As organizações esportivas do Reino Unido foram orientadas a reforçar os seus processos de segurança cibernética depois que um relatório revelou uma série de ataques a vários clubes esportivos, incluindo uma tentativa de interferir no processo de uma transferência bancária da Premier League.
No primeiro relatório sobre ameaças cibernéticas direcionadas a organizações esportivas, chamado Cyber Threat to Sports Organizations, o National Cyber Security Centre (NCSC) do Reino Unido destacou o tipo de golpe conhecido como Business Email Compromise (BEC) como a maior ameaça a organizações esportiva – o lucro financeiro é a principal motivação para os cibercriminosos por trás desse tipo de golpe. Não é de surpreender que a indústria do esporte seja alvo de ataques de criminosos que buscam roubar dinheiro, principalmente considerando que o setor contribui com 37 bilhões de libras (US$ 47 bilhões) para a economia do Reino Unido a cada ano.
Como exemplo, o NCSC destacou um incidente em que a conta de e-mail pertencente ao diretor geral de um clube da Premier League foi atacada durante uma negociação envolvendo uma transferência bancária de 1 milhão de libras (US$ 1,3 milhão). Para fazer isso, os atacantes enviaram um e-mail de phishing especialmente direcionado que levou o diretor geral a uma página de login falsa do Office 365, na qual ele inadvertidamente entregou suas credenciais.
"Os atacantes se fizeram passar pelo diretor e contataram o clube europeu que fazia parte da negociação. Simultaneamente, eles criaram uma conta de e-mail falsa e se apresentaram como o clube europeu que estava em comunicação com o verdadeiro diretor", afirma o relatório. Felizmente, um banco envolvido na transferência bancária interveio no prazo e frustrou o golpe. De certa forma, o incidente ecoa um golpe semelhante no qual a equipe da Série A italiana Lazio foi supostamente enganada por US$ 2,2 milhões.
O NCSC também destacou o caso de um ataque de ransomware direcionado a um clube da Premiere League que criptografou praticamente todos os dispositivos do usuário final, bem como vários servidores pertencentes ao clube. O ataque, que aparentemente começou devido a uma infecção por e-mail ou acesso remoto ao sistema de CFTV, fez com que as câmeras de segurança e também os cata-ventos fossem cortados, quase forçando a suspensão de uma partida. A equipe se recusou a pagar o resgate de 400 bitcoins (cerca de US$ 4 milhões) e acabou se recuperando, mas não antes de sofrer perdas de centenas de milhares de libras.
Depois de auditar seus sistemas, o clube descobriu que não possuía controles de segurança suficientes, que não havia investido o suficiente em infraestrutura de segurança cibernética e que não possuía um plano de resposta a emergências. A instalação regular de atualizações de segurança para diferentes sistemas, bem como o backup de informações, são apenas algumas das recomendações que as organizações devem implementar. Para obter mais recomendações sobre como se proteger contra ataques de ransomware, confira este white paper.
Em outro incidente de segurança, um membro da equipe em uma pista de corridas do Reino Unido queria comprar equipamentos de manutenção das instalações no eBay e finalmente concordou com um vendedor em pagar 15.000 libras (equivalente a cerca de US$ 19.000) por alguns itens listados. "Nesse momento, o fornecedor enviou ao funcionário os detalhes do envio da transferência bancária por uma mensagem do eBay, redirecionando o funcionário para uma versão falsa do eBay", explica o relatório. O comprador efetuou o pagamento e, embora mais tarde tenham percebido o erro, o dinheiro não pôde ser recuperado.
O cenário de segurança nas organizações esportivas
O relatório da NCSC também revelou que pelo menos 70% das organizações esportivas que participaram da pesquisa sofreram algum tipo de incidente de segurança digital, com 3 em cada 10 incidentes que acabaram causando prejuízos financeiros diretos aos clubes que foram alvo. O custo médio desses incidentes foi superior a 10.000 libras (cerca de US$ 12.700), enquanto a maior perda individual foi de 4 milhões de libras (cerca de US$ 5,1 milhões).
"Embora a segurança cibernética possa não ser uma consideração óbvia para o setor esportivo, nossas descobertas mostram que o impacto dos cibercriminosos nesse setor é muito real", disse Paul Chichester, diretor de operações do NCSC. Ele também pediu às organizações esportivas que melhorem seus processos de segurança cibernética para proteger aos torcedores e a si mesmos. Por exemplo, para reduzir o risco de tentativas bem-sucedidas de ataques do tipo BEC, as organizações são incentivadas a implementar alguma forma de autenticação de dois fatores.
Sir Hugh Robertson, presidente da Associação Olímpica Britânica (BOA), reconheceu a importância do relatório e disse: “A Associação Olímpica Britânica vê este relatório como um primeiro passo crucial, ajudando as organizações esportivas a entender melhor a ameaça e destacando as etapas práticas que as organizações devem aproveitar para melhorar as práticas de segurança cibernética".