La Formula 1 non è solo un evento sportivo, ma un ecosistema digitale complesso che attrae l’attenzione di milioni di tifosi in tutto il mondo. Questa popolarità, però, ha un lato oscuro: il motorsport è diventato un terreno fertile per il cybercrime. Con l’aumento delle connessioni globali, dello streaming e delle piattaforme social, i criminali informatici hanno trovato nuove opportunità per sfruttare la passione dei tifosi.
Non sono solo le grandi scuderie o gli organizzatori degli eventi a essere a rischio. Anche i tifosi, spesso ignari, diventano bersagli di truffe digitali. La velocità con cui si svolgono le gare e la necessità di acquistare biglietti, streaming e merchandising creano un ambiente ideale per il phishingil malware e altre forme di frode.
Le tattiche dei criminali informatici
Le truffe legate alla Formula 1 seguono un pattern stagionale, legato al calendario delle gare. Prima dei gran premi, esplodono le truffe sui biglietti e il merchandising contraffatto. Durante le gare, l’attenzione si sposta verso lo streaming illegale e la distribuzione di applicazioni malevole. Dopo le gare, arrivano le truffe sui replay e i sondaggi fraudolenti.
Uno dei metodi più diffusi è lo streaming illegale. Molti siti promettono accesso gratuito alle gare, ma reindirizzano gli utenti verso pagine che chiedono di installare codec, player video o VPN apparentemente innocui. In realtà, questi software possono nascondere malwarespyware o sistemi di raccolta dati. Alcune campagne utilizzano reti di domini usa-e-getta e advertising aggressivo sui social media per colpire utenti specifici.
Il lato oscuro dello streaming illegale
I siti di streaming illegale legati alla Formula 1 non sono portali neutri: sono veri e propri imbuti per le truffe. Questi portali reindirizzano gli utenti verso falsi abbonamenti, pubblicità aggressiva, contenuti per adulti e download di applicazioni non sicure. Chi cade nella trappola ha scarso ricorso legale, poiché il servizio stesso opera fuori dai canali legali.
La distribuzione di questi contenuti avviene attraverso reti sociali ben organizzate: link promossi in gruppi Facebook, discussioni Reddit, watch party su Discord e canali Telegram di coordinamento. L’infrastruttura è volutamente effimera, ma la macchina che li produce è tutt’altro che improvvisata.
Il merchandising contraffatto e le offerte false
Sul fronte del merchandising, i ricercatori hanno identificato campagne che promuovono abbigliamento e accessori della Formula 1 con sconti dell’80% attraverso l’infrastruttura pubblicitaria di Meta. Questi siti hanno caratteristiche ricorrenti: messaggi di urgenza con maxi-sconti, design dei negozi clonati da store legittimi, prezzi irrealistici e targeting geografico.
La struttura di queste campagne ricalca quasi esattamente quelle già documentate durante altri eventi sportivi ad alto profilo. Si tratta di infrastruttura di truffa riciclata da un evento all’altro. Un cluster pubblicitario ha operato per sette giorni mirando specificamente a Regno Unito, Australia e Irlanda, dimostrando un comportamento professionale e organizzato.
Le tecniche sofisticate di phishing
Le tecniche utilizzate oggi sono molto più sofisticate rispetto al phishing tradizionale. Una delle campagne più diffuse è il cosiddetto ClickFixun attacco basato interamente su ingegneria sociale. La vittima cerca uno streaming gratuito, arriva alla pagina desiderata e si trova davanti a una schermata che simula un problema di riproduzione o una verifica di sicurezza.
La pagina invita a ‘risolvere il problema di buffering’, ‘abilitare l’accesso allo streaming’ o ‘aggiornare i codec’. In pratica, viene chiesto di aprire il dialogo Esegui di Windows, incollare un comando PowerShell e premere OK. Il malware viene così installato usando componenti legittimi del sistema operativo, rendendo molto più difficile il rilevamento da parte degli antivirus tradizionali.
L’obiettivo finale spesso non è soltanto il furto di dati bancari, ma l’accesso agli account. Gli infostealer sono ottimizzati per il furto silenzioso di credenziali: password salvate nel browser, cookie di sessione, carte di pagamento memorizzate, wallet di criptovalute e accessi email. Il dato più preoccupante è che i criminali sempre più spesso bypassano completamente le password, concentrandosi sui cookie di sessione autenticati.
Sottrarre un session cookie significa prendere il controllo di un account già loggato, aggirando in alcuni scenari anche l’autenticazione a due fattori. Username, password e cookie vengono sottratti per impossessarsi di profili YouTube, Instagram, TikTok o Facebook già dotati di community e audience consolidate. È qui che la Formula 1 diventa un perfetto moltiplicatore: eventi globali, fandom enormi e forte coinvolgimento emotivo rendono più facile convincere le persone a cliccare rapidamente, scaricare applicazioni o fidarsi di link apparentemente legati alle gare.
Per proteggersi, è fondamentale adottare misure di sicurezza su più livelli. L’Online Threat Prevention blocca URL malevoli e tentativi di exploit a livello di rete. I motori Anti-Phishing e Anti-Fraud analizzano la struttura della pagina, l’età del dominio e i pattern di impersonificazione per fermare il furto di credenziali e le frodi di pagamento. Su mobile, il blocco delle chiamate e il rilevamento delle truffe segnalano i numeri fraudolenti noti, mentre la Web Protection monitora la navigazione per impedire redirect verso domini malevoli.
Per chi vuole un ulteriore livello di verifica, strumenti come Scamio permettono di sottoporre messaggi sospetti, screenshot o link e ricevere una valutazione del rischio in tempo reale. Questi strumenti sono pensati non per gli analisti di sicurezza, ma per chi vuole semplicemente guardare una gara di Formula 1 senza ritrovarsi con il conto svuotato.
