Proofpoint, azienda attiva nella cybersecurity e nella compliance, ha pubblicato i risultati di uno studio che mostra come oltre un terzo (il 36%) tra sponsor ufficiali, fornitori, partner e sostenitori associati ai Mondiali di calcio 2026, che si svolgeranno dall’11 giugno al 19 luglio 2026, non disponga delle misure di sicurezza email necessarie per proteggersi dall’impersonificazione del dominio. Questo potrebbe esporre tifosi, clienti e partner a un incremento del rischio di frodi via email che sfruttano la notorietà e la fiducia di questi brand.
I cyber criminali cercano abitualmente di trarre vantaggio dai grandi eventi sportivi globali, prendendo di mira i tifosi con truffe di ingegneria sociale che si fingono sponsor, compagnie aeree, brand legati all’hospitality, servizi di delivery o brand consumer, utilizzando domini dall’aspetto simile ed email di spoofing. In vista di un torneo che genera un picco significativo di viaggi, interesse per i biglietti, promozioni e attività di merchandising, l’intero ecosistema deve essere rafforzato contro le minacce veicolate via email, principale vettore di attacco per le frodi.
Per verificare lo stato attuale delle difese dal rischio di impersonificazione, Proofpoint ha analizzato il livello di adozione del protocollo DMARC (Domain-based Message Authentication, Reporting and Conformance) su un elenco di domini degli sponsor della Coppa del Mondo.
DMARC, la prima linea di difesa dalle frodi via email
Negli ultimi anni, Proofpoint ha osservato i cyber criminali utilizzare sempre più una serie di tattiche per spacciarsi per organizzazioni legittime al fine di raggiungere i propri obiettivi, anziché violare e infiltrarsi in reti e infrastrutture tecniche delle loro vittime. DMARC è un protocollo di autenticazione delle email ideato per proteggere i nomi di dominio dall’abuso da parte di attori malintenzionati, convalidando l’identità del mittente prima di permettere che un messaggio raggiunga la propria destinazione. DMARC ha tre livelli di protezione: monitoraggio, quarantena e reject, con quest’ultimo che rappresenta la modalità più sicura per impedire a messaggi sospetti di raggiungere la casella di posta.
L’implementazione di DMARC consente a un’azienda di definire quale trattamento debba essere applicato ai messaggi email che utilizzano il suo nome di dominio, nonché la policy da applicare in caso di fallimento durante la verifica: accettare il messaggio email (p=nessuna, dove “p” sta per policy), classificarlo come spam (p=quarantena), o eliminarlo (p=reject).
Ecco i principali risultati emersi dalla ricerca:
Sono stati analizzati i nomi di dominio che compongono l’ecosistema degli sponsor, partner, fornitori e associati dei Mondiali di calcio 2026, con i seguenti risultati:
· Dei 25 domini analizzati, 24 (96%) hanno pubblicato un record DMARC a livello base, di conseguenza la maggior parte delle aziende ha iniziato a implementare protezioni dall’impersonificazione dei domini email.
· Tuttavia, solo 16 dei 25 domini (64%) proteggono attivamente il proprio nome con la policy DMARC più robusta “reject”, che impedisce la consegna di email non autenticate e spoofed.
· Ciò significa che oltre un terzo (il 36%) non sta ancora bloccando in modo proattivo le email fraudolente che tentano di impersonare il proprio marchio.
· Otto domini (il 32%) hanno DMARC impostato in modalità monitoraggio o con una postura applicativa parziale, che fornisce visibilità ma non impedisce alle email spoofed di raggiungere le caselle di posta.
“Grandi eventi, come i Mondiali di calcio, generano un enorme entusiasmo, dai piani di viaggio all’acquisto di biglietti, alle offerte speciali, al merchandising. Sfortunatamente, questo crea anche opportunità per i truffatori di approfittarsi dei tifosi,” spiega Loic Guezo, Director, Cybersecurity Strategy, SEUR di Proofpoint. “Sebbene sia certamente incoraggiante che molti brand partner abbiano adottato misure per migliorare la propria sicurezza email, troppi stanno ancora lasciando la porta aperta ai messaggi fraudolenti. Senza protezioni più robuste in atto, diventa più semplice per i criminali impersonare marchi affidabili e ingannare gli utenti, affinché condividano dati personali o effettuino pagamenti per offerte false.”
I tifosi dovrebbero essere particolarmente cauti in vista del torneo e seguire le seguenti raccomandazioni:
· Il modo più sicuro per acquistare i biglietti è direttamente tramite la FIFA, che ha già implementato una policy DMARC completa di tipo ‘reject’.”
· Diffidare da email, SMS o chiamate non richieste, specialmente quelle che sollecitano azioni urgenti o pagamenti immediati.
· Non condividere mai informazioni finanziarie o password tramite email o SMS; in caso di dubbio, contattare l’azienda tramite i canali ufficiali.
· Utilizzare una password unica per ogni account e abilitare l’autenticazione multi-fattore (MFA) ove possibile.
