Podvod s mistrovstvím světa ve fotbale 2026
Bezpečnostní výzkumníci a FBI varují, že rozsáhlá vlna podvodů s tématikou FIFA se již zaměřuje na fanoušky mistrovství světa ve fotbale 2026, a to i přesto, že turnaj začíná až 11. června.
Tato událost představuje atraktivní příležitost pro kyberzločince. Očekává se, že zápasy v 16 městech ve Spojených státech, Kanadě a Mexiku zúčastní více než šest milionů diváků. FIFA oznámila, že během prvních 15 dnů prodeje obdržela přes 150 milionů žádostí o vstupenky, což zhruba 30krát převyšuje dostupnou nabídku. Nedostatek vstupenek, úzkostliví fanoušci a rychle se vyskytující transakce vytvořily ideální podmínky pro rozsáhlé podvody.
Nedávná vyšetřování odhalila tisíce podvodných domén s tématikou FIFA, malware skrytý v neoprávněných streamovacích aplikacích a sofistikované phishingové kampaně schopné unést legitimní účty FIFA.
Obsah
Vzestup phishingové sítě GHOST STADIUM
Výzkumníci identifikovali od srpna 2025 více než 4 300 podvodných domén souvisejících s FIFA. V centru této aktivity je finančně motivovaná čínsky mluvící skupina známá jako GHOST STADIUM, která provozuje phishingovou infrastrukturu zahrnující více než 300 webových stránek.
Operace se opírá o velmi přesvědčivou repliku oficiálních webových stránek FIFA. Falešné stránky věrně napodobují systém jednotného přihlašování FIFA využívající technologii PingIdentity a dokonce používají legitimní ID klienta zkopírované ze skutečné platformy. Pro zvýšení důvěryhodnosti se obrázky načítají přímo ze serverů FIFA, což pomáhá webům vyhnout se některým detekčním metodám, které označují kopírovaný obsah.
Nejškodlivější funkcí je podvodná funkce pro resetování hesla. Oběti, které nevědomky zadají své přihlašovací údaje, předávají kontrolu nad svými účty útočníkům, kteří pak mohou zablokovat právoplatného majitele a dále prodat všechny související vstupenky.
Návštěvnost je generována primárně prostřednictvím reklam na Facebooku, přičemž v celé phishingové síti se objevují identické sledovací identifikátory. Další návštěvníci přicházejí prostřednictvím kanálů Telegramu, zpráv na WhatsAppu a zmanipulovaných výsledků vyhledávání.
Podvodná infrastruktura přijímá platby prostřednictvím několika kanálů, včetně přímých transakcí kartou, platebních bran třetích stran, služeb pro převod peněz, jako jsou Chime a Nequi, regionálních mexických zpracovatelů a systémů pro konverzi kryptoměn. Možnost s kryptoměnami je obzvláště nebezpečná, protože získání zpět ukradených finančních prostředků se stává výrazně obtížnějším.
Jedno jasné varování však vyniká: oficiální platforma FIFA pro prodej vstupenek nepřijímá kryptoměny. Každý prodejce požadující platby v kryptoměnách by měl být považován za podvodníka.
Výzkumníci odhadují, že jen podvody s prémiovými vstupenkami a vstupenkami v pohostinství by mohly způsobit ztráty v rozmezí od 71 milionů do 474 milionů dolarů. Na základě rozsahu objevené infrastruktury by celkové škody mohly potenciálně dosáhnout miliard dolarů, ačkoli tato čísla zůstávají spíše projekcemi než potvrzenými ztrátami.
Rostoucí ekosystém podvodů
Jen mezi lednem a květnem bylo zaregistrováno více než 13 000 domén s tématikou mistrovství světa ve fotbale, přičemž přibližně 8,8 % z nich bylo identifikováno jako škodlivé nebo podezřelé.
FBI již zveřejnila varování, která uvádějí řadu podvodných domén souvisejících s FIFA, včetně webových stránek s chybně napsanými podobami a falešných pracovních portálů FIFA. Vyšetřovatelé očekávají, že se s blížícím se turnajem objeví další škodlivé domény. Další bezpečnostní týmy také identifikovaly tisíce napodobenin webových stránek a více než tisíc falešných profilů na sociálních sítích.
Podvody s lístky představují pouze jednu část mnohem většího zločineckého ekosystému. Podvodníci také provozují obchody s padělaným zbožím, falešné platformy pro sportovní sázení a podvodné streamovací služby, které nejen účtují poplatky za předplatné, ale také distribuují malware schopný útočníkům poskytnout vzdálenou kontrolu nad zařízeními obětí.
Mezi další podvodné schémata patří falešná oznámení o loterii FIFA slibující výhry až do výše 2 milionů dolarů. Výzkumníci také identifikovali rostoucí trh s phishingem jako službou, kde si zločinci mohou zakoupit hotové podvodné sady a automatizované boty pro nákup lístků, což novým aktérům usnadňuje vstup do podvodného prostředí.
Tyto operace jsou úzce propojené. Falešné domény zachycují vyhledávání související s tickety, reklamy a manipulované výsledky vyhledávání generují provoz, ukradené databáze přihlašovacích údajů umožňují převzetí účtů a škodlivé mobilní aplikace proměňují hledání bezplatných streamů v bankovní podvod.
Streamovací aplikace, které kradou víc než jen pozornost
Pro fanoušky, kteří hledají bezplatné přenosy mistrovství světa, mohou největší riziko představovat mobilní zařízení.
Výzkumníci nedávno zaznamenali nárůst škodlivých neoficiálních streamovacích aplikací maskovaných jako populární služby, jako je RojaDirecta, v období kolem finále Ligy mistrů UEFA. Očekává se, že podobné kampaně se zintenzivní i během mistrovství světa ve fotbale.
Mnoho z těchto aplikací bylo spojeno s bankovními trojskými koněmi pro Android, včetně malwarových rodin známých jako Massiv a Perseus. Protože tyto aplikace nejsou dostupné v obchodě Google Play, musí si je uživatelé nainstalovat, aby obešli vestavěná bezpečnostní varování systému Android.
Po instalaci malware zneužívá služby usnadnění přístupu v systému Android k získání rozsáhlé kontroly nad zařízením. Útočníci mohou zobrazovat falešné přihlašovací stránky do bankovnictví přes legitimní aplikace, zaznamenávat stisknutí kláves, zachycovat jednorázové ověřovací kódy z SMS zpráv a ověřovacích aplikací a vzdáleně ovládat zařízení.
Perseus, který byl vyvinut s využitím uniklého zdrojového kódu bankovního trojského koně Cerberus, jde ještě dál a prohledává aplikace pro psaní poznámek, kde hledá uložená hesla a fráze pro obnovení kryptoměn.
Streamovací aplikace, která požaduje oprávnění přístupu bez oprávněného důvodu, by měla být považována za závažné bezpečnostní varování.
Sociální média se stávají lovištěm
Platformy sociálních médií se staly hlavním distribučním kanálem pro podvody týkající se mistrovství světa.
Výzkumníci odhalili na Facebooku a Instagramu více než 55 reklamních kampaní s fotbalovou tematikou, které propagovaly padělané dresy, falešné sběratelské předměty Panini a phishingové webové stránky. Analýza reklamní infrastruktury propojila několik z těchto operací s čínskými operátory.
Vyšetřovatelé také katalogizovali více než 1700 falešných účtů FIFA na sociálních sítích, z nichž téměř 90 % funguje na Facebooku a Instagramu. Jedna pozoruhodná kampaň využívala podvodné pracovní inzeráty FIFA a pozvánky do kalendáře k přesměrování uchazečů na falešné přihlašovací stránky Google.
Mezitím se na zločineckých tržištích již šíří ukradené přihlašovací údaje FIFA. Bezpečnostní výzkumníci propojili statisíce napadených uživatelských účtů a více než 4 600 webových adres souvisejících s FIFA s rodinami malwaru, které kradou přihlašovací údaje, jako jsou Vidar, LummaC2 a RedLine.
Rizika veřejných Wi-Fi sítí v hostitelských městech
Bezdrátové sítě v městech pořádajících mistrovství světa představují další vrstvu rizika.
Průzkum provedený v Mexico City, Monterrey a Guadalajaře zjistil, že 10 % až 12 % detekovaných sítí Wi-Fi bylo zcela otevřených a nezabezpečených. Téměř polovina z nich měla stále zapnutou technologii Wi-Fi Protected Setup (WPS), což vytvářelo další příležitosti k útoku.
Díky těmto slabinám mohou zločinci snadněji nasadit hotspoty typu „zlé dvojče“ – škodlivé sítě určené k napodobování legitimních přístupových bodů Wi-Fi a tajnému zachycování uživatelského provozu.
Jak mohou fanoušci a organizace zůstat chráněni
Několik varovných signálů může pomoci odhalit podvody související s mistrovstvím světa dříve, než dojde ke škodám:
- Vstupenky kupujte pouze prostřednictvím oficiálních webových stránek FIFA a ručně zadávejte webovou adresu, místo abyste se spoléhali na reklamy nebo odkazy ve vyhledávačích. Povolte vícefaktorové ověřování na účtech FIFA a vyhněte se tomu, aby prodejce požadoval platby v kryptoměnách.
- Vyhněte se instalaci neoficiálních streamovacích aplikací, zejména těch, které vyžadují oprávnění k přístupu. Při používání veřejných Wi-Fi sítí v hostitelských městech se pokud možno spoléhejte na mobilní data a vyhněte se přístupu k bankovním účtům, e-mailům nebo jiným citlivým účtům.
Důležitou roli hrají i organizace. Bezpečnostní týmy by měly monitorovat nově registrované domény s tématikou FIFA, odhalovat podvodné přihlašovací stránky, identifikovat zaměstnance nebo zákazníky odhalené v dumpech přihlašovacích údajů Vidar, LummaC2 nebo RedLine a připravit týmy pro reakci na podvody na zvýšený počet sporů o vstupenky a aktivitu vrácení plateb v průběhu turnaje.
Hrozby stále čekají na aktivaci
Asi nejvíce znepokojivým zjištěním je, že zhruba 3 800 známých podvodných domén souvisejících s FIFA zůstává neaktivních a zaparkovaných, připravených k nasazení kdykoli.
Vzhledem k tomu, že phishingové sady, automatizovaní boti a odcizené přihlašovací údaje jsou již široce dostupné, vědci očekávají, že období s nejvyšším rizikem bude trvat od 11. června do 19. července. Během tohoto období dosáhne vyhledávání vstupenek, cestovních aranžmá a streamovacích služeb svého vrcholu, což vytvoří ideální podmínky pro rozšíření operací kyberzločinců.
