Duże wydarzenia sportowe, takie jak mistrzostwa świata w piłce nożnej czy igrzyska olimpijskie, przyciągają miliony, a czasem wręcz miliardy widzów. Tego typu okazje nigdy nie umykają uwadze cyberprzestępców. W ciągu ostatniej dekady liczba udokumentowanych cyfrowych incydentów, w tle których znajdowały się duże imprezy, wzrosła z 212 milionów podczas igrzysk w Londynie w 2012 roku do 4,4 miliarda w trakcie zawodów w Tokio w 2021 roku.
Podejmowane przez cyberprzestępców ataki często mają bezpośredni motyw finansowy. Podekscytowani fani nie zauważają potencjalnych zagrożeń i padają ofiarą oszustw podczas zamawiania biletów, organizowania zakwaterowania lub kupowania pamiątek. Przez brak rozwagi tracą nie tylko pieniądze na fałszywych stronach internetowych, ale także udostępniają wrażliwe dane osobowe, które mogą być odsprzedane na czarnym rynku i wykorzystywane do popełniania innych przestępstw. – Potencjalnymi ofiarami mogą stać się także właściciele powiązanych z daną imprezą stron internetowych i usług. Tzw. haktywiści chętnie włamują się na popularne w trakcie wydarzenia witryny, aby za ich pośrednictwem głosić swoje przesłania. Natomiast jeśli nie są w stanie tego dokonać, zakłócają pracę serwerów oferujących krytyczne usługi, aby w ten sposób przyciągnąć uwagę mediów – mówi Robert Dąbrowski, szef zespołu inżynierów w firmie Fortinet w Polsce.
Cel: Paryż
Tematyka tegorocznych XXXIII Letnich Igrzysk Olimpijskich, które odbędą się w Paryżu, jest wykorzystywana przez cyberprzestępców od ponad roku – jak wynika z nowej analizy FortiGuard Labs bazującej na danych o zagrożeniach zebranych przez FortiRecon. . Zauważono przede wszystkim znaczny wzrost ilości działań wymierzonych we francuskojęzycznych użytkowników, tamtejsze agencje rządowe i firmy oraz dostawców infrastruktury. Jako centrum cyberprzestępczych działań od dawna służy tzw. ciemna sieć (dark web) – to właśnie tam zaobserwowano znaczący wzrost aktywności dotyczącej igrzysk w Paryżu.
Wśród udokumentowanej złośliwej działalności wyróżnia się rosnąca dostępność zaawansowanych narzędzi i usług zaprojektowanych w celu szybkiego, nieuczciwego pozyskiwania wrażliwych danych osobowych. Pojawiły się także oferty sprzedaży francuskich baz takich informacji oraz zestawów wykradzionych nazw użytkowników i haseł, które mogą być wykorzystywane do zautomatyzowanych ataków typu brute-force. Zaobserwowano też wyraźny wzrost aktywności haktywistów z Rosji i Białorusi (przedstawiciele obu państw nie zostali zaproszeni do oficjalnego udziału w tegorocznych igrzyskach), a także z innych krajów, w tym Sudanu, Indonezji, Turcji i Indii.
Każdy sposób jest dobry
Do obecności oszustw phishingowych w cyfrowej przestrzeni zdążył się już przyzwyczaić chyba każdy świadomy internauta. Jest to relatywnie łatwa do przeprowadzenia forma ataku, ale wielu początkujących „hakerów” nie wie, jak tworzyć lub rozpowszechniać wiadomości phishingowe. Ci bardziej zaawansowani cyberprzestępcy wyczuli nowe możliwości biznesowe – stworzyli i zaczęli oferować na czarnym rynku zestawy narzędzi, które w prosty sposób pomagają skomponować przekonującą wiadomość e-mail, dodać złośliwy kod, utworzyć adres phishingowej strony internetowej, jej treść oraz zdobyć listę potencjalnych ofiar. – Sprzymierzeńcem w tym procederze okazały się usługi generatywnej sztucznej inteligencji. Ułatwiają tworzenie tekstu, który pozbawiony jest gramatycznych i ortograficznych błędów, a więc rozpoznanie wiadomości e-mail jako złośliwej stało się zdecydowanie trudniejsze. Pojawianiu się takich narzędzi towarzyszy wzrost popularności usług tworzenia stron phishingowych, masowej wysyłki SMS-ów oraz fałszowania numerów telefonów – ostrzega ekspert Fortinet.
W raporcie udokumentowano także znaczną liczbę zarejestrowanych domen dotyczących igrzysk, które mogą być wykorzystywane przy atakach typu typosquatting. Polegają one na wykorzystaniu w kampaniach phishingowych domeny podobnej do oryginalnej, ale zawierającej często popełniany błąd (np. oympics[.]com, olmpics[.]com, olimpics[.]com itp.) albo podobnej wizualnie (np. oIympics[.]com – w zapisie wykorzystano wielką literę „i” zamiast małej litery „L”). Pod takimi adresami mogą znajdować się klony oryginalnych stron, zawierające np. formularze płatności, z których dane kart płatniczych trafiają prosto w ręce cyberprzestępców. We współpracy z partnerami olimpijskimi, francuska Żandarmeria Narodowa zidentyfikowała 338 oszukańczych stron internetowych oferujących fałszywe bilety. Według ich danych, 51 witryn zostało już zamkniętych, a 140 otrzymało formalne zawiadomienia od organów ścigania.
Zidentyfikowano również kilka oszustw związanych z loteriami olimpijskimi, w ramach których podszywano się pod tak znane marki, jak Coca-Cola, Microsoft, Google czy Bank Światowy. Głównymi celami tych oszustw byli użytkownicy w Stanach Zjednoczonych, Japonii, Niemczech, Francji, Australii, Wielkiej Brytanii i Słowacji.
Porady dla podróżujących
Osoby, które planują uczestniczyć w tegorocznych igrzyskach, powinny w odpowiedni sposób przygotować się pod względem bezpieczeństwa zarówno do podróży, jak też do odwiedzania olimpijskich aren. Celem jest zminimalizowanie ryzyka związanego z cyberzagrożeniami, dotyczących szczególnie prób manipulacji użytkowników internetu, aby wykraść ich dane i pieniądze.
– Grupa osób, które wystawione są na potencjalne ryzyko, jest duża – ostrzega Robert Dąbrowski. – Na podstawie danych zebranych przez FortiRecon i przeanalizowanych przez FortiGuard Labs należy zakładać, że wystąpi zwiększona liczba ukierunkowanych ataków także na VIP-ów, w tym urzędników państwowych, kierownictwo wyższego szczebla i kluczowych decydentów, w związku z czym należy podjąć dodatkowe środki ostrożności.
Eksperci z FortiGuard Labs firmy Fortinet zalecają zainstalowanie oprogramowania antywirusowego lub EDR na wszystkich urządzeniach końcowych oraz zachowanie szczególnej ostrożności podczas łączenia się z publicznymi sieciami bezprzewodowymi. System operacyjny i wszystkie aplikacje powinny być systematycznie aktualizowane. Wskazane jest, aby wymiana informacji między podróżującym a jego zakładem pracy odbywała się poprzez zaszyfrowane łącza (usługa VPN lub SASE).
Nie można zapominać też o prowadzeniu regularnych sesji szkoleniowych dla pracowników, aby podkreślić ryzyko związane z socjotechnicznymi manipulacjami. Administratorzy IT powinni zadbać o to, aby użytkownicy byli świadomi, gdzie i w jaki sposób zgłaszać swoje podejrzenia co do próby ataku, a także sytuacje, w których ulegli manipulacji cyberprzestępców. Konieczne jest również zbudowanie kultury zaufania w organizacji. Dzięki temu pracownicy mogą chętnie zgłaszać incydenty dotyczące cyberbezpieczeństwa, umożliwiając zespołom IT podjęcie odpowiednio szybkiej reakcji na atak.
Od strony technicznej konieczne jest, aby dział IT wdrożył mechanizmy uwierzytelniania dwuskładnikowego i wymusił ich stosowanie w przypadku uzyskiwania dostępu do firmowych zasobów przez użytkowników zdalnych. Równolegle należy też utrzymywać w firmie procedury wykonywania kopii zapasowych danych (także z urządzeń pracowników zdalnych) i systematycznie je weryfikować. Przynajmniej jedna kopia danych powinna być przechowywana offline, aby zagwarantować sobie możliwość ich odzyskania w przypadku powodzenia ataku ransomware.