針對英國體育組織的一系列網絡攻擊和社會工程運動表明,他們對應對各種形式的網絡威脅的準備不足。

今天早些時候,國家網絡安全中心的一份報告顯示,駭客如何進行一系列攻擊,以欺騙體育組織以賺錢。據網絡安全監管機構稱,至少有70%的體育組織每12個月遭受一次網絡事件,是英國企業平均水平的兩倍多。

網絡犯罪分子積極瞄準體育組織這一事實可能不足為奇-考慮到體育運動每年為英國經濟貢獻超過370億英鎊,僱用數十萬人,每天監督大量高價值交易,並且高度依賴數字技術。

據NCSC稱,英國絕大多數體育組織都以電子方式存儲員工,客戶和受益人的個人信息,擁有內部線上業務系統,進行線上交易,使用線上共享平台,並為客戶提供訂購,線上預訂或付款。這些功能使沒有水密安全協議的體育公司對各種網絡威脅敞開大門。

三分之一的網絡事件導致體育公司蒙受財務損失

NCSC發現,在英國,體育組織遭受的網絡事件中,約有三分之一導致每次事件的直接財務損失高達100,000英鎊,平均每個事件的財務損失平均超過10,000英鎊。針對這些公司的大多數網絡攻擊並不復雜,涉及駭客使用網絡釣魚,密碼噴霧和憑據填充策略來欺騙受害者。

在一個特定事件中,駭客幾乎成功地欺騙了英超俱樂部,在轉會窗口中向他們支付了100萬英鎊。駭客首先誘使他在虛假的Office 365登錄頁面上輸入他的憑據,從而偷走了俱樂部常務董事的Office 365登錄憑據。

駭客利用被盜的憑證監視帳戶活動,並了解了與一家歐洲俱樂部即將進行的100萬英鎊交易。“攻擊者採用MD的身份並與歐洲俱樂部進行了通信。與此同時,他們創建了一個虛假的電子郵件帳戶,並假裝是與真正MD進行通信的歐洲俱樂部。此時,足球俱樂部認為他們正在與每個MD交談。其他,但都在與網絡罪犯交談。

另一起事件涉及對EFL俱樂部的勒索軟件攻擊,導致該俱樂部的公司和安全系統癱瘓,閉路電視和旋轉門停滯,幾乎導致比賽取消。駭客還引誘英國賽馬場的一名員工在假的eBay網站上進行了15,000英鎊的交易,購買了地面保管設備。

延伸閱讀:了解使用VPN保護網路安全

“網絡罪犯向MD發送了修改後的付款請求,將真實的銀行詳細信息更改為他們可以控制的帳戶。交易獲得批准,英超俱樂部幾乎損失了100萬英鎊。所幸,這筆付款沒有通過。網絡罪犯的帳戶有欺詐標記,銀行拒絕付款。” NCSC補充說。

“體育運動是我們許多生活的支柱,我們熱切期望重返完整的體育場館和繁忙的體育賽事。儘管網絡安全對於體育行業來說並不是一個顯而易見的考慮因素,但我們的調查結果表明,網絡犯罪分子兌現對該行業的影響是非常現實的。” NCSC運營總監Paul Chichester表示。

“我敦促體育機構利用這段時間來研究他們可以改善網絡安全性的地方–現在這樣做將有助於保護他們和數百萬球迷免受網絡犯罪的影響。”

大多數體育組織並不專注於防止欺詐

據NCSC稱,GDPR的到來無疑迫使組織對其網絡安全實踐進行審查,並優先考慮對個人數據的保護,因此,只有8%的被調查組織在過去12個月中經歷了個人數據洩露。

但是,大多數組織已採取防禦性風險管理方法來避免被罰款,但這已使他們的工作重點從打擊欺詐行為轉移了出去。只有2%的組織將預防欺詐作為主要的網絡安全目標。

由於許多其他因素,體育組織無法實施其他網絡安全措施來防止欺詐和對抗社會工程攻擊。儘管64%的組織正在努力應對預算壓力,但14%的組織缺少人員和資源,9%的組織無法招聘具有所需技能的員工,9%的組織不知道要採取什麼措施進行改進,7%的組織卻沒有沒有時間進行改進。

KnowBe4的安全意識倡導者Javvad Malik在評論體育組織中的網絡犯罪分子時說,大多數魚叉式攻擊和BEC騙局主要是依靠社會工程學的手段來欺騙員工,使他們將付款轉入犯罪分子擁有的賬戶。

“重要的是,所有組織都希望投資於可提供技術保護,檢測和響應類別以及具有良好程序的強大分層安全性,並確保所有員工都具有適當及時的安全意識和培訓,以便他們能夠識別任何攻擊,首頁