Kansas City Chiefs ile San Francisco 49ers arasında 11 Şubat’ta Las Vegas’taki Allegiant Stadyumu’nda oynanacak bu yılki Super Bowl karşılaşmasının sonucu muhtemelen oyunun son maçına kadar bilinmiyor olacak. Ancak zaten çok açık olan bir şey var ki, saldırganların etkinlikte saldıracakları hedef sıkıntısı olmayacak.
NFL’nin dijitalleşmeye devam etmesi olayın neredeyse tüm yönleriBiletlemeden kapı erişim sistemlerine ve taraftarlarla neredeyse tüm temas noktalarına kadar, güvenlik ekibinin güvence altına alması gereken yeni güvenlik açıkları ve hedefler ortaya çıktı. Endişeler arasında saha güvenliğine yönelik tehditler, kritik sistemlere yönelik fidye yazılımı saldırıları, kimlik avı ve kimlik bilgileri hırsızlığı ile taraftarlara, NFL çalışanlarına, oyunculara ve antrenörlere ait kişisel verilere ve diğer hassas bilgilere yönelik tehditler yer alıyor.
Büyük (Güvenlik) Oyununa Hazırlanmak
NFL CISO, 2023/2024 sezonunun başında Dark Reading ile yaptığı sohbette Tomás Maldonado yapay zeka destekli kimlik avı saldırılarını tespit etmişti ve derin sahte ses ve video dolandırıcılıkları, ligin genel olarak uğraşmak zorunda kaldığı diğer mevcut güvenlik sorunlarına ekleniyor.
NFL’nin kendisi de, her yıl en çok izlenen TV etkinliği olan Super Bowl’a yönelik tehditleri belirlemek ve değerlendirmek ve bunlarla başa çıkmak için planlar uygulamak için bir süredir hazırlanıyor. Geçen Eylül, Lig yetkilileri diğer 100 paydaşla koordineli olarak, ABD İç Güvenlik Bakanlığı ve Siber Güvenlik ve Altyapı Ajansı (CISA) da dahil olmak üzere, bir masaüstü egzersizi olayı destekleyen fiziksel sistemler üzerinde kademeli bir etki yaratan bir dizi saldırı senaryosunu incelediler.
Bu tatbikat, NFL ile diğer katılımcılar arasında oyunda ortaya çıkabilecek her türlü güvenlik sorununa karşı hazırlık yapmak için devam eden çabanın bir parçasıydı. Paydaşlar, Orta Doğu’daki olaylar etrafında artan jeopolitik gerilimler dikkate alındığında hazırlığın özellikle önemli olacağını ekledi.
Spor Etkinliğinin Dijitalleştirilmesinin Güvenlik Etkileri
Noname Security saha CISO’su Karl Mattson, NFL’nin kuralları göz önüne alındığında, API ile ilgili güvenlik sorunlarının bu yıl saldırganlar için büyük bir odak noktası olduğunu düşünüyor. son yıllarda kapsamlı dijital dönüşüm.
Mattson, “Super Bowl’u çevreleyen API tehditleri üç alanda ortaya çıkıyor: taraftar dijital deneyimi, reklam ve etkinlik altyapısı” diyor.
Kendisi, API ile ilgili bir saldırının gerçekleşmesi durumunda en muhtemel senaryonun, kimlik doğrulama veya biyometrik bilgiler de dahil olmak üzere NFL taraftarlarının kişisel bilgilerinin büyük ölçekli bir şekilde çalınması olacağını belirtiyor. Bilet satın alma, ürün alışverişi, çevrimiçi bahis ve diğer etkileşimlerden oluşan dijital hayran deneyiminin tümü, API’lerin etkinleştirdiği hizmetleri kullanır. “Bir taraftarın NFL ürününü tüketmesinin her yönü, kötü kontrol edilen bir API’yi keşfeden bir saldırgan tarafından istismar edilebilecek kişisel bilgilerin veya ödeme bilgilerinin alışverişini içerir” diyor.
Aynı durum, etkinlik sırasında reklam yayınlayan ve tüketici tepkisini artırmak için yeni bir web sitesi veya hizmet kuran reklamverenler için de geçerlidir. Bir ziyaretçi seli veya DDoS çabaları için ilk önce onları savaş testi yapmadan, çaba başarısız olabilir. Mattson, Coinbase’in unutulmaz 2022 Super Bowl reklamına işaret ediyor; bu reklamda yalnızca zıplayan QR kodu, Bu, izleyicileri şirketin reklam için kurduğu tanıtım web sitesine yönlendirdi. Web sitesi, ziyaretçi yoğunluğu nedeniyle reklamın yayınlanmasından kısa bir süre sonra çöktü.
Fiziksel olaya özel ve kamusal altyapı Super Bowl’u desteklemek aynı zamanda API öncelikli teknolojilerle de mümkün kılınıyor. Mattson, stadyumun 5G ağının, yerel güvenlik ve acil durum hizmetlerinin ve kamu hizmet sistemlerinin tamamının, saldırganların potansiyel olarak bozmaya çalışabileceği rutin operasyonlar için API tabanlı hizmetleri kullandığını söylüyor.
Çevrimiçi Kumar: Yeni Dolandırıcılıkların Yetişme Alanı
Çevrimiçi kumar ve spor bahislerinin yükselişi, siber saldırganlar için yeni bir yol açıyor. Jumio CTO’su Stuart Wells, bu fenomenin Super Bowl gibi etkinlikleri hedef alan yeni ve gelişen dolandırıcılıklar için bir üreme alanı oluşturduğunu söylüyor.
Wells, “Çok sayıda bahis uygulaması ve web sitesi parmaklarımızın ucunda, dijital etkileşimlere daha alışkın olan genç demografik gruplar da dahil olmak üzere daha geniş bir kitlenin ilgisini çekiyor” diyor. Ne yazık ki bu erişilebilirlik, suçluların sahte bir isim ve çalıntı kimlik bilgilerinin (gerçek doğum tarihi ve Sosyal Güvenlik numaraları gibi) parçalarını kullanarak sahte kimlikler oluşturduğu sentetik kimlik dolandırıcılığının artışıyla aynı zamana denk geliyor.
Wells, “Özellikle sentetik kimlik dolandırıcılığı, kötü niyetli aktörlerin izini sürmeyi son derece zorlaştırdığından oyun operatörleri için yanıltıcı olabilir” diye belirtiyor. “Eğer bir saldırgan savunmaları aşabilir ve sentetik bir kimlik altında çalışabilirse, fark edilmeden çalışabilir; bu da operatörlerin bir oyuncunun hesabı manipüle edilene veya bir tür dolandırıcılık yapılana kadar dolandırıcıyı yakalayamayacağı anlamına gelir.”
Durumu daha da kötüleştiren şey, insanların Super Bowl gibi etkinlikler sırasında bahis yapmak için kullandıkları bahis uygulamalarının çoğunda gizlilik korumasının göreceli eksikliğidir. Yeni bir çalışma veri gizliliği şirketi Incogni tarafından en popüler yedi bahis uygulamasını inceledi; bunların çoğu, özel verileri uygun şekilde ifşa etmeden kapsamlı bir şekilde topluyor ve paylaşıyor.
Incogni’nin tespit ettiği en büyük veri domuzu, kullanıcılardan kesin konum, kişiler, mesajlar, fotoğraflar ve videolar da dahil olmak üzere 22 veri noktası toplayan DraftKings’ti. Caesars, Sky Bet ve William Hill’in bahis uygulamaları, kesin konum, uygulama içi arama geçmişi, sağlık bilgileri ve satın alma geçmişleri dahil olmak üzere her biri 17 veri noktası toplayarak nispeten yakınlardaydı. Bu arada Caesars, kullanıcı cihazlarından topladığı verileri üçüncü taraflarla paylaşma konusunda geri kalanlara öncülük etti.
Well, Super Bowl hayranlarının ayrıca çevrimiçi pazarlarda sahte bilet ve sahte ürünlerin artacağını, gerçek gibi görünen ancak ucuza yapılmış ve resmi logoları olmayan formalar, şapkalar ve hatıra eşyalarıyla hayranları cezbedeceğini beklemeleri gerektiğini söylüyor.
“Tüm bu dolandırıcılıkların tüketicilere kimlik avı e-postaları ve metinleri yoluyla ulaşması muhtemeldir. Tüketiciler dikkatli davranmalı ve herhangi bir kişisel bilgi veya ödeme vermeden önce kiminle iş yaptıklarını doğrulamalıdır” diye uyarıyor.
Yetkisiz Yayın Sitelerinden Kaynaklanan İş Riski
DNSFilter CEO’su Ken Carnesi, yetkisiz akış sitelerinin, çalışanların işle ilgili amaçlarla yönetilmeyen cihazları kullanmasına izin veren kuruluşlar için bir risk olduğuna dikkat çekiyor. Şirketin geçen ay kendi ağından topladığı veriler, alan adında “NFL” bulunan engellenen sitelerde keskin bir artış olduğunu gösteriyor.
Carnesi, “Playofflar sırasında ağımızdaki trafik arttı ve 28 Ocak’ta, AFC ve NFC şampiyonluk maçıyla aynı günde zirveye ulaştı” diyor. “Genel olarak, 5 Ocak’tan 28 Ocak’taki zirveye kadar, güvenlik nedeniyle engellenen trafikte %125’lik bir artış oldu.”
İşle ilgili cihazların herhangi bir kontrol olmadan kişisel kullanıma izin veren kuruluşlara yönelik riskler arasında, kötü amaçlı yazılım bulaşması ve kimlik avı saldırıları olasılığının artması yer alır.
Carnesi, “Ayrıca, bu akış etkinlikleri, güvenli olmayan kanallar ve eşler arası bağlantıların kuruluşun veri bütünlüğüne risk oluşturmasıyla ağda güvenlik açıkları yaratabilir” diyor. “Veri hırsızlığı da artan bir olasılıktır ve potansiyel olarak hassas şirket bilgilerinin kullanıcı verilerini toplayan ve kötüye kullanan yasa dışı sitelerden açığa çıkmasına neden olur.”