Rabattilbud med flere licenser
Trusseldatabase Rogue websteder FIFA VM 2026-svindelnummer

FIFA VM 2026-svindelnummer

Med Mezo i Rogue websteder, Malware
Oversæt til:

Sikkerhedsforskere og FBI advarer om, at en storstilet bølge af FIFA-relateret svindel allerede er rettet mod fans af VM i fodbold i 2026, på trods af at turneringen først begynder den 11. juni.

Begivenheden præsenterer en attraktiv mulighed for cyberkriminelle. Mere end seks millioner tilskuere forventes at overvære kampene i 16 byer i USA, Canada og Mexico. FIFA rapporterede at have modtaget over 150 millioner billetanmodninger inden for de første 15 dage af salget, hvilket gør efterspørgslen cirka 30 gange større end det tilgængelige udbud. Knappe billetter, ængstelige fans og hurtige transaktioner har skabt ideelle betingelser for storstilet svindel.

Nylige undersøgelser har afdækket tusindvis af FIFA-relaterede falske domæner, malware gemt i uautoriserede streamingapplikationer og sofistikerede phishing-kampagner, der er i stand til at kapre legitime FIFA-konti.

Fremkomsten af GHOST STADIUM phishing-netværket

Forskere har identificeret mere end 4.300 falske FIFA-relaterede domæner, der er registreret siden august 2025. I centrum for denne aktivitet er en økonomisk motiveret kinesisktalende gruppe kendt som GHOST STADIUM, som driver en phishing-infrastruktur, der spænder over mere end 300 websteder.

Operationen er baseret på en yderst overbevisende kopi af FIFAs officielle hjemmeside. De falske sider efterligner nøje FIFAs PingIdentity-drevne single sign-on-system og bruger endda et legitimt klient-ID kopieret fra den rigtige platform. For at øge troværdigheden indlæses billeder direkte fra FIFAs servere, hvilket hjælper siderne med at undgå visse detektionsmetoder, der markerer kopieret indhold.

Den mest skadelige funktion er en svindelfunktion til nulstilling af adgangskoder. Ofre, der ubevidst indtaster deres loginoplysninger, overdrager kontrollen over deres konti til angribere, som derefter kan låse den retmæssige ejer ude og videresælge eventuelle tilknyttede billetter.

Trafikken drives primært via Facebook-annoncer, hvor identiske sporingsidentifikatorer vises på tværs af phishing-netværket. Yderligere besøgende ankommer via Telegram-kanaler, WhatsApp-beskeder og manipulerede søgeresultater.

Svindelinfrastrukturen accepterer betalinger via flere kanaler, herunder direkte korttransaktioner, tredjeparts betalingsgateways, pengeoverførselstjenester som Chime og Nequi, regionale mexicanske processorer og kryptovalutakonverteringssystemer. Kryptovalutamuligheden er særligt farlig, fordi det bliver betydeligt vanskeligere at inddrive stjålne midler.

Ét klart advarselstegn skiller sig ud: FIFAs officielle billetplatform accepterer ikke kryptovaluta. Enhver sælger, der anmoder om kryptobetalinger, bør betragtes som svindel.

Forskere anslår, at svindel med premium- og hotelbilletter alene kan generere tab på mellem 71 millioner og 474 millioner dollars. Baseret på omfanget af den opdagede infrastruktur kan de samlede skader potentielt nå milliarder af dollars, selvom disse tal forbliver fremskrivninger snarere end bekræftede tab.

Et voksende økosystem af svindel

Alene mellem januar og maj blev der registreret mere end 13.000 domæner med VM-tema, hvoraf cirka 8,8% blev identificeret som ondsindede eller mistænkelige.

FBI har allerede offentliggjort meddelelser, der oplister adskillige falske FIFA-relaterede domæner, herunder forkert stavede lookalike-websteder og falske FIFA-jobportaler. Efterforskere forventer, at yderligere ondsindede domæner vil dukke op, efterhånden som turneringen nærmer sig. Andre sikkerhedsteams har også identificeret tusindvis af falske websteder og mere end tusind falske profiler på sociale medier.

Billetsvindel repræsenterer kun én del af et meget større kriminelt økosystem. Svindlere driver også butikker med forfalskede varer, falske sportsvæddemålsplatforme og svindelagtige streamingtjenester, der ikke kun opkræver abonnementsgebyrer, men også distribuerer malware, der er i stand til at give angribere fjernkontrol over ofrenes enheder.

Yderligere svindelordninger omfatter falske FIFA-lotterimeddelelser, der lover præmier på op til 2 millioner dollars. Forskere har også identificeret et voksende phishing-as-a-service-marked, hvor kriminelle kan købe færdige svindelsæt og automatiserede bots til billetkøb, hvilket gør det lettere for nye aktører at komme ind i svindellandskabet.

Disse operationer er stærkt forbundne. Falske domæner opfanger billetrelaterede søgninger, annoncer og manipulerede søgeresultater genererer trafik, stjålne legitimationsdatabaser muliggør kontoovertagelser, og ondsindede mobilapplikationer forvandler en søgning efter gratis streams til banksvindel.

Streamingapps, der stjæler mere end blot opmærksomhed

For fans, der søger efter gratis VM-udsendelser, kan mobile enheder udgøre den største risiko.

Forskere observerede for nylig en stigning i antallet af ondsindede, uofficielle streamingapplikationer, der udgiver sig for at være populære tjenester som RojaDirecta, omkring UEFA Champions League-finalen. Lignende kampagner forventes at intensiveres under VM.

Mange af disse applikationer er blevet forbundet med Android-banktrojanere, herunder malwarefamilier kendt som Massiv og Perseus. Da disse apps ikke er tilgængelige via Google Play, skal brugerne omgå Androids indbyggede sikkerhedsadvarsler for at installere dem.

Når malwaren er installeret, misbruger den Android-tilgængelighedstjenester til at opnå omfattende kontrol over enheden. Angribere kan vise falske banklogin-sider i legitime applikationer, registrere tastetryk, opsnappe engangsgodkendelseskoder fra SMS-beskeder og godkendelsesapps og betjene enheden eksternt.

Perseus, som blev udviklet ved hjælp af lækket kildekode fra banktrojanen Cerberus, går endnu længere ved at søge i notetagningsapplikationer efter gemte adgangskoder og kryptovaluta-gendannelsesfraser.

En streamingapplikation, der anmoder om adgangstilladelser uden en legitim grund, bør behandles som en alvorlig sikkerhedsadvarsel.

Sociale medier bliver et jagtområde

Sociale medieplatforme er blevet en primær distributionskanal for VM-svindel.

Forskere har afdækket mere end 55 fodboldreklamekampagner på tværs af Facebook og Instagram, der promoverer forfalskede trøjer, falske Panini-samlerobjekter og phishing-websteder. Analyse af reklameinfrastrukturen har knyttet flere af disse operationer til kinesiske operatører.

Efterforskere har også katalogiseret mere end 1.700 falske FIFA-konti på sociale medier, hvoraf næsten 90% opererer på Facebook og Instagram. En bemærkelsesværdig kampagne brugte falske FIFA-jobannoncer og kalenderinvitationer til at omdirigere ansøgere til forfalskede Google-login-sider.

I mellemtiden cirkulerer stjålne FIFA-legitimationsoplysninger allerede på kriminelle markedspladser. Sikkerhedsforskere har knyttet hundredtusindvis af kompromitterede brugerkonti og mere end 4.600 FIFA-relaterede webadresser til malwarefamilier, der stjæler legitimationsoplysninger, såsom Vidar, LummaC2 og RedLine.

Risici ved offentlig Wi-Fi i værtsbyer

Trådløse netværk i VM-værtsbyerne introducerer et yderligere risikolag.

En undersøgelse foretaget i Mexico City, Monterrey og Guadalajara viste, at mellem 10 % og 12 % af de registrerede Wi-Fi-netværk var fuldstændig åbne og usikre. Næsten halvdelen havde stadig Wi-Fi Protected Setup (WPS) aktiveret, hvilket skabte yderligere angrebsmuligheder.

Disse svagheder gør det lettere for kriminelle at implementere 'onde tvillinger'-hotspots – ondsindede netværk designet til at imitere legitime Wi-Fi-adgangspunkter og i hemmelighed opsnappe brugertrafik.

Hvordan fans og organisationer kan forblive beskyttet

Flere advarselstegn kan hjælpe med at identificere VM-relaterede svindelnumre, før der sker skade:

  • Køb kun billetter via FIFA's officielle hjemmeside, og indtast webadressen manuelt i stedet for at stole på reklamer eller links i søgemaskiner. Aktiver multifaktorgodkendelse på FIFA-konti, og undgå at sælgere anmoder om kryptovalutabetalinger.
  • Undgå at installere uofficielle streaming-apps, især dem der anmoder om adgangstilladelser. Når du bruger offentlig Wi-Fi i værtsbyer, skal du stole på mobildata, når det er muligt, og undgå at få adgang til bankkonti, e-mails eller andre følsomme konti.

Organisationer har også en vigtig rolle at spille. Sikkerhedsteams bør overvåge nyregistrerede FIFA-tema-domæner, opdage falske login-sider, identificere medarbejdere eller kunder, der er eksponeret i Vidar-, LummaC2- eller RedLine-legitimationsdumps, og forberede svindelberedskabsteams på øgede billettvister og tilbagebetalingsaktivitet i løbet af turneringen.

Truslerne venter stadig på at blive aktiveret

Den måske mest bekymrende opdagelse er, at omkring 3.800 kendte falske FIFA-relaterede domæner forbliver inaktive og parkerede, klar til implementering når som helst.

Da phishing-kits, automatiserede bots og stjålne loginoplysninger allerede er bredt tilgængelige, forventer forskere, at perioden med den højeste risiko vil løbe fra 11. juni til 19. juli. I løbet af dette vindue vil søgninger efter billetter, rejsearrangementer og streamingtjenester nå deres højdepunkt, hvilket skaber ideelle betingelser for cyberkriminelle til at udvide deres aktiviteter.

Trending

Mest sete

Indlæser...