De Britse overheid heeft sportorganisaties in het land gewezen op het risico van BEC-fraude en malware, aangezien dit de grootste digitale dreigingen voor dergelijke organisaties zijn. Dat laat het Britse National Cyber Security Centre (NCSC) weten. De financiële bedragen die in de sportsector rondgaan maken het een aantrekkelijk doelwit van criminelen en sportclubs hebben hun ict-beveiliging niet altijd op orde, aldus het NCSC in een nieuw rapport.

De grootste dreiging voor sportorganisaties is volgens het NCSC business e-mail compromise (BEC). Bij deze vorm van fraude, waar ook ceo-fraude onder valt, weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen. Via de gekaapte accounts sturen de aanvallers bijvoorbeeld verzoeken naar leveranciers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van de aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen.

Het NCSC is naar eigen zeggen bekend met een incident in de Premier League waar de algemeen directeur van een niet nader genoemde voetbalclub slachtoffer van een phishingmail werd. De directeur opende een link in een phishingmail en vulde vervolgens zijn inloggegevens in op een phishingsite. Daardoor kregen criminelen toegang tot het account. De voetbalclub was op dat moment bezig met het aankopen van een speler van een Europese club. De aanvallers zagen de communicatie over de aankomende transfer en probeerden daar misbruik van te maken door zich tussen beide partijen in te plaatsen.

De aanvallers ontvingen het betaalverzoek van de Europese voetbalclub. Vervolgens werd een gewijzigde versie, met een rekeningnummer van de aanvallers, naar de directeur van de Britse voetbalclub gestuurd. Het ging om een bedrag van 1 miljoen euro dat de club overmaakte. De transactie werd echter niet voltooid omdat de rekening van de aanvallers als verdacht stond aangemerkt, waardoor de bank de betaling weigerde. Het NCSC adviseert organisaties om van multifactorauthenticatie gebruik te maken om dergelijke fraude te voorkomen.

Malware

De tweede dreiging waar Britse sportclubs mee te maken krijgen is malware. Bij veertig procent van de aanvallen op sportorganisaties is malware betrokken. In een kwart van deze gevallen gaat het om ransomware. Het NCSC weet van een aanval waarbij de systemen van een Britse voetbalclub met ransomware besmet raakten. De aanvallers eisten een groot losgeldbedrag dat de club weigerde te betalen. Hierdoor had de club geen toegang tot de zakelijke e-mail en werkte ook de beveiligingscamera's niet meer.

Het NCSC deed onderzoek onder sportclubs. Daarvan liet zeventig procent weten weleens te maken hebben gehad met een "cyberincident". Zo'n dertig procent van de incidenten zorgde voor financiële schade, met een gemiddeld schadebedrag van meer dan 10.000 euro. Eén organisatie leed voor meer dan 4 miljoen euro aan schade. Dit bedrag is niet in de gemiddeldes meegenomen. Naast de directe financiële schade zorgde 41 procent van de aanvallen dat er nieuwe maatregelen werden genomen om herhaling te voorkomen.

Basismaatregelen

In het adviesrapport stelt het NCSC dat BEC-fraude en aanvallen door malware voornamelijk worden veroorzaakt doordat sportclubs basale beveiligingsmaatregelen niet treffen (pdf). Het gaat dan om zaken als het tijdig installeren van beveiligingsupdates, een goed wachtwoordbeleid, het trainen van personeel om aanvallen als phishing te herkennen en het maken van back-ups.