【 2018資安事件回顧】運動賽事威脅:2018 世界盃足球賽帶給我們什麼啟示?

趨勢科技 TrendMicro 年度資安報告/年度回顧與預測, 運動賽事威脅

像世界盃這麼大的賽事總是會引起安全上的問題,而且不光場地、觀眾、運動員、各國代表等實體人身安全需要注意,數位安全也同樣重要。

今年六至七月所舉辦的第 21 屆世界盃足球賽 (FIFA World Cup),是史上最多人觀看的運動比賽之一,全球將近半數人口皆緊盯著螢幕收看這場足球盛會,光數字就令人乍舌。除了收視人口之外,俄羅斯更斥資約 120 億美元來舉辦這場賽事。當然,國際足球總會 (FIFA) 和其他主辦單位也因而進帳數十億美元。在規模方面,世界盃足球賽是世界上少有其他活動能夠匹敵的賽事。

當然,像這麼大的賽事,總是會引起安全上的問題,而且不光場地、觀眾、運動員、各國代表等實體人身安全需要注意,由於大型運動賽事在網路上同樣相當受到關注,例如第 51 屆超級盃 (Super Bowl LI) 即創造了 2.4 億次臉書互動與近 2,800 萬則推特訊息,因此線上安全也同樣重要。

運動賽事與網路犯罪

網路犯罪集團趁著大型運動賽事舉辦的期間犯案早已不是什麼新聞。像這麼盛大的活動,正是網路犯罪集團海撈一票的最佳時機。在近幾年的大型運動賽事當中,最受網路犯罪集團關注的莫過於奧林匹克運動會世界盃足球賽

[延伸閱讀:Sports-related cybercrime examples]

這些攻擊行動通常會利用一些屢試不爽的犯罪工具和技巧 (如垃圾郵件網路釣魚) 來誘騙那些沉醉在歡樂氣氛當中的使用者。在今年的世界盃足球賽期間,我們發現了幾個相當厲害的社交工程詐騙範例,成功引誘了使用者下載惡意程式。這些攻擊儘管相當單純,但卻經常能夠成功,原因就在於人們的好奇心以及龐大的關注人口。

Android 惡意程式偽裝成影音串流應用程式

全球有數百萬人無法經由官方頻道來觀賞賽事,因此他們會尋找一些可讓他們免費即時觀賞比賽的影音串流應用程式和網站。所以,數千人同時透過某個應用程式來觀賞同一場比賽的情況也就不令人意外。其中一個我們發現的影音串流應用程式 (趨勢科技命名為 AndroidOS_DarDesh.HRX),表面上看似正派,但其實暗地裡會散布 Android 惡意程式。

此應用程式是透過一個專門介紹熱門球員 (如梅西和羅納度) 的網站來散布:

當然,該網站還提供了一些使用者所沒料到的內容。當使用者在 Android 裝置上點選網頁上的「Download Now」(立即下載) 連結時,就會下載並安裝一個惡意程式。

此惡意程式會出現各種惡意行為,包括搜尋和竊取感染裝置上的各種資訊:

  • Android 裝置名稱
  • 定位資訊
  • 發送和接收到的簡訊
  • 暗中側錄電話內容的音訊檔
  • 外接裝置上的檔案 (PDF、txt、doc、xls、xlsx、ppt、pptx)

惡意程式偽裝成世界盃足球賽「成績預測」文件

另一個我們蒐集和分析到的樣本,同樣也是專門利用球迷盲目的熱情。此惡意程式偽裝成一份專門預測 2018 年世界盃各場比賽結果的文件檔 (趨勢科技命名為 W2KM_POWLOAD.ZYFGA)。

當使用者開啟該文件之後,就會看到一個要使用者啟用巨集功能的訊息。若使用者選擇繼續,接著會看到一篇有關未來賽程的簡短分析:

然而當使用者正忙著閱讀這份分析時,其內嵌的巨集程式碼也在背後忙著從幕後操縱 (C&C) 伺服器下載其他惡意腳本和檔案。其中一個腳本會再進一步下載一些影像檔,這些影像可擷取出一個惡意程式。

此惡意程式具備多重功能,例如:

  • 擷取螢幕畫面
  • 側錄鍵盤輸入
  • 搜尋特定檔案

除此之外,還可連上公開的雲端服務來上傳蒐集到的資訊,這些資訊會使用其內部的 API 金鑰來加密。

運動賽事相關的其他潛在威脅

儘管社交工程(social engineering )詐騙的數量最多,但這卻並非運動迷們所面臨的唯一威脅。除了一般惡意程式相關威脅 (如冒牌應用程式、冒牌網站) 之外,使用者還會遇到一些非惡意程式相關的網路詐騙,例如:門票詐騙和假商品詐騙等等。

就連正派的網站也可能成為網路犯罪集團的攻擊對象,歹徒會破壞、詆毀這些網站,或者發動分散式阻斷服務攻擊 (DDoS) 攻擊,讓網站蒙受財務或名譽損失。

防範運動賽事威脅的六個要點

大型運動賽事已成了網路犯罪集團經常利用的對象,這樣的情況短期內似乎不會改變。因此,賽事相關的企業和一般使用者就必須採取妥善的防範措施來保護自己免於網路威脅。

在使用者方面,仔細留意網路犯罪集團可能使用的各種社交工程技巧,將有助於避免遭到這類攻擊。在瀏覽非賽事官方網站或非經授權的第三方網站時,請小心謹慎,尤其是要下載非官方應用程式時更應特別警覺。在下載文件或點選網站及電子郵件內的連結時也是一樣。若下載的文件在開啟時要求您啟用巨集功能 (如前述範例),這通常是惡意檔案的徵兆。

至於賽事主辦單位或相關企業機構,則應採取必要的措施,正確設定並保護其系統與基礎架構,包括:

  1. 在賽事舉辦之前、期間和之後蒐集一些威脅情報,掌握整體的資安情勢及可能面臨的潛在威脅。
  2. 建置適當的存取控管,如此不僅可控制資訊的流通,預防伺服器和端點遭到入侵。
  3. 檢查系統與應用程式是否存在漏洞,了解活動開始之前需更新或修補哪些系統。
  4. 對外包廠商及協辦單位進行資安稽核和認證,盡量減少駭客可攻擊的弱點。
  5. 所有賽事相關人員皆應接受適當訓練以了解基本的網路資安觀念,尤其是負責一些重要系統的人員。
  6. 制定一套網路攻擊應變與矯正計畫,以便應付最壞的情況所帶來的衝擊。

 

原文出處: Sporting Event Threats: Lessons from the 2018 FIFA World Cup

 

延伸閱讀:

2014年 FIFA 世界盃足球賽剛開踢,惡意 App 已超過375種!

倫敦奧運會票務網站在臉書 facebook 開賣!?網路釣客騙個資
企圖利用2012年倫敦奧運會的三種垃圾郵件類型
作賊喊抓賊,倫敦奧運網路售票詐騙網警告信,夾帶後門程式

相關文章:

PCASTLE門羅幣挖礦病毒利用無檔案技術,再次針對中國發動攻擊
躲在系統四個月沒被發現?駭客竊取資料的五個隱身術
專竊取信用卡的駭客集團Magecart,對277 個網站發動新一波攻擊
《資安新聞周報》加州大學警告:人在中國不要使用微信、WhatsApp /新勒索軟體Ryuk瞄準大企業