Измама с Световното първенство по футбол 2026
Изследователи по сигурността и ФБР предупреждават, че мащабна вълна от измами на тема ФИФА вече е насочена към феновете на Световното първенство през 2026 г., въпреки че турнирът започва едва на 11 юни.
Събитието представлява атрактивна възможност за киберпрестъпниците. Очаква се над шест милиона зрители да посетят мачове в 16 града в Съединените щати, Канада и Мексико. ФИФА съобщи, че е получила над 150 милиона заявки за билети през първите 15 дни от продажбите, което прави търсенето приблизително 30 пъти по-голямо от наличното предлагане. Оскъдните билети, разтревожените фенове и бързо извършващите се транзакции създадоха идеални условия за мащабни измами.
Последните разследвания разкриха хиляди измамнически домейни на тема FIFA, зловреден софтуер, скрит в неоторизирани стрийминг приложения, и сложни фишинг кампании, способни да отвлекат легитимни FIFA акаунти.
Съдържание
Възходът на фишинг мрежата GHOST STADIUM
Изследователи са идентифицирали над 4300 измамни домейна, свързани с FIFA, регистрирани от август 2025 г. насам. В центъра на тази дейност е финансово мотивирана китайскоговоряща група, известна като GHOST STADIUM, която управлява фишинг инфраструктура, обхващаща над 300 уебсайта.
Операцията разчита на изключително убедително копие на официалния уебсайт на FIFA. Фалшивите страници имитират много точно системата за единен вход на FIFA, задвижвана от PingIdentity, и дори използват легитимен клиентски идентификатор, копиран от истинската платформа. За да се увеличи достоверността, изображенията се зареждат директно от сървърите на FIFA, което помага на сайтовете да избегнат някои методи за откриване, които маркират копирано съдържание.
Най-вредната функция е измамна функция за нулиране на парола. Жертвите, които въвеждат своите идентификационни данни несъзнателно, предават контрола над акаунтите си на нападателите, които след това могат да блокират законния собственик и да препродадат всички свързани билети.
Трафикът се генерира предимно чрез реклами във Facebook, като идентични идентификатори за проследяване се появяват в цялата фишинг мрежа. Допълнителни посетители пристигат чрез канали в Telegram, съобщения в WhatsApp и манипулирани резултати от търсенето.
Измамната инфраструктура приема плащания чрез множество канали, включително директни транзакции с карти, платежни шлюзове на трети страни, услуги за парични преводи като Chime и Nequi, регионални мексикански процесори и системи за конвертиране на криптовалути. Вариантът с криптовалута е особено опасен, защото възстановяването на откраднати средства става значително по-трудно.
Един ясен предупредителен знак се откроява: официалната платформа за билети на FIFA не приема криптовалута. Всеки продавач, който изисква плащания с криптовалута, трябва да се счита за измамник.
Изследователите изчисляват, че само измамите с премиум билети и билети за хотелиерство могат да генерират загуби в диапазона от 71 милиона до 474 милиона долара. Въз основа на мащаба на откритата инфраструктура, общите щети биха могли потенциално да достигнат милиарди долари, въпреки че тези цифри остават прогнози, а не потвърдени загуби.
Разрастваща се екосистема от измами
Само между януари и май са регистрирани над 13 000 домейна на тема Световното първенство по футбол, като приблизително 8,8% са идентифицирани като злонамерени или подозрителни.
ФБР вече публикува предупреждения, в които са изброени множество измамни домейни, свързани с ФИФА, включително неправилно изписани уебсайтове, подобни на тези, и фалшиви портали за работа във ФИФА. Разследващите очакват появата на допълнителни злонамерени домейни с наближаването на турнира. Други екипи по сигурността също са идентифицирали хиляди фалшиви уебсайтове и повече от хиляда фалшиви профила в социалните медии.
Измамите с билети представляват само една част от много по-голяма престъпна екосистема. Измамниците управляват и магазини за фалшиви стоки, фалшиви платформи за спортни залози и измамни стрийминг услуги, които не само начисляват абонаментни такси, но и разпространяват зловреден софтуер, способен да предостави на нападателите дистанционен контрол над устройствата на жертвите.
Допълнителни схеми включват фалшиви известия за лотария на FIFA, обещаващи награди до 2 милиона долара. Изследователите също така са идентифицирали разрастващ се пазар на фишинг като услуга, където престъпниците могат да закупят готови комплекти за измами и автоматизирани ботове за закупуване на билети, което улеснява навлизането на нови участници в измамния пейзаж.
Тези операции са тясно свързани. Фалшивите домейни улавят търсения, свързани с билети, рекламите и манипулираните резултати от търсенето генерират трафик, откраднатите бази данни за идентификационни данни позволяват поглъщане на акаунти, а злонамерени мобилни приложения превръщат търсенето на безплатни стрийминг услуги в банкова измама.
Стрийминг приложения, които крадат повече от просто внимание
За феновете, които търсят безплатни излъчвания на Световното първенство, мобилните устройства може да представляват най-голям риск.
Наскоро изследователи наблюдаваха вълна от злонамерени неофициални стрийминг приложения, маскирани като популярни услуги като RojaDirecta, около финала на Шампионската лига на УЕФА. Очаква се подобни кампании да се засилят по време на Световното първенство.
Много от тези приложения са свързани с банкови троянци за Android, включително семейства злонамерени програми, известни като Massiv и Perseus. Тъй като тези приложения не са достъпни чрез Google Play, потребителите трябва да заобиколят вградените предупреждения за сигурност на Android, за да ги инсталират.
След като бъде инсталиран, зловредният софтуер злоупотребява с услугите за достъпност на Android, за да получи обширен контрол над устройството. Нападателите могат да показват фалшиви страници за вход в банкови системи върху легитимни приложения, да записват натискания на клавиши, да прихващат еднократни кодове за удостоверяване от SMS съобщения и приложения за удостоверяване и да управляват устройството дистанционно.
Perseus, който е разработен с помощта на изтекъл изходен код от банковия троянец Cerberus, отива още по-далеч, като търси в приложения за водене на бележки съхранени пароли и фрази за възстановяване на криптовалута.
Приложение за стрийминг, което изисква разрешения за достъп без основателна причина, трябва да се третира като сериозно предупреждение за сигурността.
Социалните медии се превръщат в ловно поле
Социалните медийни платформи са се превърнали в основен канал за разпространение на измами, свързани със Световното първенство.
Изследователи са разкрили над 55 рекламни кампании на футболна тематика във Facebook и Instagram, промотиращи фалшиви фланелки, фалшиви колекционерски предмети Panini и фишинг уебсайтове. Анализът на рекламната инфраструктура е свързал няколко от тези операции с китайски оператори.
Разследващите са каталогизирали и над 1700 фалшиви акаунта на FIFA в социалните медии, близо 90% от които работят във Facebook и Instagram. Една забележителна кампания използва фалшиви обяви за работа във FIFA и покани от календара, за да пренасочва кандидатите към фалшиви страници за вход в Google.
Междувременно, откраднати идентификационни данни за FIFA вече циркулират на криминалните пазари. Изследователи по сигурността са свързали стотици хиляди компрометирани потребителски акаунти и повече от 4600 уеб адреса, свързани с FIFA, със семейства зловреден софтуер за кражба на идентификационни данни, като Vidar, LummaC2 и RedLine.
Рискове, свързани с обществените Wi-Fi мрежи в градовете домакини
Безжичните мрежи в градовете, домакини на Световните първенства, въвеждат още един слой риск.
Проучване, проведено в Мексико Сити, Монтерей и Гуадалахара, установи, че между 10% и 12% от откритите Wi-Fi мрежи са напълно отворени и необезпечени. Близо половината все още са имали активирана Wi-Fi Protected Setup (WPS), което създава допълнителни възможности за атаки.
Тези слабости улесняват престъпниците да внедряват „зли близнаци“ – злонамерени мрежи, предназначени да имитират легитимни Wi-Fi точки за достъп и тайно да прихващат потребителския трафик.
Как феновете и организациите могат да останат защитени
Няколко предупредителни знака могат да помогнат за идентифициране на измами, свързани със Световното първенство, преди да възникнат щети:
- Купувайте билети само през официалния уебсайт на FIFA и въвеждайте уеб адреса ръчно, вместо да разчитате на реклами или връзки от търсачките. Активирайте многофакторно удостоверяване в акаунтите на FIFA и избягвайте всеки продавач да изисква плащания с криптовалута.
- Избягвайте инсталирането на неофициални стрийминг приложения, особено такива, изискващи разрешения за достъп. Когато използвате обществен Wi-Fi в градовете, в които се намирате, разчитайте на мобилни данни, когато е възможно, и избягвайте достъп до банкови услуги, имейл или други чувствителни акаунти.
Организациите също играят важна роля. Екипите по сигурност трябва да наблюдават новорегистрираните домейни с тематика на FIFA, да откриват измамни страници за вход, да идентифицират служители или клиенти, изложени на риск в дъмповете за идентификационни данни на Vidar, LummaC2 или RedLine, и да подготвят екипи за реагиране при измами за увеличени спорове за билети и активност по връщане на плащания по време на турнира.
Заплахите, които все още чакат да се активират
Може би най-тревожното откритие е, че приблизително 3800 известни измамнически домейна, свързани с FIFA, остават неактивни и паркирани, готови за внедряване по всяко време.
Тъй като фишинг комплектите, автоматизираните ботове и откраднатите идентификационни данни вече са широко достъпни, изследователите очакват периодът с най-висок риск да продължи от 11 юни до 19 юли. През този период търсенията на билети, туристически аранжировки и стрийминг услуги ще достигнат своя пик, създавайки идеални условия за киберпрестъпниците да разширят дейността си.
