Os grandes eventos desportivos, como o Mundial de Futebol, a Super Bowl e Wimbledon, atraem milhões, ou mesmo milhares de milhões, de espectadores. A vitória da Argentina sobre a França na final do Mundial de Futebol de 2022, no Qatar, teve uma audiência global de 1,5 mil milhões de pessoas. Os Jogos Olímpicos de Tóquio, em 2020, registaram uma audiência de mais de 3 mil milhões de espectadores. Os de Paris, que começam esta sexta-feira, será o maior evento de sempre.
A grandiosidade destes eventos torna-os também muito apetecíveis para os cibercriminosos. Na última década, o número de ciberataques a grandes eventos aumentou, passando de 212 milhões de incidentes documentados nos Jogos de Londres 2012 para uns impressionantes 4,4 mil milhões nos Jogos de Tóquio (2020). Ataques que têm frequentemente motivações financeiras diretas, como burlas, fraudes digitais ou a aquisição de dados valiosos de todos os envolvidos, desde os participantes, aos espetadores e patrocinadores. No auge do entusiasmo, os fãs esquecem-se muitas vezes dos potenciais riscos quando compram bilhetes, reservam alojamento ou compram recordações do evento, o que os torna alvos fáceis no mundo do cibercrime.
Outros são seduzidos por sites maliciosos que oferecem acesso gratuito às provas e acabam por ver os seus dispositivos comprometidos ou os seus dados pessoais roubados. Com a atenção dos meios de comunicação social de todo o mundo concentrada no evento, os agentes de ameaças, com uma agenda política própria, procuram estes fóruns com uma grande audiência para difundir a sua mensagem, corrompendo sites ou colocando offline serviços críticos.
Jogos de Paris 2024 na mira de atores de ameaças
De acordo com a nova análise do FortiGuard Labs, baseada na inteligência de ameaças fornecida pelo FortiRecon, há mais de um ano que esta edição dos Jogos Olímpicos é alvo de um número crescente de cibercriminosos. Utilizando informações disponíveis publicamente e um conjunto de análises, este relatório fornece uma visão abrangente dos ataques planeados, tais como intrusões cometidas por terceiros, infostealers, phishing e malware, incluindo ransomware.
Em particular, desde a segunda metade de 2023, assistimos a um aumento da atividade da darknet dirigida a França. Este aumento, que ronda os 80% a 90%, manteve-se consistente entre o segundo semestre de 2023 e o primeiro semestre do presente ano. A prevalência e a sofisticação destas ameaças são um testemunho do planeamento e da eficácia dos cibercriminosos, com a dark web a servir de centro às suas atividades.
Um mercado negro em crescimento para dados pessoais e atividades maliciosas
As atividades documentadas incluem a crescente disponibilidade de ferramentas e serviços avançados, concebidos para acelerar as violações de dados e recolher informações de identificação pessoal (Personally Identifiable Information-PII), tais como nomes completos, datas de nascimento, números de identificação do governo, endereços de correio eletrónico, números de telefone, moradas residenciais, entre outros.
Por exemplo, estamos a assistir à venda de bases de dados francesas que incluem informações pessoais sensíveis, incluindo a venda de credenciais roubadas e ligações VPN comprometidas para permitir o acesso não autorizado a redes privadas. Estamos também a constatar um aumento de anúncios de kits de phishing e ferramentas de exploração feitos “à medida” especificamente para os Jogos Olímpicos de Paris, bem como de listas combinadas (uma coleção de nomes de utilizador e palavras-passe comprometidos, usados para ataques automáticos de força bruta) compostas por cidadãos franceses.
Aumento da atividade hacktivista
Como a Rússia e a Bielorrússia não foram convidadas para estes jogos, assistimos também a um aumento da atividade hacktivista por parte de grupos pró-Rússia - como o LulzSec, noname057(16), Cyber Army Russia Reborn, Cyber Dragon e Dragonforce - que afirmam de forma clara que o seu alvo são os Jogos Olímpicos. Grupos de outros países e regiões - como o Anonymous Sudan (Sudão), Gamesia Team (Indonésia), Turk Hack Team (Turquia) e Team Anon Force (Índia) - também são predominantes.
Cuidado com os esquemas de phishing e atividades fraudulentas
Kits de phishing: Embora o phishing seja talvez a forma mais fácil de ataque, muitos cibercriminosos pouco sofisticados não sabem como criar ou distribuir e-mails de phishing. Os kits de phishing fornecem a estes “principiantes” uma interface de utilizador simples que os ajuda a compor um e-mail convincente, adicionar uma carga maliciosa, criar um domínio de phishing e obter uma lista de potenciais vítimas. A adição de serviços de IA geradores de texto também eliminou os erros ortográficos, gramaticais e gráficos que permitem aos destinatários detetar um e-mail como malicioso.
A equipa do FortiGuard Labs também documentou um número significativo de domínios typosquatting registados em torno dos Jogos Olímpicos que podem ser utilizados em campanhas de phishing, incluindo variações do nome (oympics[.]com, olmpics[.]com, olimpics[.]com, e outros). Estas variações são combinadas com versões clonadas do site da bilheteira oficial do evento, que conduzem o utilizador a um método de pagamento em que o seu dinheiro desaparece, mas nunca chega a obter o bilhete. Em colaboração com os parceiros olímpicos, a Gendarmerie Nationale francesa identificou 338 sites fraudulentos que alegam vender bilhetes para os Jogos Olímpicos. De acordo com estes dados, 51 sites já foram encerrados e 140 receberam avisos formais das autoridades policiais.
Da mesma forma, foram identificadas várias fraudes da lotaria com o tema dos Jogos Olímpicos, muitas delas fazendo-se passar por grandes marcas como a Coca-Cola, a Microsoft, a Google, a Lotaria Nacional Turca e o Banco Mundial. Os principais alvos destas fraudes são utilizadores nos EUA, Japão, Alemanha, França, Austrália, Reino Unido e Eslováquia.
Observámos ainda um aumento dos serviços de codificação para a criação de sites de phishing, serviços de SMS para permitir a comunicação em massa e serviços de falsificação de números de telefone. Estas ofertas podem facilitar os ataques de phishing, espalhar desinformação e perturbar as comunicações imitando fontes fiáveis, o que pode provocar significativos desafios operacionais e de segurança durante o evento.
Infostealers: O malware infostealer foi concebido para se infiltrar furtivamente no computador ou dispositivo da vítima e recolher informações sensíveis, tais como credenciais de login, detalhes de cartões de crédito e outros dados pessoais. Observámos que os atores de ameaças estão a implementar vários tipos de malware para roubo de informação, infetar os sistemas dos utilizadores e obter acesso não autorizado. Os cibercriminosos e os intermediarios de acesso inicial podem ainda aproveitar esta informação para executar ataques de ransomware, causando danos substanciais e perdas financeiras a indivíduos e organizações.
Segundo os nossos dados, o Raccoon é atualmente o infostealer mais ativo em França, sendo responsável por 59% de todas as deteções. O Raccoon é um Malware-as-a-Service (MaaS) eficaz e económico vendido em fóruns da dark web. Rouba palavras-passe de preenchimento automático do navegador, histórico, cookies, cartões de crédito, nomes de utilizador, palavras-passe, carteiras de criptomoedas e outros dados sensíveis. Segue-se o Lumma (outro MaaS baseado em subscrição) com 21% e o Vidar com 9%.
Aceda ao relatório completo através do seguinte link.
