Prijevara oko FIFA Svjetskog prvenstva 2026.
Istraživači sigurnosti i FBI upozoravaju da je veliki val prijevara s temom FIFA-e već usmjeren na navijače Svjetskog prvenstva 2026., unatoč tome što turnir počinje tek 11. lipnja.
Događaj predstavlja atraktivnu priliku za kibernetičke kriminalce. Očekuje se da će više od šest milijuna gledatelja prisustvovati utakmicama u 16 gradova u Sjedinjenim Državama, Kanadi i Meksiku. FIFA je izvijestila da je primila preko 150 milijuna zahtjeva za ulaznice u prvih 15 dana prodaje, što je potražnju učinilo otprilike 30 puta većom od dostupne ponude. Rijetke ulaznice, zabrinuti navijači i brzo odvijajuće transakcije stvorili su idealne uvjete za velike prijevare.
Nedavne istrage otkrile su tisuće lažnih domena s temom FIFA-e, zlonamjerni softver skriven unutar neovlaštenih aplikacija za streaming i sofisticirane phishing kampanje sposobne za preuzimanje legitimnih FIFA računa.
Sadržaj
Uspon phishing mreže GHOST STADIUM
Istraživači su identificirali više od 4300 lažnih domena povezanih s FIFA-om registriranih od kolovoza 2025. U središtu ove aktivnosti je financijski motivirana kineska skupina poznata kao GHOST STADIUM, koja upravlja phishing infrastrukturom koja obuhvaća više od 300 web stranica.
Operacija se oslanja na vrlo uvjerljivu repliku službene FIFA-ine web stranice. Lažne stranice vjerno oponašaju FIFA-in sustav jedinstvene prijave pokretan PingIdentityjem, pa čak koriste i legitimni ID klijenta kopiran sa stvarne platforme. Kako bi se povećala vjerodostojnost, slike se učitavaju izravno s FIFA-inih poslužitelja, što pomaže stranicama da izbjegnu neke metode otkrivanja koje označavaju kopirani sadržaj.
Najštetnija značajka je lažna funkcija resetiranja lozinke. Žrtve koje nesvjesno unesu svoje podatke predaju kontrolu nad svojim računima napadačima, koji zatim mogu zaključati zakonitog vlasnika i preprodati sve povezane ulaznice.
Promet se prvenstveno ostvaruje putem Facebook oglasa, s identičnim identifikatorima praćenja koji se pojavljuju diljem phishing mreže. Dodatni posjetitelji dolaze putem Telegram kanala, WhatsApp poruka i manipuliranih rezultata pretraživanja.
Infrastruktura prijevare prihvaća plaćanja putem više kanala, uključujući izravne transakcije karticama, platne sustave trećih strana, usluge prijenosa novca poput Chimea i Nequija, regionalne meksičke procesore i sustave za konverziju kriptovaluta. Opcija s kriptovalutama posebno je opasna jer povrat ukradenih sredstava postaje znatno teži.
Jedan jasan znak upozorenja ističe se: FIFA-ina službena platforma za prodaju ulaznica ne prihvaća kriptovalute. Svaki prodavač koji traži kripto plaćanja trebao bi se smatrati prijevarom.
Istraživači procjenjuju da bi samo prijevare s premium i ugostiteljskim ulaznicama mogle generirati gubitke u rasponu od 71 milijuna do 474 milijuna dolara. Na temelju opsega otkrivene infrastrukture, ukupna šteta mogla bi potencijalno doseći milijarde dolara, iako su te brojke još uvijek projekcije, a ne potvrđeni gubici.
Rastući ekosustav prijevara
Samo između siječnja i svibnja registrirano je više od 13 000 domena s temom Svjetskog prvenstva, a otprilike 8,8% ih je identificirano kao zlonamjerno ili sumnjivo.
FBI je već objavio upozorenja u kojima se navode brojne lažne domene povezane s FIFA-om, uključujući pogrešno napisane web stranice slične domenama i lažne FIFA-ine portale za zapošljavanje. Istražitelji očekuju da će se pojaviti dodatne zlonamjerne domene kako se turnir približava. Drugi sigurnosni timovi također su identificirali tisuće lažnih web stranica i više od tisuću lažnih profila na društvenim mrežama.
Prijevare s ulaznicama predstavljaju samo jedan dio mnogo većeg kriminalnog ekosustava. Prevaranti također upravljaju trgovinama krivotvorene robe, lažnim platformama za sportsko klađenje i lažnim streaming servisima koji ne samo da naplaćuju pretplate već i distribuiraju zlonamjerni softver koji napadačima može dati daljinsku kontrolu nad uređajima žrtava.
Dodatne sheme uključuju lažne obavijesti o FIFA lutriji koje obećavaju nagrade do 2 milijuna dolara. Istraživači su također identificirali rastuće tržište phishinga kao usluge gdje kriminalci mogu kupiti gotove setove za prijevare i automatizirane botove za kupnju ulaznica, što novim akterima olakšava ulazak u krajolik prijevara.
Ove su operacije usko povezane. Lažne domene hvataju pretraživanja povezana s ulaznicama, oglasi i manipulirani rezultati pretraživanja generiraju promet, ukradene baze podataka vjerodajnica omogućuju preuzimanje računa, a zlonamjerne mobilne aplikacije pretvaraju potragu za besplatnim streamovima u bankarsku prijevaru.
Streaming aplikacije koje kradu više od samo pažnje
Za navijače koji traže besplatne prijenose Svjetskog prvenstva, mobilni uređaji mogu predstavljati najveći rizik.
Istraživači su nedavno primijetili porast zlonamjernih neslužbenih streaming aplikacija koje se maskiraju kao popularne usluge poput RojaDirecta oko finala UEFA Lige prvaka. Očekuje se da će se slične kampanje intenzivirati tijekom Svjetskog prvenstva.
Mnoge od ovih aplikacija povezane su s Android bankarskim trojancima, uključujući obitelji zlonamjernog softvera poznate kao Massiv i Perseus. Budući da te aplikacije nisu dostupne putem Google Playa, korisnici moraju zaobići ugrađena sigurnosna upozorenja Androida kako bi ih instalirali.
Nakon instalacije, zlonamjerni softver zloupotrebljava Androidove usluge pristupačnosti kako bi stekao opsežnu kontrolu nad uređajem. Napadači mogu prikazati lažne stranice za prijavu u bankarstvo preko legitimnih aplikacija, snimati pritiske tipki, presresti jednokratne autentifikacijske kodove iz SMS poruka i aplikacija za autentifikaciju te daljinski upravljati uređajem.
Perseus, koji je razvijen korištenjem procurelog izvornog koda bankarskog trojanca Cerberus, ide još dalje pretražujući aplikacije za bilješke za pohranjene lozinke i fraze za oporavak kriptovaluta.
Aplikacija za strujanje koja traži dopuštenja za pristup bez legitimnog razloga treba se tretirati kao ozbiljno sigurnosno upozorenje.
Društvene mreže postaju lovište
Platforme društvenih medija postale su primarni distribucijski kanal za prevare vezane uz Svjetsko prvenstvo.
Istraživači su otkrili više od 55 reklamnih kampanja s nogometnom tematikom na Facebooku i Instagramu koje promoviraju krivotvorene dresove, lažne kolekcionarske predmete marke Panini i phishing web stranice. Analiza reklamne infrastrukture povezala je nekoliko ovih operacija s kineskim operaterima.
Istražitelji su također katalogizirali više od 1700 lažnih FIFA-inih računa na društvenim mrežama, od kojih gotovo 90% funkcionira na Facebooku i Instagramu. Jedna značajna kampanja koristila je lažne FIFA-ine oglase za posao i pozivnice u kalendaru kako bi preusmjerila kandidate na lažne Google stranice za prijavu.
U međuvremenu, ukradene FIFA-ine vjerodajnice već kruže na kriminalnim tržištima. Sigurnosni istraživači povezali su stotine tisuća kompromitiranih korisničkih računa i više od 4600 web adresa povezanih s FIFA-om s obiteljima zlonamjernog softvera za krađu vjerodajnica kao što su Vidar, LummaC2 i RedLine.
Rizici javnog Wi-Fi-ja u gradovima domaćinima
Bežične mreže u gradovima domaćinima Svjetskog prvenstva uvode još jedan sloj rizika.
Istraživanje provedeno u Mexico Cityju, Monterreyu i Guadalajari pokazalo je da je između 10% i 12% otkrivenih Wi-Fi mreža bilo potpuno otvoreno i neosigurano. Gotovo polovica ih je i dalje imala omogućen Wi-Fi Protected Setup (WPS), što je stvaralo dodatne mogućnosti za napad.
Ove slabosti olakšavaju kriminalcima postavljanje „zlih blizanačkih“ žarišnih točaka – zlonamjernih mreža osmišljenih za imitiranje legitimnih Wi-Fi pristupnih točaka i tajno presretanje korisničkog prometa.
Kako navijači i organizacije mogu ostati zaštićeni
Nekoliko znakova upozorenja može pomoći u prepoznavanju prijevara povezanih sa Svjetskim prvenstvom prije nego što dođe do štete:
- Kupujte ulaznice samo putem službene FIFA-ine web stranice i ručno unesite web adresu umjesto da se oslanjate na oglase ili poveznice u tražilicama. Omogućite višefaktorsku autentifikaciju na FIFA računima i izbjegavajte da bilo koji prodavatelj traži plaćanje kriptovalutama.
- Izbjegavajte instaliranje neslužbenih aplikacija za streaming, posebno onih koje zahtijevaju dopuštenja za pristup. Kada koristite javni Wi-Fi u gradovima domaćinima, oslanjajte se na mobilne podatke kad god je to moguće i izbjegavajte pristup bankovnim računima, e-pošti ili drugim osjetljivim računima.
Organizacije također imaju važnu ulogu. Sigurnosni timovi trebali bi pratiti novoregistrirane domene s temom FIFA-e, otkrivati lažne stranice za prijavu, identificirati zaposlenike ili kupce izložene u Vidar, LummaC2 ili RedLine izvatcima vjerodajnica te pripremiti timove za odgovor na prijevare za povećane sporove oko ulaznica i aktivnosti povrata sredstava tijekom turnira.
Prijetnje koje još čekaju da se aktiviraju
Možda najzabrinjavajući nalaz je da otprilike 3800 poznatih lažnih domena povezanih s FIFA-om ostaje neaktivno i parkirano, spremno za korištenje u bilo kojem trenutku.
S obzirom na to da su phishing setovi, automatizirani botovi i ukradeni podaci već široko dostupni, istraživači očekuju da će razdoblje najvećeg rizika trajati od 11. lipnja do 19. srpnja. Tijekom tog razdoblja, pretraživanja karata, putnih aranžmana i usluga streaminga dosegnut će vrhunac, stvarajući idealne uvjete za širenje poslovanja kibernetičkih kriminalaca.
