Digitaal goud: sportevenementen vormen podium voor cybercrime
2 maart 2018 -
De Winterspelen van 2018 zijn net voorbij en de Paralympische Spelen staan voor de deur. Dit is een periode waarin ook cybercriminelen voor goud willen gaan.
Miljoenen sportfans zijn afgereisd naar Zuid-Korea, waaronder veel zakelijke en politieke prominenten. Het was geen ondenkbaar scenario dat de Spelen doelwit zouden worden van cybercriminelen. Tijdens de openingsceremonie vond een cyberaanval plaats en werden servers gehackt. Rick Holland, CISO en Vice President Strategy bij Digital Shadows, vertelt over de cyberrisico’s tijdens sportevenementen. "De Paralympische Spelen vormen een interessant doelwit, zoals ook het WK voetbal in Rusland later dit jaar."
Sportevenementen trekken niet alleen sportliefhebbers
Holland vertelt: "Grote sportevenementen zijn vaak een broeinest van cybercrime-activiteiten. Denk maar eens terug aan de OpOlympicHacking-campagne tijdens de Olympische Spelen in Rio de Janeiro. Om de online risico’s tijdens grote sportevenementen in kaart te brengen worden activiteiten van criminelen op het openbare-, deep- en dark web worden geanalyseerd. Voorafgaande aan de Spelen zijn verschillende activiteiten in kaart gebracht."
Phishing
Holland: "Naast het aanvallen van vrijwilligers van sportevenementen, gebruiken criminelen interesse in het evenement gebruiken als lokmiddel in de vorm van phishing-mails. Onderzoek laat zien dat verschillende typo-squat domeinen de merknamen van de Winterspelen 2018 en het Wereld Anti-Doping Agentschap (WADA) gebruiken. Deze domeinen stonden niet geregistreerd bij de officiële organisaties en meer dan de helft hiervan stond geregistreerd in Rusland, Oekraïne of achter proxy services. Hoewel ze op het moment niet in lopende campagnes gebruikt worden, zou het kunnen dat deze domeinen in phishing-aanvallen worden ingezet om malware te verspreiden of om verificatiegegevens te verwerven."
Gestolen inloggegevens
In het onderzoek is ook gekeken naar inloggegevens van betrokkenen van de Spelen en het WADA. Holland vertelt: "Uit deze gegevens blijkt dat er minstens 300 inloggegevens gevonden zijn in diverse datasets die openbaar zijn gemaakt de afgelopen 12 maanden. Deze gegevens kunnen gebruikt worden voor toekomstige cyberaanvallen, inclusief spear phishing en overname van accounts."
Datalekken
Holland: "In januari publiceerde de Fancy Bears groep, een zelfuitgeroepen hacktivistische groep die vermoedelijk verbonden is aan de Russische staat, e-mails van het Internationaal Olympisch Comité (IOC) en de internationale rodelorganisatie. Dit werd vermoedelijk gedaan als vergeldingsactie op de uitsluiting van Russische atleten van de Spelen vanwege vermeende dopingactiviteiten. Op 31 januari bracht de groep nog meer informatie naar buiten over Canadese atleten. De naam Fancy Bears is een afleiding van de veelgebruikte naam ‘Fancy Bear’ (APT-28), die refereert aan een spionagegroep die de Amerikaanse inlichtingendienst heeft gelieerd aan de Russische inlichtingendienst. Het is nog onduidelijk of de twee groepen één en dezelfde zijn. Wel is het zo dat onder de naam Fancy Bear al sinds Rio 2016 data gelekt wordt van de WADA en het IOC."
Malware aanvallen
"Vrijwilligers van de Olympische Spelen 2018 waren doelwit van macro-malware via bijlagen in e-mails die sterk leken op echte documenten van de website van de Winterspelen," aldus Holland. "De originele bijlage bevatte logistieke details voor de vrijwilligers, wat suggereerde dat de malware op de vrijwilligers zelf gericht was, of op de vrijwilligersportal. Een tijd terug werd ontdekt dat een data verzamelende malware, GoldDragon, zijn pijlen had gericht op organisaties geassocieerd met de Winterspelen 2018. In dit geval werden payloads ontworpen om een vaste plek te verwerven op machines om verdere data exfiltratie mogelijk te maken en een optie te bieden om extra malware te downloaden."
Aanvallen op gebruikers van Wi-Fi netwerken
Holland vertelt hoe Wi-Fi netwerken het doelwit kunnen zijn van cybercrime. "Aanvallers hebben al eerder openbare Wi-Fi netwerken geïnfecteerd om belangrijke doelwitten te benaderen. Zo richtte de campagne DarkHotel zich op hotels in Azië via valse software-updates op geïnfecteerde Wi-Fi netwerken. APT-28 gebruikte persoonsgegevens die waarschijnlijk gestolen waren via Wi-Fi netwerken van hotels om op afstand malware te kunnen implementeren. Deze malware kon vervolgens informatie stelen en infiltreren in andere netwerken."
Financiële cybercrime
Met een enorme toestroom van sportfans komt ook een toename aan financiële transacties. Stadscentra, hotels, restaurants en winkelcentra zijn dan ook populaire doelwitten. Holland legt uit: "Tussen maart en juli 2017 werden bijvoorbeeld 41 locaties van het Hyatt Hotel getroffen, wat resulteerde in gestolen bankpasgegevens van klanten. Achttien van de hotels lagen in China, maar ook hotels in Zuid-Korea, Japan, Noord- en Zuid-Amerika werden getroffen. Behalve een verwachte toename van bankpasdiefstal via point-of-sale malware-infecties, kan de vrijetijdsbranche en retailers ook een toename van skimming van geldautomaten, bankfraude en oplichtingsmails verwachten tijdens grote evenementen."
Glansrijk over de finish
Net als bij vorige grote sportevenementen kunnen we van toekomstige evenementen, zoals het WK en de Paralympische Spelen, verwachten dat ze het middelpunt van cybercriminaliteit zullen zijn. Holland geeft de volgende tips die de impact van schadelijke activiteiten kunnen beperken: "Allereerst zijn updates en patches het allerbelangrijkste voor organisaties om hun firmware en OS-systemen up-to-date hebben en mogelijke pa [Interne link] tches geïnstalleerd hebben, in het bijzonder bij Microsoft-applicaties.
Kijk uit voor op scam en phishing e-mails
Klik niet op links in e-mailmarketing waarin het evenement genoemd wordt. Het IOC zal geen e-mailmarketingcampagne lanceren met als titel ‘GRATIS TICKETS!!1!’. Nieuwsberichten zijn te vinden op betrouwbare nieuwssites, niet in mails met als titel: ‘JE GELOOFT NOOIT HOE DEZE ATLEET 20 GOUDEN MEDAILLES WON, KLIK HIER.’
Let op de herkomst van apps
Download deze alleen van betrouwbare app stores zoals de Apple App Store en Google Play Store. Check ook de beveiligings- en toegangsvergunningen die aan deze apps gegeven worden.
Vermijd onbetrouwbare netwerken
Voor zakelijke gebruikers wordt sterk aanbevolen om gebruik te maken van een Virtual Private Network (VPN)-tunnel wanneer ze verbinding willen maken met bedrijfsnetwerken en bedrijfsaccounts.