מונדיאל 2022 יתקיים בקטאר מ- 20 בנובמבר עד ה- 18 בדצמבר 2022. התחזיות מראות ש- 1.5 מיליון איש יגיעו לקטאר כדי לצפות בטורניר, בו תשתתפנה נבחרות כדורגל מ- 32 מדינות. ארגונים בינלאומיים גדולים כאלו הופכים אטרקטיביים יותר לפושעי סייבר. העניין של האנשים והתקשורת בארגונים אלו, השימוש בהייטק באירועים כאלו, הפעילות הדיגיטלית של כל השחקנים, הקהל, המבקרים, האוהדים, בעלי העניין ומעל לכל חוסר המודעות של אנשים לאבטחת סייבר – כולם סוללים את הדרך לאיומי סייבר.
ניסיון העבר מלמד כי ארגוני ספורט בקנה מידה גדול מושכים אליהם איומי סייבר. הרשויות ברוסיה הודיעו במהלך מונדיאל 2018 כי חסמו 25 מיליון התקפות סייבר. באולימפיאדת החורף של פייונגצ'אנג 2018, היה הארגון יעד ל- 12 מיליון התקפות סייבר ביום. במהלך אולימפיאדת טוקיו והפראלימפיאדה 2020, מנעו הרשויות 450 מיליון התקפות סייבר באתר הרשמי ובמערכות הוועדה המארגנת. מספר מתקפות הסייבר על טוקיו היה מעניין מכיוון שהאולימפיאדה נערכה ללא קהל עקב מגיפת הקורונה, כך שהתקפות כמו הונאה במכירת כרטיסים וגניבת מידע אישי היו ברמה הנמוכה ביותר.
בנוסף למתקפות הסייבר הגדולות שמשכו תשומת לב ציבורית, התקפות הונאה רבות כמו הודעות דיוג (פישינג) המכילות קופונים של קידום מכירות או כרטיסי לוטו, השתמשו האקרים באתרי מכירת כרטיסים מזויפים של פיפ"א, סטרימינג חי מזויף או קישורי מעקב אחר לוחות זמנים של משחקים ויישומונים לניידים לשם הפצת נוזקות ורוגלות. למרות שההתקפות הללו, שבוצעו במיוחד כדי לאסוף נתונים אישיים ובעלי רווח כספי נראות כקטנות, יש להן השפעה משמעותית גדולה שכן בסופו של יום הן מכוונות למעריצים ברחבי העולם.
בעוד מונדיאל 2022 קטאר מתכונן לפתיחה, כבר החלו פושעי סייבר בפעילותם. פלטפורמת SOCRadar Extended Threat Intelligence זיהתה מידע מודיעיני ממקורות שונים וחוקרי SOCRadar התמקדו ביצירת פרופיל של גורמי איומים המכוונים לארגון היוקרתי הזה. למשל, האקר אשר טוען שיש לו נתונים של 60 אלף משתמשים. מכירה של מידע זה מוערכת ב- 4BTC.
חוקרי SOCRadar Dark Web חקרו בשווקי הרשת האפלה הודעות מכירה של פרטי החשבון של תת-הדומיינים הקשורים לדומיין הראשי של הארגון qatar2022.qa. שווקי רשת האינטרנט האפלה מציעים למכירה מידע ונתונים שנאספו מקורבנות פושעי סייבר. נתוני הקורבן נמכרים בחבילות "בוטים" המכילות עוגיות הפעלה, כתובות IP, טביעת אצבע של דפדפן וסיסמאות לחשבון הקורבן. לכל בוט תמחור שונה בהתאם למספר אישורי החשבון, סוג החשבון ומיקום הקורבן. על ידי רכישת אישורים אלו, יכולים פושעי סייבר לגשת לחשבונות הקורבנות ולבצע פעולות מזיקות, כולל פגיעה בדוא"ל עסקי, גניבת הרשאות ופגיעה בזהות הציבורית המקוונת של הקורבנות. האקרים משתמשים לעתים קרובות באישורי חשבון שהשיגו על מנת לעקוף אמצעי אבטחה ומניעת הונאות אשר מופעלים על ידי ארגונים. חוקרים מצוות הרשת האפלה של SOCRadar גילו 179 בוטים בשוק הרוסי ושני בוטים בתת-הדומיין 2easy shop של הדומיין הראשי qatar2022.qa. רוב הבוטים הללו משויכים לתת-דומיין hayya.qatar2022.qa, המשמש לרישום למערכת Hayya Card שהינו תעודת אוהד המונפקת על ידי מארגנים ומשמשת כהיתר כניסה לקטאר, גישה לאצטדיון ותחבורה חינם ברכבת התחתית ובאוטובוסים. הדרישה של Hayya לתעודה מזהה דיגיטלית לכל האירועים מגדילה את מספר הקורבנות הפוטנציאלים ומרחיבה את מישור מתקפות הסייבר.
מתקפות דיוג הן מהתקפות ההנדסה החברתית הנפוצות ביותר וגורמי איומים משתמשים בהן רבות בארגוני ספורט בינלאומיים. באופן כללי, מתקפות דיוג יכולות ליצור נזק כבד, מה גם שרמת המודעות אליהן יחסית נמוכה. הנזק ממתקפות דיוג גדל באופן אקספוננציאלי בארגונים עם אוהדים נלהבים רבים, כמו גביע העולם. מטרת מתקפות הנדסה חברתית היא להשיג מידע אישי או פרטי, גישה ואישורים באמצעות מניפולציה וניצול טעויות אנוש. קיימים סוגים שונים של מתקפות הנדסה חברתית, אולם טכניקות דיוג ופיתיון משמשות גורמי איומים בתדירות גבוהה יותר. מתקפות דיוג נועדו לגנוב סיסמאות של קורבנות, מידע אישי מזהה או נתונים רגישים אחרים על ידי שליחת הודעות מזויפות המציעות כרטיסים בחינם, מתנות, הנחות או פריטים אטרקטיביים אחרים. מתקפות דיוג יכולות להתרחש באמצעות SMS, פוסטים במדיה חברתית, הודעות דוא"ל וכדומה. שחקני איום משתמשים בדרך כלל בשתי אסטרטגיות בעת יצירת דומיינים של דיוג:
- Typosquatting – המטרה העיקרית של אסטרטגיה זו הינה להערים על הקורבן לבקר באתרים זדוניים עם שינויים קלים בשמות המקוריים של האתרים. במהלך אירועי פיפ"א, ניתן לראות דומיינים שנוצרו תוך שימוש בהטעייה מכוונת: צורות הקלדה אפשריות הן "fifawordcup", "fiifa", "fifa2O22" (באמצעות האות O במקום אפס "0"), "fifaword1dcup" (שימוש ב-"1" אחד במקום האות L).
- טקטיקת דיוג נוספת היא שימוש בשמות דומיין גנריים (TLD) – .com, .org, .gov וכדומה עם אותה מילת מפתח שבה משתמש הארגון. אלו יכולים להיות fifa2022[.]pro, fifa2022[.]world, fifa2022[.]space בעוד ש-FIFA משתמשת רשמית ב- fifa2022.com.
מתקפות דיוג על אירועי מונדיאל קודמים הראו פרמטרים המשמשים לדומיינים של דיוג כמו פיפ"א, גביע העולם, שנת הארגון, שם המדינה המארחת, שם הערים המארחות, שם הקמע של הארגון ושמות אנשים בולטים בתחום. האקרים מעדיפים ליצור דומיינים זדוניים עם מילות מפתח או שילובים אלו כדי לעצב מסע דיוג תמים לכאורה. בהקשר זה, סרקו אנליסטים של SOCRadar שמות דומיינים בהתבסס על הכללת מילות מפתח ספציפיות עם השילובים שלהן, כגון fifa2022, fifaworldcup, קטאר, קטאר22, כרטיסים, לוסאייל, אל חור, אל רייאן, דוהא, אל וואקרה, לאיב לאיב וכו'. עד למועד פרסום דברים אלו, הם צפו ביותר מ- 200 דומיינים פוטנציאליים של פישינג הקשורים למונדיאל 2022! כתובות האתרים הפוטנציאליות של דיוג מנוטרות 24/7 על ידי אנליסטים של SOCRadar ומדווחות לרשויות הרלוונטיות ברגע שהן הופכות לעמוד דיוג. כמו כן, זיהו אנליסטים של SOCRadar מספר דומיינים של דיוג הקשורים לשותפי מונדיאל 2022 למשל, cocacolaqatar2022.zendesk.com, adidas-worldcupqatar2022.com.
