世界盃資安攻防戰：不可不知的事實

分享文章:

世足賽如火如荼地激戰正酣！各國家代表隊與球員們無不奮力一搏，追求為國家而戰的至高榮耀，而球迷們也沉浸於刺激與興奮的氛圍之中。

如此世界級的活動，往往採取最高規格的安全措施以提升實體安全，如加強警力配置、放置實體路障與身分檢查等。然而，安全措施也不應忽視網路安全(Cybersecuity)的重要性，尤其世足賽事採用大量數位科技，在全民瘋世足的熱潮下也為社交工程帶來額外隱憂。

駭客常利用球迷熱血昏頭之際，取得或釋出敏感資料，造成致命的傷害。對此攻擊，唯有提升資安敏銳度、導入預防性措施，並在適切環境下減少使用數位裝置，方能有效降低國際運動賽事的資安風險。

國際運動賽事常見三種高風險的目標對象：

• 球迷與現場觀賽人員，更含國內外的政要名流。
• 參賽球員、各國啦啦隊與行政團隊。
• 賽事系統，包含監控整體活動的電腦系統。

球迷個資首當其衝

根據紐約時報 2018 年 2 月的大型賽事報導，大型運動賽事約可賣出 100 多萬張的門票，而依據 FIFA 統計，今年 6 月俄羅斯世足賽已經賣出了 160 多萬張門票，如此規模下，更應重視潛在的網路犯罪、激進的駭客與國族主義的網路攻擊者所帶來的風險。

若球迷們在不受保護的環境中線上購買門票或交易，惡意網路使用者更會虎視眈眈、垂涎資料外洩所帶來的豐碩利益；而激進的駭客與國族主義的網路攻擊者則可能在當下或未來竊取資訊，以提升政治優勢。

千里迢迢觀賞熱門國際賽事的球迷們，最容易遭受釣魚訊息的攻擊，根據 Comsec Group 調查，2006 年德國世足賽期間釣魚垃圾郵件的數量便激增了 40% 以上。

釣魚訊息的攻擊會寄出看似正常的通訊內容，誘騙收件人點擊連結或檔案，使其裝置下載並啟動惡意軟體。而狡猾的駭客更會利用球迷想在社群媒體上慶祝或分享支持球隊資訊的心理，來降低受害者對惡意訊息的警覺性。

除了釣魚攻擊，球迷常不自覺地使用不安全的 Wi-Fi 連線，暴露在惡意軟體的攻擊範圍之內，如機場、飯店與餐廳提供的開放式網路，而這類攻擊會誘使使用者更新行動裝置上的軟體，將惡意軟體安裝在裝置上。不安全的 Wi-Fi 連線會將敏感性個資透過網路散佈給他人，像是使用者的名稱與密碼、金融資訊與私人文件等。

不只球賽現場，遠在家鄉的親友也會遭受旅遊救急垃圾郵件的攻擊。惡意駭客會駭入旅客的電子郵件，利用帳號權限將惡意訊息傳送給親友，謊稱需金錢救急，藉此牟利。

各國個資法令與監控政策大不相同，有些國家政府依據過往全球運動賽事情況，警告國民不要攜帶電子裝置，或清除裝置上的重要個資並使用拋棄式裝置，避免受到主辦國的監控。

我們建議出國觀賽的球迷們採取下列措施來提升網路安全性：

• 對含有連結或檔案的任何訊息，保持高度的警覺性。
• 避免使用公用 Wi-Fi 連線，改用私人 Wi-Fi 連線或 VPN 來加密資料、降低風險。
• 警告親友小心潛在的垃圾郵件。
• 使用信用卡支付時請謹慎小心，若有所顧忌可使用現金、避免金融個資外洩。
• 出發前確保所有裝置都安裝最新的作業系統，並搭載適用的修補程式。
• 建議使用現金在當地購買 SIM 卡並使用拋棄式手機，避免攜帶多餘的電子裝置。
• 避免登入社群媒體或電子郵件。
• 建議除緊急事件外，不使用任何「網域網路」。

資安風險下的運動員

運動員、球隊與運動經紀公司在過去兩年來飽受資安與資料外洩攻擊，最著名事件就是 The Telegraph 外洩事件，世足賽也是駭客打響名號的大好機會。

激進的駭客與國族主義的網路攻擊者會利用國際重大賽事，企圖散佈不當資訊來詆毀運動員或其母國，敵隊也可能聘用網路罪犯或惡意攻擊手以竊取戰術或金融資料，藉機影響賽事。

世界反運動禁藥機構 (WADA) 公開承認，在 2016 年秋季有駭客集團從 WADA 網路上取得運動員的機密資訊，攻擊者使用特定釣魚攻擊駭入數個 WADA 帳號，取得登入權限非法存取系統。2017 年 4 月國際田徑總會 (IAAF) 也坦承駭客集團侵入其系統，竊取運動員的用藥豁免資訊。

運動員與行政團隊也會面臨敵隊的潛在威脅。根據紐約時報報導，2015 年美國職棒聖路易紅雀隊職員遭 FBI 控訴入侵敵隊休士頓太空人的網路系統竊取重要資料。

有些球團已經導入安全性措施來預防今年世足賽發生同樣慘劇，英國衛報指出，足球協會將提供球員安全的 Wi-Fi 連線，並提醒球員避免貼出球隊位置、賽事出場球員或戰術等資訊。

運動員與行政團隊在賽事中也可以採取類似措施來提升網路安全：

• 聘僱 CISO 團隊(Chief Information Security Officer)。
• 提高潛在攻擊的警覺性，如電子郵件中可疑的連結或附件，與軟體系統的更新提示。
• 禁止球員使用不安全的 Wi-Fi ，並提供球隊獨立且安全的網路環境。
• 確保球隊使用的電腦設備安裝最新的作業系統與修補程式，停用任何未使用的連接埠、帳號以及共享檔案與列印機。
• 限制球員、教練與行政人員使用社群媒體與電子郵件。
• 建議要求球員或行政人員在大型賽事時停止使用任何「網域網路」。

賽事管理漏洞的網路風險大幅提升

目前運動賽事，評分及通訊系統皆採用數位科技，相關賽事管理的網路風險因而大幅攀升。激進的駭客與國族主義的網路攻擊者可能藉此良機破壞控制賽事的網路，尤其當賽事涉及敏感的政治議題時。此外，敵隊也可能聘用網路罪犯破壞輔佐裁判的攝影機、評分系統或電力系統。

加州柏克萊大學的長期網路安全中心指出，最常見的賽事網路攻擊包含 IT 系統與門票作業系統的攻擊，這些攻擊都會大大影響了賽事公平的機制。事實上，已經發生了數起運動賽事事件，根據 Security Affairs，2003 年多明尼加泛美運動會就曾發生新聞媒體與粉絲無法接收分數的事件。

產業控制系統、電力系統以及 IoT 裝置的威脅，讓運動賽事管理的網路安全更加錯綜複雜，若要有效遏止事件，必須整合國家網路安全部門或國際刑警組織等組織。2018 年 3 月，國際刑警組織在會議中討論運動賽事安全性，也深入探討 IoT 與相關風險管理。

Corero 報告指出 DDoS 攻擊從 2017 年下半年起攀升一倍，尤其是缺乏合適安全措施的 IoT 裝置，因其設定時沒有更新韌體、防火牆或高強度密碼，這些都提升了大型運動賽事發生嚴重事件的風險。

2018 年 5 月 23 日，路透社指出烏克蘭發布路由器惡意軟體的 DDoS 風險警告，這可能與當週歐洲足球總會聯盟 (UEFA) 在烏克蘭舉辦歐冠盃總決賽有所關聯，而此警告措施也有效避免了賽事遭受攻擊。

我們建議賽事管理團隊採取下列措施以提升網路安全：

• 聘用網路安全應變小組與 CISO。
• 與國內及國際網路安全小組合作導入協作模式。
• 使用網路安全供應商的服務。
• 預防大量攻擊並測試應變機制，確保系統能應付大流量。
• 若可行，應將系統獨立於網際網路。
• 謹慎小心採用賽事公平性的技術，考慮將部分功能採用類比系統。

今年世足賽熱鬧開場，龐大的門票交易金額讓惡意攻擊者瞄準粉絲、球員以及賽場。若能具備高警覺性、使用最佳安全性措施，如更新軟體與修補程式、謹慎小心使用技術以及遠離網際網路，將能大幅地降低被攻擊的風險。

想進一步瞭解新興的安全性威脅？請參閱最新的 IBM X-Force Research