潛進世界盃 — FIFA 世界盃攻擊態勢

　　四年一度的足球世界盃， 2022 年在卡達吹響賽事的號角，從小組賽到淘汰賽，戰況刺激又緊張，最終由阿根廷擊敗法國拿下本屆冠軍，而為期一個月的賽事也在歡呼聲中謝幕。 FIFA 世界盃從開始前到結束，一舉一動都成為世界關注的焦點，各國球迷紛紛前往卡達參與盛事，而人潮伴隨著錢潮，也理所當然地成為網路犯罪者的新目標。

　　這些威脅者的動機跟目的，並非都是一樣的，不同動機與目的，會影響攻擊的手段。雖然世界盃僅是三十二強的國家隊伍參與，但卻是全球注目的焦點，除了球迷熱情參與之外，也有許多人關心運動賽事中勝負的賠率，可想而知，以利益為主的攻擊者自然是數量最多的，任何球迷所需要的相關服務，都可能成為惡意攻擊的目標。雖然世界盃已畫下句點，但我們仍應探查相關的攻擊，降低之後受害的可能。下面整理了此次世界盃的相關攻擊：

　　上述這些問題看起來好像都挺好解決，只要循規蹈矩透過官方管道購買即可抵禦，但可別以為官方，就真的沒有問題。此次世界盃在開賽前卡達政府要求觀賞世界盃的球迷應安裝Ehteraz及Hayya兩款App，分別是COVID-19追蹤App與球場門票及免費地鐵、巴士搭乘通用券，兩款官方指定的APP，APP權限超過要求用戶同意時說明的資料類型。

　　根據《The Register》 指出Ehteraz引發遠端存取用戶相片、影片的疑慮，還能撥電話給用戶，要求用戶必須開啟手機背景及定位服務，並提供App讀寫檔案系統的權限，使其得以讀、刪、改內容、覆寫App，連結Wi-Fi或藍牙，以及防止手機轉成休眠，甚至能安裝加密檔案，宣稱可儲存用戶ID、QR Code、感染狀態、配置參數及其他使用該App裝置的鄰近資料。而Hayya要求無限制存取用戶個資、判讀手機位置、防止手機進入睡眠模式及讀取手機連網狀態。當時基於安全疑慮，法國資料保護主管機關CNIL建議民眾帶拋棄式手機去卡達，以確保資料安全。

　　其實任何一項活動賽事都會有其關注的民眾與國家，有不少類似世界盃一樣四年一次、一年一次的活動，賽前的消息往往五花八門，看得眼花撩亂，也有不少民眾為了能夠節省一點支出，在網路上尋找價格更低廉的辦法。但前面我們介紹了此次世界盃中的多種相關攻擊，可以知道民眾在參與活動時，攻擊者們也企圖攻擊民眾。因此未來民眾參與活動賽事時，除了官方管道 (如此次FIFA的兩款APP) 的疑慮需要注意外，更需要謹慎小心地的是在賽事過程中，各種不同層面的利益相關攻擊。以下是針對此次FIFA攻擊勢態，所整理出來的可供未來參考的建議：

1. 官方管道購買 (只從官方網站購買FIFA 門票和Hayya 卡)
2. 投資前驗證加密貨幣的合法性。
3. 不要使用 Telegram 或社交媒體上的相關服務。
4. 不要與不知名的人或網站分享個人訊息或銀行詳細信息。
5. 不要安裝通過 Telegram、社交媒體或第三方應用商店共享的APP。
6. 查看APP請求的權限，禁用不需要的權限。

參考資料/相關新聞 :
https://cloudsek.com/whitepapers_reports/fifa-world-cup-qatar-2022-cyber-threat-landscape
https://www.trellix.com/en-us/about/newsroom/stories/research/email-cyberattacks-on-arab-countries-rise.html
https://www.businesstimes.com.hk/articles/142831/%E7%B6%B2%E7%B5%A1%E5%AE%89%E5%85%A82022-%E5%A4%96%E5%9C%8D-%E7%B6%B2%E6%B3%9B%E6%BF%AB%E6%94%B6%E9%9B%86-%E4%BD%BF%E7%94%A8%E8%80%85-%E5%AF%86%E7%A2%BC-%E5%B8%B3%E8%99%9F%E6%94%AF%E4%BB%98%E8%B3%87%E8%A8%8A-%E4%B8%96%E7%95%8C%E7%9B%83-%E6%9C%9F%E9%96%93%E7%A2%BA%E4%BF%9D-%E7%B6%B2%E8%B7%AF%E5%AE%89%E5%85%A8-%E4%B8%89%E9%A0%85%E5%BB%BA%E8%AD%B0/