خدعة كأس العالم FIFA 2026

يحذر باحثو الأمن ومكتب التحقيقات الفيدرالي من أن موجة واسعة النطاق من عمليات الاحتيال ذات الطابع الكروي تستهدف بالفعل مشجعي كأس العالم 2026، على الرغم من أن البطولة لن تبدأ حتى 11 يونيو.

يمثل هذا الحدث فرصة مغرية لمجرمي الإنترنت. فمن المتوقع أن يحضر أكثر من ستة ملايين متفرج مباريات في 16 مدينة في الولايات المتحدة وكندا والمكسيك. وقد أفاد الاتحاد الدولي لكرة القدم (فيفا) بتلقيه أكثر من 150 مليون طلب تذاكر خلال أول 15 يومًا من طرحها للبيع، ما يجعل الطلب يفوق العرض المتاح بنحو 30 ضعفًا. وقد ساهمت ندرة التذاكر، وحماس الجماهير، وسرعة إتمام المعاملات في تهيئة ظروف مثالية لعمليات الاحتيال واسعة النطاق.

كشفت التحقيقات الأخيرة عن آلاف النطاقات الاحتيالية ذات الطابع الخاص بـ FIFA، وبرامج ضارة مخفية داخل تطبيقات البث غير المصرح بها، وحملات تصيد متطورة قادرة على اختطاف حسابات FIFA الشرعية.

صعود شبكة التصيد الاحتيالي لملعب الأشباح

حدد الباحثون أكثر من 4300 نطاق احتيالي متعلق بـ FIFA مسجل منذ أغسطس 2025. وفي قلب هذا النشاط توجد مجموعة ناطقة باللغة الصينية ذات دوافع مالية تُعرف باسم GHOST STADIUM، والتي تدير بنية تحتية للتصيد الاحتيالي تمتد لأكثر من 300 موقع ويب.

تعتمد هذه العملية على نسخة طبق الأصل شديدة الإقناع من موقع FIFA الرسمي. تحاكي الصفحات المزيفة نظام تسجيل الدخول الموحد الخاص بـ FIFA، المدعوم بتقنية PingIdentity، بل وتستخدم معرّف عميل شرعيًا منسوخًا من المنصة الأصلية. ولزيادة المصداقية، تُحمّل الصور مباشرةً من خوادم FIFA، مما يساعد المواقع على تجاوز بعض أساليب الكشف التي تُشير إلى المحتوى المنسوخ.

أخطر ما يميز هذا النظام هو خاصية إعادة تعيين كلمة المرور الاحتيالية. فالضحايا الذين يدخلون بيانات اعتمادهم دون علمهم يسلمون السيطرة على حساباتهم للمهاجمين، الذين يمكنهم بعد ذلك حظر حساب المالك الشرعي وإعادة بيع أي تذاكر مرتبطة به.

يتم توجيه الزيارات بشكل أساسي عبر إعلانات فيسبوك، حيث تظهر معرّفات تتبع متطابقة عبر شبكة التصيّد الاحتيالي. ويصل زوار إضافيون عبر قنوات تيليجرام ورسائل واتساب ونتائج البحث المُتلاعب بها.

تقبل شبكة الاحتيال المدفوعات عبر قنوات متعددة، تشمل معاملات البطاقات المباشرة، وبوابات الدفع التابعة لجهات خارجية، وخدمات تحويل الأموال مثل Chime وNequi، ومعالجات الدفع المحلية في المكسيك، وأنظمة تحويل العملات المشفرة. ويُعدّ خيار العملات المشفرة خطيرًا بشكل خاص لأن استرداد الأموال المسروقة يصبح أكثر صعوبة.

هناك علامة تحذيرية واضحة: منصة بيع التذاكر الرسمية التابعة للفيفا لا تقبل العملات المشفرة. أي بائع يطلب الدفع بالعملات المشفرة يُعتبر محتالاً.

يُقدّر الباحثون أن عمليات الاحتيال في تذاكر الدرجة المميزة والضيافة وحدها قد تُسبّب خسائر تتراوح بين 71 مليون دولار و474 مليون دولار. وبناءً على حجم البنية التحتية المكتشفة، قد تصل الأضرار الإجمالية إلى مليارات الدولارات، مع العلم أن هذه الأرقام تبقى مجرد توقعات وليست خسائر مؤكدة.

نظام بيئي متنامٍ للاحتيال

بين شهري يناير ومايو فقط، تم تسجيل أكثر من 13000 نطاق ذي صلة بكأس العالم، وتم تحديد حوالي 8.8٪ منها على أنها خبيثة أو مشبوهة.

أصدر مكتب التحقيقات الفيدرالي (FBI) بالفعل تحذيرات تتضمن قائمة بالعديد من النطاقات الإلكترونية الاحتيالية المرتبطة بالفيفا، بما في ذلك مواقع إلكترونية مزيفة تحمل أسماءً مشابهةً مع أخطاء إملائية، وبوابات توظيف وهمية تابعة للفيفا. ويتوقع المحققون ظهور نطاقات إلكترونية خبيثة إضافية مع اقتراب موعد البطولة. كما رصدت فرق أمنية أخرى آلاف المواقع الإلكترونية المقلدة وأكثر من ألف حساب مزيف على مواقع التواصل الاجتماعي.

لا تمثل عمليات الاحتيال المتعلقة بالتذاكر سوى جزء واحد من منظومة إجرامية أوسع بكثير. إذ يدير المحتالون أيضاً متاجر لبيع البضائع المقلدة، ومنصات مراهنات رياضية وهمية، وخدمات بث احتيالية لا تكتفي بفرض رسوم اشتراك فحسب، بل تنشر أيضاً برامج ضارة قادرة على منح المهاجمين تحكماً عن بُعد في أجهزة الضحايا.

تشمل المخططات الإضافية إشعارات مزيفة عن يانصيب الفيفا تعد بجوائز تصل إلى مليوني دولار. كما رصد الباحثون سوقًا متنامية لخدمات التصيد الاحتيالي، حيث يمكن للمجرمين شراء أدوات احتيال جاهزة وبرامج آلية لشراء التذاكر، مما يسهل على جهات فاعلة جديدة دخول عالم الاحتيال.

هذه العمليات مترابطة بشكل كبير. تستحوذ النطاقات المزيفة على عمليات البحث المتعلقة بالتذاكر، وتولد الإعلانات ونتائج البحث المتلاعب بها حركة مرور، وتتيح قواعد بيانات الاعتماد المسروقة الاستيلاء على الحسابات، وتحول تطبيقات الهاتف المحمول الخبيثة البحث عن البث المجاني إلى عملية احتيال مصرفي.

تطبيقات البث التي تستحوذ على أكثر من مجرد الانتباه

بالنسبة للجماهير التي تبحث عن بث مجاني لمباريات كأس العالم، قد تشكل الأجهزة المحمولة الخطر الأكبر.

لاحظ الباحثون مؤخراً ازدياداً ملحوظاً في عدد تطبيقات البث المباشر غير الرسمية الخبيثة التي تنتحل صفة خدمات شهيرة مثل RojaDirecta، وذلك بالتزامن مع نهائي دوري أبطال أوروبا. ومن المتوقع أن تتصاعد حملات مماثلة خلال كأس العالم.

تم ربط العديد من هذه التطبيقات ببرامج خبيثة مصرفية لنظام أندرويد، بما في ذلك عائلات البرامج الضارة المعروفة باسم Massiv وPerseus. ولأن هذه التطبيقات غير متوفرة عبر متجر جوجل بلاي، يتعين على المستخدمين تجاوز تحذيرات الأمان المدمجة في نظام أندرويد لتثبيتها.

بمجرد تثبيته، يستغل البرنامج الخبيث خدمات إمكانية الوصول في نظام أندرويد للسيطرة الكاملة على الجهاز. يستطيع المهاجمون عرض صفحات تسجيل دخول مصرفية مزيفة فوق التطبيقات الشرعية، وتسجيل ضغطات المفاتيح، واعتراض رموز المصادقة لمرة واحدة من الرسائل النصية القصيرة وتطبيقات المصادقة، والتحكم بالجهاز عن بُعد.

يذهب برنامج بيرسيوس، الذي تم تطويره باستخدام شفرة مصدر مسربة من حصان طروادة سيربيروس المصرفي، إلى أبعد من ذلك من خلال البحث في تطبيقات تدوين الملاحظات عن كلمات المرور المخزنة وعبارات استعادة العملات المشفرة.

يجب التعامل مع تطبيق البث الذي يطلب أذونات الوصول دون سبب مشروع على أنه تحذير أمني خطير.

تتحول وسائل التواصل الاجتماعي إلى ساحة صيد

أصبحت منصات التواصل الاجتماعي قناة توزيع رئيسية لعمليات الاحتيال المتعلقة بكأس العالم.

كشف باحثون عن أكثر من 55 حملة إعلانية ذات طابع كروي على منصتي فيسبوك وإنستغرام، تروج لقمصان رياضية مزيفة، ومقتنيات بانيني مزيفة، ومواقع إلكترونية احتيالية. وقد ربط تحليل البنية التحتية الإعلانية العديد من هذه العمليات بشركات صينية.

كما قام المحققون بتصنيف أكثر من 1700 حساب مزيف على مواقع التواصل الاجتماعي تابعة للفيفا، يعمل ما يقرب من 90% منها على فيسبوك وإنستغرام. واستخدمت إحدى الحملات البارزة إعلانات وظائف مزيفة تابعة للفيفا ودعوات تقويم لإعادة توجيه المتقدمين إلى صفحات تسجيل دخول مزيفة على جوجل.

في غضون ذلك، بدأت بيانات اعتماد FIFA المسروقة بالانتشار في الأسواق الإجرامية. وقد ربط باحثو الأمن مئات الآلاف من حسابات المستخدمين المخترقة وأكثر من 4600 عنوان ويب متعلق بـ FIFA ببرامج خبيثة لسرقة بيانات الاعتماد مثل Vidar وLummaC2 وRedLine.

مخاطر شبكات الواي فاي العامة في المدن المضيفة

تُضيف الشبكات اللاسلكية في المدن المضيفة لكأس العالم طبقة أخرى من المخاطر.

أظهر مسحٌ أُجري في مكسيكو سيتي ومونتيري وغوادالاخارا أن ما بين 10% و12% من شبكات الواي فاي المكتشفة كانت مفتوحة تمامًا وغير مؤمّنة. وكان ما يقرب من نصفها لا يزال يستخدم خاصية الإعداد المحمي للواي فاي (WPS)، مما يُتيح فرصًا إضافية للهجمات.

هذه الثغرات تجعل من السهل على المجرمين نشر نقاط اتصال "التوأم الشرير" - وهي شبكات خبيثة مصممة لتقليد نقاط الوصول إلى شبكة Wi-Fi الشرعية واعتراض حركة مرور المستخدم سراً.

كيف يمكن للجماهير والمنظمات الحفاظ على سلامتهم؟

هناك عدة علامات تحذيرية يمكن أن تساعد في تحديد عمليات الاحتيال المتعلقة بكأس العالم قبل وقوع الضرر:

• اشترِ التذاكر فقط من خلال الموقع الرسمي للفيفا، وأدخل عنوان الموقع يدويًا بدلًا من الاعتماد على الإعلانات أو روابط محركات البحث. فعّل خاصية المصادقة متعددة العوامل على حسابات الفيفا، وتجنّب أي بائع يطلب الدفع بالعملات الرقمية.
• تجنب تثبيت تطبيقات البث غير الرسمية، وخاصةً تلك التي تطلب أذونات الوصول. عند استخدام شبكات الواي فاي العامة في المدن المضيفة، اعتمد على بيانات الهاتف المحمول كلما أمكن ذلك، وتجنب الوصول إلى حساباتك المصرفية أو بريدك الإلكتروني أو أي حسابات حساسة أخرى.

كما أن للمنظمات دورًا هامًا في هذا الصدد. ينبغي على فرق الأمن مراقبة النطاقات المسجلة حديثًا والتي تحمل طابع FIFA، والكشف عن صفحات تسجيل الدخول الاحتيالية، وتحديد الموظفين أو العملاء الذين تم الكشف عن بيانات اعتمادهم في عمليات تسريب بيانات اعتماد Vidar أو LummaC2 أو RedLine، وإعداد فرق الاستجابة للاحتيال تحسبًا لزيادة النزاعات المتعلقة بالتذاكر وعمليات رد المبالغ المدفوعة طوال فترة البطولة.

التهديدات التي لا تزال تنتظر التفعيل

ولعل أكثر النتائج إثارة للقلق هو أن ما يقرب من 3800 نطاق معروف متعلق بالفيفا لا تزال غير نشطة ومتوقفة، وجاهزة للنشر في أي وقت.

مع توفر أدوات التصيد الاحتيالي، والروبوتات الآلية، وبيانات الاعتماد المسروقة على نطاق واسع، يتوقع الباحثون أن تمتد فترة الخطر الأكبر من 11 يونيو إلى 19 يوليو. وخلال تلك الفترة، ستصل عمليات البحث عن التذاكر وترتيبات السفر وخدمات البث إلى ذروتها، مما يخلق ظروفًا مثالية للمجرمين الإلكترونيين لتوسيع عملياتهم.