Το αποτέλεσμα του φετινού αγώνα Super Bowl μεταξύ των Kansas City Chiefs και των San Francisco 49ers στις 11 Φεβρουαρίου στο Allegiant Stadium του Λας Βέγκας θα παραμείνει πιθανότατα άγνωστο μέχρι το τελευταίο τέλος του αγώνα. Αλλά ένα πράγμα που είναι ήδη απολύτως σαφές είναι ότι οι επιτιθέμενοι δεν θα έχουν έλλειψη στόχων για να χτυπήσουν στην εκδήλωση.

Η συνεχιζόμενη ψηφιοποίηση του NFL σχεδόν όλες οι πτυχές της εκδήλωσης, από την έκδοση εισιτηρίων έως τα συστήματα πρόσβασης στην πύλη και σχεδόν κάθε άλλο σημείο επαφής με τους οπαδούς, έχει ανοίξει νέα τρωτά σημεία και στόχους που η ομάδα ασφαλείας της έπρεπε να εξασφαλίσει. Οι ανησυχίες περιλαμβάνουν απειλές για την ασφάλεια της αρένας, επιθέσεις ransomware σε κρίσιμα συστήματα, phishing και κλοπή διαπιστευτηρίων και απειλές για προσωπικά δεδομένα και άλλες ευαίσθητες πληροφορίες που ανήκουν σε οπαδούς, υπαλλήλους του NFL, παίκτες και προπονητές.

Προετοιμασία για το μεγάλο παιχνίδι (ασφάλειας).

Σε μια συνομιλία με το Dark Reading στην αρχή της σεζόν 2023/2024, το NFL CISO Ο Tomás Maldonado είχε εντοπίσει επιθέσεις phishing με δυνατότητα AI και οι απάτες με ψεύτικο ήχο και βίντεο, καθώς προσθέτουν στο πλήθος άλλων υφιστάμενων προκλήσεων ασφαλείας που το πρωτάθλημα έπρεπε να αντιμετωπίσει γενικά.

Το ίδιο το NFL προετοιμάζεται εδώ και αρκετό καιρό για να εντοπίσει και να αξιολογήσει τις απειλές για το Super Bowl —που είναι εύκολα το τηλεοπτικό γεγονός με τη μεγαλύτερη τηλεθέαση κάθε χρόνο— και να εφαρμόσει σχέδια για την αντιμετώπισή τους. Τον περασμένο Σεπτέμβριο, στελέχη του πρωταθλήματος σε συντονισμό με 100 άλλους ενδιαφερόμενους, συμπεριλαμβανομένου του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ και της Υπηρεσίας Κυβερνοασφάλειας και Υποδομής (CISA), πραγματοποίησαν επιτραπέζια άσκηση όπου διεξήγαγαν μια σειρά από σενάρια επίθεσης που μαζί είχαν κλιμακωτό αντίκτυπο στα φυσικά συστήματα που υποστηρίζουν το συμβάν.

Αυτή η άσκηση ήταν μέρος μιας συνεχιζόμενης προσπάθειας μεταξύ του NFL και των άλλων συμμετεχόντων να προετοιμαστούν για οποιαδήποτε πρόκληση ασφαλείας εμφανιστεί στο παιχνίδι. Οι ενδιαφερόμενοι πρόσθεσαν ότι η προετοιμασία θα είναι ιδιαίτερα σημαντική λαμβάνοντας υπόψη τις αυξημένες γεωπολιτικές εντάσεις γύρω από τα γεγονότα στη Μέση Ανατολή.

Οι συνέπειες της ασφάλειας της ψηφιοποίησης αθλητικών εκδηλώσεων

Ο Karl Mattson, υπεύθυνος CISO στο Noname Security, θεωρεί ότι τα θέματα ασφάλειας που σχετίζονται με το API πιθανότατα θα αποτελέσουν μεγάλη εστίαση για τους επιτιθέμενους φέτος, δεδομένου του NFL εκτεταμένος ψηφιακός μετασχηματισμός τα τελευταία χρόνια.

«Οι απειλές API γύρω από το Super Bowl έρχονται σε τρεις τομείς: την ψηφιακή εμπειρία των θαυμαστών, τη διαφήμιση και την υποδομή εκδηλώσεων», λέει ο Mattson.

Το πιο πιθανό σενάριο, εάν συμβεί μια επίθεση που σχετίζεται με το API, είναι μια μεγάλης κλίμακας παραβίαση των προσωπικών πληροφοριών των θαυμαστών του NFL, που μπορεί να περιλαμβάνουν έλεγχο ταυτότητας ή βιομετρικές πληροφορίες, σημειώνει. Η ψηφιακή εμπειρία θαυμαστών της αγοράς εισιτηρίων, των αγορών εμπορευμάτων, του διαδικτυακού στοιχήματος και άλλων αλληλεπιδράσεων χρησιμοποιεί όλες τις υπηρεσίες που ενεργοποιούνται από τα API. "Κάθε πτυχή ενός θαυμαστή που καταναλώνει το προϊόν του NFL περιλαμβάνει την ανταλλαγή προσωπικών πληροφοριών ή πληροφοριών πληρωμής που μπορούν να εκμεταλλευτούν ένας εισβολέας που ανακαλύπτει ένα κακώς ελεγχόμενο API", λέει.

Το ίδιο ισχύει και για τους διαφημιστές που μεταδίδουν διαφημίσεις κατά τη διάρκεια της εκδήλωσης και δημιουργούν έναν νέο ιστότοπο ή υπηρεσία για την ανταπόκριση των καταναλωτών. Χωρίς να τα δοκιμάσετε πρώτα για μια πλημμύρα επισκεπτών ή προσπάθειες DDoS, η προσπάθεια μπορεί να χάσει. Ο Mattson επισημαίνει την αξέχαστη διαφήμιση Super Bowl του 2022 από την Coinbase που περιελάμβανε μόνο ένα αναπηδώντας κωδικό QR, το οποίο οδήγησε τους θεατές σε έναν ιστότοπο προώθησης που είχε δημιουργήσει η εταιρεία για τη διαφήμιση. Ο ιστότοπος κατέληξε να καταρρεύσει λίγο μετά την προβολή της διαφήμισης λόγω του τεράστιου όγκου των επισκεπτών.

Υποδομή για συγκεκριμένα φυσικά γεγονότα και δημόσια υποδομή Η υποστήριξη του Super Bowl είναι επίσης ενεργοποιημένη από τις τεχνολογίες API-first. Το δίκτυο 5G του σταδίου, οι τοπικές υπηρεσίες ασφαλείας και έκτακτης ανάγκης και τα δημόσια συστήματα κοινής ωφέλειας χρησιμοποιούν υπηρεσίες βασισμένες σε API για συνήθεις λειτουργίες που οι επιτιθέμενοι θα μπορούσαν ενδεχομένως να επιδιώξουν να διακόψουν, λέει ο Mattson.

Διαδικτυακός τζόγος: Ένα έδαφος για νέες απάτες

Η άνοδος του διαδικτυακού τζόγου και των αθλητικών στοιχημάτων ανοίγει ένα νέο πλέγμα για τους κυβερνοεπιτιθέμενους. Το φαινόμενο έχει δημιουργήσει ένα γόνιμο έδαφος για νέες και εξελισσόμενες απάτες που στοχεύουν εκδηλώσεις όπως το Super Bowl, λέει ο Stuart Wells, CTO στο Jumio.

«Μια πληθώρα εφαρμογών και ιστοτόπων στοιχημάτων είναι άμεσα διαθέσιμα στα χέρια μας, προσελκύοντας ένα ευρύτερο κοινό, συμπεριλαμβανομένων νεότερων δημογραφικών ομάδων που είναι πιο συνηθισμένοι στις ψηφιακές αλληλεπιδράσεις», λέει ο Wells. Αυτή η προσβασιμότητα, δυστυχώς, συμπίπτει με την αύξηση της απάτης συνθετικής ταυτότητας, όπου οι εγκληματίες δημιουργούν πλαστές ταυτότητες χρησιμοποιώντας ψεύτικο όνομα και κομμάτια κλεμμένων στοιχείων ταυτότητας — όπως πραγματική ημερομηνία γέννησης και αριθμούς κοινωνικής ασφάλισης.

«Η απάτη με συνθετική ταυτότητα, ειδικότερα, μπορεί να είναι δύσκολη για τους χειριστές τυχερών παιχνιδιών, καθώς καθιστά εξαιρετικά δύσκολο τον εντοπισμό κακόβουλων παραγόντων», σημειώνει ο Wells. "Εάν ένας εισβολέας μπορεί να παρακάμψει τις άμυνες και να λειτουργήσει με συνθετική ταυτότητα, μπορεί να είναι σε θέση να λειτουργήσει απαρατήρητα, πράγμα που σημαίνει ότι οι χειριστές ενδέχεται να μην πιάσουν έναν απατεώνα μέχρι να παραποιηθεί ο λογαριασμός ενός παίκτη ή να διαπραχθεί κάποιο είδος απάτης."

Επιδεινώνει την κατάσταση η σχετική έλλειψη προστασίας απορρήτου σε πολλές από τις εφαρμογές στοιχημάτων που χρησιμοποιούν οι άνθρωποι για να στοιχηματίσουν κατά τη διάρκεια γεγονότων όπως το Super Bowl. Μια νέα μελέτη από την εταιρεία απορρήτου δεδομένων Incogni εξέτασε επτά από τις πιο δημοφιλείς εφαρμογές στοιχήματος. οι περισσότεροι από αυτούς συλλέγουν και μοιράζονται ιδιωτικά δεδομένα εκτενώς χωρίς την κατάλληλη αποκάλυψη.

Το μεγαλύτερο γουρούνι δεδομένων ήταν το DraftKings, το οποίο η Incogni βρήκε ότι συγκέντρωνε 22 σημεία δεδομένων από χρήστες, συμπεριλαμβανομένης της ακριβούς τοποθεσίας, των επαφών, των μηνυμάτων, των φωτογραφιών και των βίντεο. Οι εφαρμογές στοιχημάτων από τις Caesars, Sky Bet και William Hill ήταν σχετικά πολύ πίσω, συγκεντρώνοντας 17 σημεία δεδομένων η καθεμία, συμπεριλαμβανομένης της ακριβούς τοποθεσίας, του ιστορικού αναζήτησης εντός εφαρμογής, των πληροφοριών υγείας και των ιστορικών αγορών. Εν τω μεταξύ, η Caesars ηγήθηκε των υπολοίπων όσον αφορά την κοινή χρήση των δεδομένων που συλλέγει από συσκευές χρηστών με τρίτα μέρη.

Οι λάτρεις του Super Bowl θα πρέπει επίσης να περιμένουν ένα κύμα ψεύτικων εισιτηρίων και πλαστών εμπορευμάτων στις διαδικτυακές αγορές, δελεάζοντας τους θαυμαστές με φανέλες, καπέλα και αναμνηστικά που φαίνονται αληθινά αλλά είναι φτηνά κατασκευασμένα και δεν διαθέτουν επίσημα λογότυπα, λέει ο Well.

«Όλες αυτές οι απάτες είναι πιθανό να φτάσουν στους καταναλωτές μέσω email και μηνυμάτων ηλεκτρονικού ψαρέματος. Οι καταναλωτές θα πρέπει να είναι προσεκτικοί και να επαληθεύουν με ποιους συναλλάσσονται πριν παραδώσουν οποιαδήποτε προσωπική πληροφορία ή πληρωμή», προειδοποιεί.

Επιχειρηματικός κίνδυνος από μη εξουσιοδοτημένους ιστότοπους ροής

Ο Ken Carnesi, Διευθύνων Σύμβουλος του DNSFilter, επισημαίνει τους μη εξουσιοδοτημένους ιστότοπους ροής ως κίνδυνο για τους οργανισμούς που επιτρέπουν στους εργαζόμενους να χρησιμοποιούν μη διαχειριζόμενες συσκευές για σκοπούς που σχετίζονται με την εργασία. Τα δεδομένα που συγκέντρωσε η εταιρεία από το δίκτυό της τον περασμένο μήνα έδειξαν μια απότομη αύξηση των αποκλεισμένων τοποθεσιών με "NFL" στο όνομα τομέα, λέει.

"Η επισκεψιμότητα αυξήθηκε στο δίκτυό μας κατά τη διάρκεια των πλέι οφ, κορυφώνοντας στις 28 Ιανουαρίου, την ίδια μέρα με τον αγώνα πρωταθλήματος AFC και NFC", λέει ο Carnesi. "Συνολικά, από τις 5 Ιανουαρίου έως την κορύφωση στις 28 Ιανουαρίου, ήταν μια αύξηση 125% στην κυκλοφορία αποκλεισμένης από την ασφάλεια."

Οι κίνδυνοι για τους οργανισμούς που επιτρέπουν τις συσκευές που σχετίζονται με την εργασία για προσωπική χρήση χωρίς κανέναν έλεγχο περιλαμβάνουν αυξημένη πιθανότητα μολύνσεων από κακόβουλο λογισμικό και επιθέσεων ηλεκτρονικού ψαρέματος (phishing).

«Επιπλέον, αυτές οι δραστηριότητες ροής μπορούν να δημιουργήσουν ευπάθειες δικτύου, με ανασφαλή κανάλια και συνδέσεις peer-to-peer που θέτουν κινδύνους για την ακεραιότητα των δεδομένων του οργανισμού», λέει ο Carnesi. «Η διείσδυση δεδομένων είναι επίσης μια αυξημένη πιθανότητα, εκθέτοντας δυνητικά ευαίσθητες εταιρικές πληροφορίες από παράνομους ιστότοπους που συλλέγουν και κάνουν κατάχρηση δεδομένων χρηστών».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot-security/super-bowl-lviii-vast-attack-surface-threat-actors