I Giochi Olimpici, la Coppa del Mondo FIFA e il Super Bowl sono solo alcuni esempi di eventi sportivi iconici che mostrano l’importanza globale dell’industria dello sport professionistico. Ma mentre lo sport professionistico suscita passione ed emozione tra i fan, i criminali informatici non si curano affatto degli aspetti competitivi dello sport o del senso di comunità. Invece, cercheranno implacabilmente di sfruttare la portata e le risorse dell’industria nel tentativo di riempire le proprie tasche con guadagni illeciti. Questa cruda realtà è riflessa nei dati. Secondo un sondaggio del 2020 del National Cyber Security Centre (NCSC) del Regno Unito, che abbiamo anche trattato qui, un sorprendente 70% delle organizzazioni sportive ha subito almeno un incidente informatico o un’attività informatica dannosa. Questo, tra l’altro, superava di gran lunga la cifra (32%) per le imprese generali nel Regno Unito. Con l’industria sportiva europea che da sola rappresenta oltre il 2% del PIL del continente, gli interessi sono indiscutibilmente alti.
Mentre cresce l’attesa per le prossime Olimpiadi estive del 2024 a Parigi, analizziamo 10 casi in cui le organizzazioni sportive sono state vittime di attacchi informatici.
1) Libro dei giochi BEC
Il già citato rapporto NSCS ha individuato nelle frodi BEC (Business Email Compromise) la principale minaccia per le organizzazioni sportive. Per rendere più chiaro il punto, ha descritto un incidente in cui è stato compromesso l’account di posta elettronica dell’amministratore delegato di un club di Premier League non rivelato, nel corso di una trattativa per il trasferimento di un giocatore del valore di 1 milione di sterline (1,3 milioni di dollari). L’attacco di spear phishing ha attirato la vittima su una pagina di login fasulla di Office 365, dove ha inconsapevolmente consegnato le proprie credenziali di accesso. I criminali hanno poi tentato di mettere in atto una truffa BEC del valore sopra indicato, ma fortunatamente la banca è intervenuta all’ultimo momento e ha sventato lo schema.
Un’altra importante squadra di calcio, la Lazio Roma, è stata invece meno fortunata. Secondo quanto riportato nel 2018, la Lazio è stata indotta a pagare una tassa di trasferimento del valore di 2,5 milioni di dollari su un conto bancario sotto il controllo dei truffatori.
2) Colpito alle ginocchia dal ransomware
Nel novembre 2020, il Manchester United è caduto vittima di un attacco di ransomware che ha interrotto le operazioni digitali del club. Come spesso accade con gli attacchi di ransomware, i criminali hanno richiesto un pagamento di riscatto in cambio della decrittazione dei dati e del ripristino dell’accesso ai sistemi informatici del club. Il Man U ha prontamente messo offline i propri sistemi per mitigare i danni e fermare la diffusione del ransomware nella rete. Ha inoltre collaborato con esperti di cybersecurity e agenzie di applicazione della legge per investigare sull’incidente e determinarne l’estensione. Alla fine, il Man U ha contenuto l’attacco e ripristinato i suoi sistemi senza pagare il riscatto. Restando sul tema degli attacchi di ransomware, i San Francisco 49ers, una delle franchigie più popolari della NFL, hanno annunciato nel 2022 che le informazioni sensibili di 20.000 dipendenti e fan erano state compromesse durante un attacco di ransomware avvenuto all’inizio di quell’anno. Interessantemente, l’organizzazione ha accettato di compensare le vittime.
3) Malware Olimpico
La cerimonia di apertura dei Giochi Olimpici invernali del 2018 a Pyeongchang, in Corea del Sud, è stata interrotta da un ospite inaspettato: il malware Olympic Destroyer. Il software dannoso ha colpito l’infrastruttura IT dell’evento, interrompendo le operazioni durante la cerimonia e causando il caos tra gli spettatori. Tra le altre cose, ha bloccato gli hotspot Wi-Fi e le trasmissioni televisive e impedito agli spettatori di partecipare all’evento. L’attacco ha cancellato sistematicamente informazioni critiche sui sistemi Windows interessati. Inoltre, il malware ha cercato posizioni di rete per propagarsi ulteriormente, aumentando i danni su dispositivi connessi. Inoltre, Olympic Destroyer aveva la capacità di installare software sofisticati progettati per catturare segretamente password. L’attacco, attribuito varie volte ai gruppi Sandworm e Fancy Bear APT, ha principalmente preso di mira il sito web ufficiale dell’evento, i server delle località sciistiche che ospitavano le gare olimpiche e due fornitori di servizi IT che gestivano l’infrastruttura tecnica dell’evento. L’incursione ha messo in luce la vulnerabilità degli eventi sportivi di alto profilo alle minacce informatiche.
4) La tua storia medica è ora pubblica
Olympic Destroyer non è stato l’unico caso in cui un gruppo di spionaggio informatico ha preso di mira un’importante organizzazione sportiva internazionale. Nel 2016, l’Agenzia Mondiale Antidoping (WADA) ha subito una grave fuga di dati che ha esposto le informazioni mediche di diversi personaggi sportivi di fama mondiale.
L’incidente, le cui vittime includevano le giocatrici di tennis Venus e Serena Williams e la ginnasta Simone Biles, ha esposto le Esenzioni per l’Uso Terapeutico (TUE) degli atleti, che permettono loro di utilizzare sostanze o metodi proibiti purché siano prescritti per trattare condizioni mediche legittime. WADA ha attribuito l’attacco al gruppo Fancy Bear e ha affermato che la violazione ha non solo minato l’integrità del programma TUE di WADA, ma ha anche minacciato la missione più ampia dell’agenzia di preservare la giustizia e la pulizia dello sport.
5) Un cesto pieno di dati
Nel marzo 2023, la National Basketball Association (NBA) ha emesso un avviso riguardante una violazione dei dati presso uno dei suoi fornitori esterni di servizi di posta, che ha comportato il furto dei nomi e degli indirizzi email dei fan. Sebbene i sistemi della NBA siano rimasti integri, l’incidente ha evidenziato la vulnerabilità dei fornitori di servizi di terze parti alle minacce informatiche. Nella dichiarazione sull’incidente, i destinatari sono stati invitati a rimanere vigili contro potenziali attacchi di phishing e social engineering che potrebbero sfruttare le informazioni rubate. La NBA ha assicurato agli utenti che i loro nomi utente e password non sono stati compromessi. Tuttavia, l’organizzazione ha attivato i suoi protocolli di risposta agli incidenti e ha condotto un’indagine approfondita per analizzare ulteriormente l’incidente. Sebbene i sistemi della NBA non siano stati compromessi, il compromesso di un fornitore di servizi di newsletter di terze parti ha portato al furto delle informazioni delle persone. Questa violazione ha sottolineato l’importanza di garantire la sicurezza di tutti i componenti all’interno dell’ecosistema di un’organizzazione, così come la postura di sicurezza dei fornitori di servizi esterni. Rafforzare le misure di cybersecurity e stabilire protocolli robusti per il monitoraggio e la risposta agli incidenti sono essenziali per mitigare l’impatto che tali violazioni possono avere sulle organizzazioni e sui loro clienti.
6) Houston, abbiamo un problema
La celebre frase “Houston, abbiamo un problema” è riemersa nell’aprile 2021, quando gli Houston Rockets sono stati vittime di un attacco informatico per mano della gang dietro al ransomware Babuk. Questo attacco ha avuto gravi implicazioni per una delle squadre più importanti della NBA, con gli aggressori che hanno rivendicato la responsabilità per la diffusione di oltre 500 GB di informazioni confidenziali, tra cui dati sensibili come contratti dei giocatori, registri dei clienti e dettagli finanziari. Sebbene il ransomware Babuk potrebbe non figurare tra i ceppi di ransomware più sofisticati, il suo impatto è stato significativo. L’attacco ha poi rappresentato un rischio per le organizzazioni in altri settori, tra cui quello sanitario e della logistica. Tali incidenti mettono in luce la natura indiscriminata delle minacce informatiche e la necessità urgente di robuste misure di sicurezza informatica in tutti i settori.
7) Nessuna via di fuga.
Restiamo sul tema degli attacchi informatici che colpiscono il mondo della pallacanestro per un momento. In una partita di pallacanestro, la fine di un quarto è segnalata dal suono di un buzzer. Nel ottobre 2023, un tipo diverso di buzzer ha suonato per la squadra di pallacanestro francese ASVEL: ha segnalato una violazione dei dati orchestrata dalla gang di ransomware NoEscape. La squadra ha riconosciuto l’attacco, lamentando la fuoriuscita di 32 GB di dati sensibili, tra cui informazioni sui giocatori come passaporti e documenti di identità, contratti, accordi di riservatezza e altre documentazioni legali.
8) Un vero incidente
Ritorniamo ora al calcio. Tutto il sangue freddo che il club di calcio Real Sociedad ha mostrato sul campo di gioco in mezzo a prospettive promettenti sia nella Champions League che nella La Liga spagnola è stato interrotto improvvisamente il 18 ottobre 2023, quando il club ha emesso una breve dichiarazione per annunciare di essere stato vittima di un attacco informatico. Questo incidente ha compromesso i server che memorizzavano dati sensibili, tra cui nomi, cognomi, indirizzi postali, indirizzi email, numeri di telefono e persino dettagli del conto bancario di abbonati e azionisti. In risposta, il club ha consigliato alle vittime di monitorare i loro account per eventuali attività sospette. Inoltre, hanno istituito un canale di comunicazione via email per le persone colpite per richiedere ulteriore assistenza o chiarimenti.
9) Boca nel mirino
Il Club Atlético Boca Juniors, con sede a Buenos Aires, Argentina, vanta un riconoscimento globale. Tuttavia, il suo ampio acclamo non ha dissuaso i criminali informatici dal prendere di mira il club, anzi. Il 16 settembre 2022, Boca Juniors è stato vittima di un attacco che ha compromesso il suo account YouTube ufficiale. Gli aggressori hanno preso il controllo del canale e hanno proceduto a diffondere informazioni promuovendo la criptovaluta Ethereum, un truffa legata alle criptovalute piuttosto tipica. In risposta alla violazione, Boca Juniors ha emesso prontamente una dichiarazione ufficiale tramite Twitter (ora X), rassicurando i fan e gli stakeholder della loro rapida azione per ripristinare il controllo sull’account compromesso. Nel giro di poche ore, il club ha ripristinato con successo la sua presenza online.
10) Un autogol?
Un attacco contro l’Associazione Olandese di Calcio Reale (KNVB) nell’aprile 2023 ha portato al furto di dati confidenziali appartenenti ai dipendenti e ai membri dell’organizzazione. L’incidente, attribuito alla nota gang di ransomware LockBit, è stato confermato dal KNVB, che è un’organizzazione ombrello per le leghe professionistiche di calcio del paese. La violazione ha coinvolto una varietà di vittime, tra cui i genitori dei giocatori junior, i giocatori internazionali, i professionisti dal 2016 al 2018, i contatti del Centro Medico Sportivo del KNVB e le persone coinvolte nelle questioni disciplinari dell’organizzazione dal 1999 al 2020.
Truffe che ci prendono di mira tutti
Ci sono anche diverse storie esemplari che mostrano che anche i non atleti tra noi sono un bersaglio succulento per la criminalità informatica. Ad esempio, mentre lo spettacolo quadriennale che è la Coppa del Mondo FIFA attira miliardi di spettatori in tutto il mondo, gli scammer lo considerano un’opportunità primaria per catturare nuove vittime. Non sorprendentemente, le truffe a tema di Coppa del Mondo sono un problema ricorrente che spesso inganna i destinatari facendo loro credere di aver vinto biglietti per l’evento o li attira su siti web che scaricano malware sui loro dispositivi. In passato abbiamo anche esaminato una campagna che ha ingannato gli utenti di WhatsApp con la promessa di maglie da calcio gratuite.
Conclusione
Proprio come in qualsiasi altro settore, lo sport professionistico è un’esca per i cyberattaccanti. Le storie esemplari qui evidenziate rappresentano solo una frazione del bombardamento quotidiano di tentativi di cyber-intrusione. È imperativo per l’industria dello sport mantenere la vigilanza, simile a “tenere d’occhio il pallone”, e continuare a vigilare minacce nel mondo online poiché i cyber-avversari non smetteranno di lanciare nuovi attacchi sempre più complessi.