फीफा 2026 विश्व कप घोटाला
सुरक्षा शोधकर्ता और एफबीआई चेतावनी दे रहे हैं कि फीफा से संबंधित धोखाधड़ी की एक बड़े पैमाने पर लहर पहले से ही विश्व कप 2026 के प्रशंसकों को निशाना बना रही है, हालांकि टूर्नामेंट 11 जून तक शुरू नहीं होना है।
यह आयोजन साइबर अपराधियों के लिए एक आकर्षक अवसर प्रस्तुत करता है। अमेरिका, कनाडा और मैक्सिको के 16 शहरों में होने वाले मैचों में 60 लाख से अधिक दर्शकों के आने की उम्मीद है। फीफा ने बताया कि बिक्री शुरू होने के पहले 15 दिनों में ही 15 करोड़ से अधिक टिकटों के अनुरोध प्राप्त हुए, जिससे मांग उपलब्ध आपूर्ति से लगभग 30 गुना अधिक हो गई। टिकटों की कमी, उत्सुक प्रशंसक और तेजी से हो रहे लेन-देन ने बड़े पैमाने पर धोखाधड़ी के लिए आदर्श परिस्थितियाँ पैदा कर दी हैं।
हालिया जांचों में फीफा-थीम वाले हजारों फर्जी डोमेन, अनधिकृत स्ट्रीमिंग एप्लिकेशन के अंदर छिपे मैलवेयर और वैध फीफा खातों को हाईजैक करने में सक्षम परिष्कृत फ़िशिंग अभियानों का पता चला है।
विषयसूची
घोस्ट स्टेडियम फ़िशिंग नेटवर्क का उदय
शोधकर्ताओं ने अगस्त 2025 से पंजीकृत 4,300 से अधिक फर्जी फीफा-संबंधित डोमेन की पहचान की है। इस गतिविधि के केंद्र में घोस्ट स्टेडियम नामक एक वित्तीय रूप से प्रेरित चीनी भाषी समूह है, जो 300 से अधिक वेबसाइटों में फैले फ़िशिंग तंत्र का संचालन करता है।
यह ऑपरेशन फीफा की आधिकारिक वेबसाइट की बेहद विश्वसनीय प्रतिकृति पर आधारित है। नकली पेज फीफा के पिंगआइडेंटिटी-आधारित सिंगल साइन-ऑन सिस्टम की हूबहू नकल करते हैं और यहां तक कि असली प्लेटफॉर्म से कॉपी की गई वैध क्लाइंट आईडी का भी इस्तेमाल करते हैं। विश्वसनीयता बढ़ाने के लिए, छवियों को सीधे फीफा के सर्वरों से लोड किया जाता है, जिससे साइटें कॉपी की गई सामग्री को पहचानने वाले कुछ तरीकों से बच निकलती हैं।
सबसे खतरनाक विशेषता फर्जी पासवर्ड रीसेट फ़ंक्शन है। पीड़ित अनजाने में अपने क्रेडेंशियल दर्ज करके अपने खातों का नियंत्रण हमलावरों को सौंप देते हैं, जो तब असली मालिक को लॉक आउट कर सकते हैं और संबंधित टिकटों को बेच सकते हैं।
ट्रैफ़िक मुख्य रूप से फेसबुक विज्ञापनों के माध्यम से आता है, और फ़िशिंग नेटवर्क पर समान ट्रैकिंग पहचानकर्ता दिखाई देते हैं। इसके अतिरिक्त आगंतुक टेलीग्राम चैनलों, व्हाट्सएप संदेशों और हेरफेर किए गए खोज परिणामों के माध्यम से आते हैं।
इस घोटाले में कई माध्यमों से भुगतान स्वीकार किया जाता है, जिनमें सीधे कार्ड से लेनदेन, तृतीय-पक्ष भुगतान गेटवे, Chime और Nequi जैसी धन हस्तांतरण सेवाएं, क्षेत्रीय मैक्सिकन प्रोसेसर और क्रिप्टोकरेंसी रूपांतरण प्रणाली शामिल हैं। क्रिप्टोकरेंसी का विकल्प विशेष रूप से खतरनाक है क्योंकि चोरी की गई धनराशि को पुनः प्राप्त करना काफी मुश्किल हो जाता है।
एक स्पष्ट चेतावनी का संकेत मिलता है: फीफा का आधिकारिक टिकटिंग प्लेटफॉर्म क्रिप्टोकरेंसी स्वीकार नहीं करता है। क्रिप्टोकरेंसी से भुगतान मांगने वाले किसी भी विक्रेता को धोखाधड़ी करने वाला माना जाना चाहिए।
शोधकर्ताओं का अनुमान है कि केवल प्रीमियम और हॉस्पिटैलिटी टिकटों में धोखाधड़ी से ही 71 मिलियन डॉलर से लेकर 474 मिलियन डॉलर तक का नुकसान हो सकता है। खोजी गई बुनियादी संरचना के पैमाने के आधार पर, कुल नुकसान अरबों डॉलर तक पहुंच सकता है, हालांकि ये आंकड़े अभी अनुमानित हैं, पुष्ट नुकसान नहीं।
धोखाधड़ी का बढ़ता हुआ तंत्र
जनवरी से मई के बीच ही विश्व कप से संबंधित 13,000 से अधिक डोमेन पंजीकृत किए गए, जिनमें से लगभग 8.8% को दुर्भावनापूर्ण या संदिग्ध के रूप में पहचाना गया।
एफबीआई ने पहले ही फीफा से संबंधित कई फर्जी डोमेन की सूची जारी कर चेतावनी दी है, जिनमें गलत वर्तनी वाली मिलती-जुलती वेबसाइटें और फर्जी फीफा रोजगार पोर्टल शामिल हैं। जांचकर्ताओं को आशंका है कि टूर्नामेंट नजदीक आने के साथ ही और भी खतरनाक डोमेन सामने आएंगे। अन्य सुरक्षा टीमों ने भी हजारों नकली वेबसाइटों और एक हजार से अधिक फर्जी सोशल मीडिया प्रोफाइल की पहचान की है।
टिकट घोटाले एक बहुत बड़े आपराधिक तंत्र का मात्र एक हिस्सा हैं। जालसाज नकली सामान की दुकानें, फर्जी खेल सट्टेबाजी प्लेटफॉर्म और धोखाधड़ी वाली स्ट्रीमिंग सेवाएं भी चला रहे हैं जो न केवल सदस्यता शुल्क वसूलती हैं बल्कि मैलवेयर भी फैलाती हैं जो हमलावरों को पीड़ितों के उपकरणों पर दूरस्थ नियंत्रण प्रदान करने में सक्षम है।
अन्य योजनाओं में फर्जी फीफा लॉटरी सूचनाएं शामिल हैं जिनमें 20 लाख डॉलर तक के पुरस्कार का वादा किया जाता है। शोधकर्ताओं ने फ़िशिंग-एज़-ए-सर्विस के बढ़ते बाज़ार की भी पहचान की है, जहाँ अपराधी तैयार धोखाधड़ी किट और स्वचालित टिकट-खरीदने वाले बॉट खरीद सकते हैं, जिससे नए अपराधियों के लिए धोखाधड़ी के क्षेत्र में प्रवेश करना आसान हो जाता है।
ये सभी गतिविधियां आपस में गहराई से जुड़ी हुई हैं। फर्जी डोमेन टिकट से संबंधित खोजों को हथिया लेते हैं, विज्ञापन और हेरफेर किए गए खोज परिणाम ट्रैफिक उत्पन्न करते हैं, चोरी किए गए क्रेडेंशियल डेटाबेस खातों पर कब्ज़ा करने में सक्षम बनाते हैं, और दुर्भावनापूर्ण मोबाइल एप्लिकेशन मुफ्त स्ट्रीमिंग की खोज को बैंकिंग धोखाधड़ी में बदल देते हैं।
स्ट्रीमिंग ऐप्स जो सिर्फ ध्यान ही नहीं चुराते, बल्कि और भी बहुत कुछ चुरा लेते हैं
विश्व कप के मुफ्त प्रसारण की तलाश कर रहे प्रशंसकों के लिए, मोबाइल उपकरण सबसे बड़ा जोखिम पेश कर सकते हैं।
शोधकर्ताओं ने हाल ही में यूईएफए चैंपियंस लीग फाइनल के दौरान रोजाडायरेक्टा जैसी लोकप्रिय सेवाओं के रूप में छद्मवेश धारण करने वाले दुर्भावनापूर्ण अनौपचारिक स्ट्रीमिंग एप्लिकेशन की संख्या में अचानक वृद्धि देखी। विश्व कप के दौरान भी इसी तरह के अभियान तेज होने की आशंका है।
इनमें से कई एप्लिकेशन एंड्रॉइड बैंकिंग ट्रोजन से जुड़े हुए हैं, जिनमें मैसिव और पर्सियस जैसे मैलवेयर परिवार शामिल हैं। चूंकि ये ऐप्स गूगल प्ले पर उपलब्ध नहीं हैं, इसलिए उपयोगकर्ताओं को इन्हें इंस्टॉल करने के लिए एंड्रॉइड की अंतर्निहित सुरक्षा चेतावनियों को बायपास करना होगा।
एक बार इंस्टॉल हो जाने के बाद, यह मैलवेयर एंड्रॉइड की एक्सेसिबिलिटी सेवाओं का दुरुपयोग करके डिवाइस पर व्यापक नियंत्रण हासिल कर लेता है। हमलावर वैध एप्लिकेशनों पर नकली बैंकिंग लॉगिन पेज प्रदर्शित कर सकते हैं, कीस्ट्रोक्स रिकॉर्ड कर सकते हैं, एसएमएस संदेशों और ऑथेंटिकेटर ऐप्स से वन-टाइम ऑथेंटिकेशन कोड को इंटरसेप्ट कर सकते हैं और डिवाइस को दूर से संचालित कर सकते हैं।
सेर्बेरस बैंकिंग ट्रोजन से लीक हुए सोर्स कोड का उपयोग करके विकसित किया गया पर्सियस, नोट लेने वाले एप्लिकेशन में संग्रहीत पासवर्ड और क्रिप्टोकरेंसी रिकवरी वाक्यांशों की खोज करके और भी आगे जाता है।
बिना किसी वैध कारण के एक्सेसिबिलिटी अनुमतियों का अनुरोध करने वाले स्ट्रीमिंग एप्लिकेशन को एक बड़ी सुरक्षा चेतावनी के रूप में माना जाना चाहिए।
सोशल मीडिया शिकारगाह बन गया है
विश्व कप से संबंधित घोटालों के लिए सोशल मीडिया प्लेटफॉर्म एक प्रमुख वितरण चैनल बन गए हैं।
शोधकर्ताओं ने फेसबुक और इंस्टाग्राम पर नकली जर्सी, नकली पैनीनी संग्रहणीय वस्तुएं और फ़िशिंग वेबसाइटों को बढ़ावा देने वाले फुटबॉल-थीम वाले 55 से अधिक विज्ञापन अभियानों का पता लगाया है। विज्ञापन अवसंरचना के विश्लेषण से इनमें से कई अभियानों का चीनी संचालकों से संबंध पाया गया है।
जांचकर्ताओं ने 1,700 से अधिक फर्जी फीफा सोशल मीडिया खातों का भी पता लगाया है, जिनमें से लगभग 90% फेसबुक और इंस्टाग्राम पर संचालित होते हैं। एक उल्लेखनीय अभियान में फर्जी फीफा नौकरी विज्ञापनों और कैलेंडर आमंत्रणों का उपयोग करके आवेदकों को नकली गूगल लॉगिन पृष्ठों पर पुनर्निर्देशित किया गया था।
इस बीच, चोरी किए गए फीफा क्रेडेंशियल्स आपराधिक संगठनों में फैल रहे हैं। सुरक्षा शोधकर्ताओं ने लाखों प्रभावित उपयोगकर्ता खातों और 4,600 से अधिक फीफा-संबंधित वेब पतों को विदार, लुम्मासी2 और रेडलाइन जैसे क्रेडेंशियल चुराने वाले मैलवेयर परिवारों से जोड़ा है।
मेजबान शहरों में सार्वजनिक वाई-फाई के जोखिम
विश्व कप की मेजबानी करने वाले शहरों में वायरलेस नेटवर्क एक और तरह का जोखिम पैदा करते हैं।
मेक्सिको सिटी, मॉन्टेरी और ग्वाडालाजारा में किए गए एक सर्वेक्षण में पाया गया कि पता लगाए गए वाई-फाई नेटवर्कों में से 10% से 12% पूरी तरह से खुले और असुरक्षित थे। लगभग आधे नेटवर्कों में वाई-फाई प्रोटेक्टेड सेटअप (WPS) सक्षम था, जिससे हमले के अतिरिक्त अवसर पैदा हो रहे थे।
इन कमजोरियों के कारण अपराधियों के लिए 'ईविल ट्विन' हॉटस्पॉट तैनात करना आसान हो जाता है - ये दुर्भावनापूर्ण नेटवर्क होते हैं जिन्हें वैध वाई-फाई एक्सेस पॉइंट की नकल करने और उपयोगकर्ता के ट्रैफिक को गुप्त रूप से इंटरसेप्ट करने के लिए डिज़ाइन किया गया है।
प्रशंसक और संगठन कैसे सुरक्षित रह सकते हैं
विश्व कप से संबंधित घोटालों को नुकसान होने से पहले पहचानने में कई चेतावनी संकेत मदद कर सकते हैं:
- टिकट केवल FIFA की आधिकारिक वेबसाइट से ही खरीदें और विज्ञापनों या सर्च इंजन लिंक पर निर्भर रहने के बजाय वेबसाइट का पता मैन्युअल रूप से दर्ज करें। FIFA खातों पर मल्टी-फैक्टर ऑथेंटिकेशन चालू करें और क्रिप्टोकरेंसी भुगतान मांगने वाले किसी भी विक्रेता से बचें।
- अनौपचारिक स्ट्रीमिंग एप्लिकेशन इंस्टॉल करने से बचें, खासकर वे जो एक्सेसिबिलिटी अनुमतियाँ मांगते हैं। मेजबान शहरों में सार्वजनिक वाई-फाई का उपयोग करते समय, जहाँ तक संभव हो मोबाइल डेटा का उपयोग करें और बैंकिंग, ईमेल या अन्य संवेदनशील खातों तक पहुँचने से बचें।
संगठनों की भी इसमें महत्वपूर्ण भूमिका है। सुरक्षा टीमों को नए पंजीकृत फीफा-थीम वाले डोमेन की निगरानी करनी चाहिए, धोखाधड़ी वाले लॉगिन पेजों का पता लगाना चाहिए, विदार, लुम्मासी2 या रेडलाइन क्रेडेंशियल डंप में उजागर हुए कर्मचारियों या ग्राहकों की पहचान करनी चाहिए और टूर्नामेंट के दौरान टिकट विवादों और चार्जबैक गतिविधियों में वृद्धि के लिए धोखाधड़ी प्रतिक्रिया टीमों को तैयार करना चाहिए।
वे खतरे जो अभी भी सक्रिय होने की प्रतीक्षा कर रहे हैं
शायद सबसे चिंताजनक बात यह है कि फीफा से संबंधित लगभग 3,800 ज्ञात फर्जी डोमेन निष्क्रिय और पार्क किए हुए हैं, जो किसी भी समय उपयोग के लिए तैयार हैं।
फ़िशिंग किट, स्वचालित बॉट और चोरी किए गए क्रेडेंशियल पहले से ही व्यापक रूप से उपलब्ध होने के कारण, शोधकर्ताओं का अनुमान है कि सबसे अधिक जोखिम वाला समय 11 जून से 19 जुलाई तक रहेगा। इस दौरान, टिकटों, यात्रा व्यवस्थाओं और स्ट्रीमिंग सेवाओं की खोज अपने चरम पर पहुंच जाएगी, जिससे साइबर अपराधियों को अपने संचालन का विस्तार करने के लिए आदर्श परिस्थितियां मिलेंगी।
