’efficienza e la sicurezza contro i cyber attacchi. Proprio come le heat map nel calcio, l’IA migliora il monitoraggio e l’analisi dei dati, rendendo gli ambienti aziendali più sicuri grazie all’analisi dei comportamenti sospetti e al blocco delle frodi in tempo reale.
Infine, l’IA può realizzare report dettagliati automatici sulle prestazioni degli atleti, fornendo un vantaggio rilevante nel corso degli allenamenti e delle competizioni.
