Οι χάκερς στοχεύουν όλο και περισσότερο την αθλητική βιομηχανία – αθλητικές ομάδες, οργανισμούς και πρωταθλήματα – με phishing και ransomware επιθέσεις, καθώς και με πολλές άλλες απόπειρες απάτης, για να αποκομίσουν τεράστια χρηματικά κέρδη. Κατά την πανδημία του COVID-19, οι χάκερς “χτύπησαν” πολλές φορές την αθλητική βιομηχανία, με τις επιθέσεις τους να έχουν τεράστιο χρηματικό κόστος για αθλητικές ομάδες και οργανισμούς. Το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο του Ηνωμένου Βασιλείου (NCSC) έχει αναλύσει λεπτομερώς τις απειλές στον κυβερνοχώρο που αντιμετωπίζει η αθλητική βιομηχανία και αποκάλυψε ότι πάνω από το 70% των αθλητικών ιδρυμάτων έχουν πέσει θύματα κάποιου είδους απόπειρας κυβερνοεπιθέσεων ή κάποιου περιστατικού πειρατείας, τους τελευταίους 12 μήνες. Ένα σημαντικό περιστατικό που σημειώθηκε πρόσφατα, αφορούσε χάκερς που προσπάθησαν να κλέψουν 1.000.000 λίρες απ’το ποδοσφαιρικό σωματείο της Premier League.
Σχεδόν το ένα τρίτο των αθλητικών ιδρυμάτων έχει καταγράψει τουλάχιστον πέντε απόπειρες επιθέσεων, οι οποίες διεξάγονται κατά κύριο λόγο από οικονομικά παρακινούμενους χάκερς. Επιπλέον, είναι πολύ πιθανό να πραγματοποιηθούν πολλές επιπλέον εκστρατείες εναντίον αθλητικών οργανώσεων, ιδίως εκείνων που εμπλέκονται σε διεθνή γεγονότα όπως οι Ολυμπιακοί Αγώνες.
Οι κυβερνοεπιθέσεις τις οποίες καλούνται να προσέξουν οι αθλητικοί οργανισμοί είναι οι phishing επιθέσεις, οι απάτες και οι ransomware εκστρατείες που χρησιμοποιούνται για το κλείσιμο συστημάτων και σταδίων όπου διεξάγονται σημαντικά events.
Ένα περιστατικό ασφαλείας που σημειώθηκε κατά τη διάρκεια της πανδημίας του COVID-19, αφορά ένα στέλεχος του ποδοσφαιρικού σωματείου της Premier League, του οποίου το email παραβιάστηκε πριν από μια διαπραγμάτευση μεταφοράς ενός παίκτη, που παραλίγο να οδηγήσει στην κλοπή 1 εκατομμυρίου λιρών από κυβερνοεγκληματίες, στα πλαίσια ενός οργανωμένου σχεδίου BEC. Το στέλεχος της Premier League εισήγαγε κατά λάθος τα credentials του σε μια spoof Office365 login σελίδα, η οποία παρείχε στους χάκερς τα στοιχεία του καθώς και τη δυνατότητα παρακολούθησης των email του, συμπεριλαμβανομένης μιας συζήτησης σχετικά με την επικείμενη μεταφορά ενός παίκτη.
Οι χάκερς χρησιμοποίησαν τα κλεμμένα credentials για να ξεκινήσουν διάλογο μεταξύ των δύο σωματείων και ενώ η συμφωνία είχε σχεδόν κλείσει, η πληρωμή δεν ολοκληρώθηκε, επειδή η τράπεζα αναγνώρισε τον “δόλιο” λογαριασμό του κυβερνοεγκληματία.
Επιπλέον, μια ransomware επίθεση εναντίον ενός αγγλικού ποδοσφαιρικού σωματείου κατέστρεψε εταιρικά συστήματα και συστήματα ασφαλείας, σταματώντας τη λειτουργία των περιστροφικών πυλών, με αποτέλεσμα οι οπαδοί να μην μπορούν να εισέλθουν ή να εξέλθουν από το γήπεδο, ενώ σχεδεόν ακυρώθηκε το πρωτάθλημα, με το ποδοσφαιρικό σωματείο να χάνει εκατοντάδες χιλιάδες λίρες από τα έσοδα που ανέμενε να είχε.
Πιστεύεται ότι οι χάκερς μπήκαν στο δίκτυο μέσω phishing email ή με απομακρυσμένη πρόσβαση στο συνδεδεμένο σύστημα CCTV. Μόλις μπήκαν, μπόρεσαν να εξαπλωθούν σε ολόκληρο το δίκτυο, καθώς δεν ήταν τμηματοποιημένο. Οι επιτιθέμενοι ζήτησαν για λύτρα 400 bitcoin (δηλαδή περίπου 300.000 λίρες), αλλά το σωματείο αρνήθηκε να καταβάλει αυτό το ποσό, αποκαθιστώντας τελικά μόνο του το δίκτυο.
Ένα άλλο περιστατικό που περιγράφεται λεπτομερώς στην έκθεση Cyber Threat to Sports Organisations του NCSC, αποκαλύπτει ότι ένα μέλος του προσωπικού σε ένα ιππόδρομο είχε κλέψει 15.000 λίρες, σε μια απάτη όπου οι επιτιθέμενοι παραβίασαν το eBay.
Η προειδοποίηση για αθλητικούς συλλόγους και οργανισμούς πρωταθλημάτων να παραμείνουν σε εγρήγορση για κυβερνοεπιθέσεις, έρχεται σε μια περίοδο που πολλοί ήδη προβληματίζονται για τον οικονομικό αντίκτυπο που έχει η πανδημία του COVID-19 στους αθλητικούς αγώνες, καθώς πολλοί από αυτούς έχουν ακυρωθεί και άλλοι πραγματοποιούνται κεκλεισμένων των θυρών. Επομένως, η απώλεια περισσότερων χρημάτων εξαιτίας μιας κυβερνοεπίθεσης θα μπορούσε να είναι εξαιρετικά επιζήμια.
Σχεδόν το ένα τρίτο των συμβάντων που αναφέρονται λεπτομερώς στην έκθεση του NCSC, επέφερε άμεση οικονομική ζημιά με μέσο κόστος 10.000 λίρες κάθε φορά – με τη μεγαλύτερη απώλεια να υπερβαίνει τις 4 εκατομμύρια λίρες. Για να συμβάλει στην προστασία από κυβερνοεπιθέσεις, το NCSC συνιστά στους αθλητικούς οργανισμούς να εφαρμόζουν ελέγχους ασφαλείας για τα email, κάτι που η έκθεση λέει ότι δεν εφαρμόζεται συνήθως σε ολόκληρο τον τομέα. Οι οργανισμοί θα πρέπει επίσης να διασφαλίζουν ότι το προσωπικό τους λαμβάνει εκπαίδευση για την κυβερνοασφάλεια και ότι η διαχείριση των κινδύνων στον κυβερνοχώρο λαμβάνεται σοβαρά υπόψη σε όλα τα επίπεδα. Και για την προστασία από ransomware και άλλες διαδικτυακές επιθέσεις που στοχεύουν σε υποδομές, οι οργανισμοί θα πρέπει να διασφαλίζουν ότι όλα τα συστήματα ενημερώνονται με τα πιο πρόσφατα updates ασφαλείας, για να σταματήσουν οι εγκληματίες να εκμεταλλεύονται τυχόν ευπάθειες. Επίσης, η απομακρυσμένη πρόσβαση που αποτελεί μία λύση εν μέσω COVID-19, πρέπει να είναι περιορισμένη όταν δεν είναι απολύτως απαραίτητη.
