Theo công ty an ninh mạng Trellix, các nỗ lực lừa đảo nhắm vào các nạn nhân ở Trung Đông đã tăng 100% vào tháng trước trước thềm World Cup ở Qatar. Các nhà nghiên cứu của Trellix đã ghi nhận sự gia tăng đột biến trong các cuộc tấn công dựa trên email này từ tháng 9 đến tháng 10, khi số lượng email độc hại tăng gấp đôi. Những kẻ lừa đảo đã sử dụng FIFA và các chiêu dụ khác liên quan đến bóng đá làm véc tơ tấn công ban đầu và các nhà nghiên cứu bảo mật đã trình bày chi tiết một số mẫu email mà họ tìm thấy trong quá trình nghiên cứu.

Trong một email được cho là từ bộ phận trợ giúp của Hệ thống so khớp chuyển nhượng của FIFA (Transfer Matching System (TMS) - là một nền tảng trực tuyến dành cho các Hiệp hội thành viên của FIFA để ghi lại các vụ chuyển nhượng cầu thủ giữa các câu lạc bộ), và bao gồm một cảnh báo giả rằng xác thực hai yếu tố của người dùng đã bị vô hiệu hóa. Sau đó, email nặc danh đó hướng người dùng đến một trang web do kẻ lừa đảo kiểm soát, cho phép kẻ gian lấy cắp thông tin đăng nhập của người dùng.

Một email lừa đảo khác đã mạo danh David Firisua, quản lý đội bóng của Auckland City FC và yêu cầu xác nhận khoản thanh toán của FIFA, trong khi một email lừa đảo khác đã mạo danh văn phòng bán vé của FIFA và cố gắng lừa nạn nhân "giải quyết khẩn cấp" vấn đề thanh toán bằng cách nhấp vào tệp đính kèm HTML độc hại.

Lưới sàng lọc mail, ứng dụng ‘lừa đảo’ của Trellix cũng bắt được các email giả mạo Snoonu, đối tác cung cấp thực phẩm chính thức của World Cup, cung cấp vé trận đấu miễn phí giả và chứa tệp đính kèm xlsm độc hại.

Các nhà nghiên cứu cảnh báo: "Những kẻ tấn công thường sử dụng các sự kiện quan trọng/phổ biến như một phần của chiến thuật kỹ thuật xã hội, và đặc biệt nhắm mục tiêu vào các tổ chức có liên quan đến các sự kiện và những nạn nhân hứa hẹn hơn cho cuộc tấn công".

Trellix cũng nêu bật các trang lừa đảo theo chủ đề World Cup trông giống như các trang FIFA hợp pháp mà chúng giả mạo và cảnh báo rằng những kẻ lừa đảo đang sử dụng "nhiều bộ công cụ lừa đảo trong đó có URL của bài đăng bị xáo trộn, được mã hóa Base64 hoặc hiển thị trong yêu cầu ajax thay vì thêm các thẻ biểu mẫu."

Ngoài ra, năm họ mã độc hàng đầu hiện nay đang được sử dụng để nhắm mục tiêu đến các quốc gia Trung Đông là Qakbot (40%), Emotet (26%), Formbook (26%), Remcos (4%) và QuadAgent (4%), theo các nhà nghiên cứu bảo mật .

Trellix cũng dự  đoán các cuộc tấn công lừa đảo này sẽ tiếp tục đến tháng 1/2023, và lưu ý rằng các tổ chức liên quan trực tiếp đến giải đấu bóng đá nên "hết sức cảnh giác".

Lừa đảo, rình mò hoặc vướng vào vòng lao lý?

Tất nhiên, gần 3 triệu người đã mua vé tham dự một trận đấu ở Qatar có cả một loạt các mối đe dọa an ninh mạng khác phải lo lắng khi họ ở trong nước - ngoài những lo lắng về kinh nghiệm hoặc đạo đức và đạo đức liên quan đến việc tham dự World Cup ở một quốc gia Trung Đông.

Hai ứng dụng World Cup đã bị các nhà nghiên cứu bảo mật và các cơ quan bảo vệ dữ liệu của nhiều quốc gia giám sát chặt chẽ hơn, họ đã dán nhãn các ứng dụng này là phần mềm gián điệp và khuyến khích các lượt truy cập sử dụng điện thoại có ổ ghi.

Hai ứng dụng này là Ehteraz, một máy theo dõi Covid-19 từ Bộ Y tế Công cộng Qatar, và Hayya từ Ủy ban Giao hàng & Di sản Tối cao của chính phủ giám sát Cúp tại địa phương, cho phép người có vé vào sân vận động và sử dụng tàu điện ngầm và xe buýt miễn phí dịch vụ vận chuyển.

Các mối đe dọa tội phạm mạng khác không chỉ dừng ở ứng dụng di động giả mạo xung quanh sự kiện có thể phát tán mã độc và thu thập dữ liệu người dùng; bán hàng trên các thị trường web tối và các cửa hàng cho vé giả và thông tin đăng nhập bị xâm phạm; và như trên, các cuộc tấn công bằng ransomware có khả năng tìm cách nhắm mục tiêu cơ hội vào nạn nhân dựa trên khả năng tiếp cận, cơ hội và các yếu tố như khả năng trả số tiền chuộc lớn.