FIFA 2026-os világbajnokság átverés
Biztonsági kutatók és az FBI arra figyelmeztetnek, hogy a FIFA-témájú csalások nagyszabású hulláma már a 2026-os világbajnokság szurkolóit veszi célba, annak ellenére, hogy a torna csak június 11-én kezdődik.
Az esemény vonzó lehetőséget kínál a kiberbűnözők számára. Több mint hatmillió nézőre számítanak a mérkőzéseken az Egyesült Államok, Kanada és Mexikó 16 városában. A FIFA jelentése szerint az értékesítés első 15 napján több mint 150 millió jegyigénylés érkezett, ami nagyjából 30-szorosára növeli a rendelkezésre álló kínálatot. A szűkös jegykínálat, az aggódó szurkolók és a gyorsan lebonyolított tranzakciók ideális feltételeket teremtettek a nagyszabású csalásokhoz.
A legújabb vizsgálatok több ezer FIFA-témájú csalárd domaint, jogosulatlan streaming alkalmazásokba rejtett rosszindulatú programokat és kifinomult adathalász kampányokat tártak fel, amelyek képesek legitim FIFA-fiókok eltérítésére.
Tartalomjegyzék
A GHOST STADIUM adathalász hálózat felemelkedése
A kutatók több mint 4300, 2025 augusztusa óta regisztrált, FIFA-val kapcsolatos csalárd domaint azonosítottak. E tevékenység középpontjában egy pénzügyileg motivált, kínaiul beszélő csoport, a GHOST STADIUM áll, amely több mint 300 weboldalt felölelő adathalász infrastruktúrát üzemeltet.
A művelet a FIFA hivatalos weboldalának egy rendkívül meggyőző másolatára támaszkodik. A hamis oldalak szorosan utánozzák a FIFA PingIdentity-alapú egyszeri bejelentkezési rendszerét, sőt, egy valódi platformról másolt legitim kliensazonosítót használnak. A hitelesség növelése érdekében a képeket közvetlenül a FIFA szervereiről töltik be, így az oldalak kikerülhetik a másolt tartalmat jelző észlelési módszereket.
A legkárosabb tulajdonság egy csalárd jelszó-visszaállítási funkció. Az áldozatok, akik tudtukon kívül megadják hitelesítő adataikat, átadják fiókjaik feletti irányítást a támadóknak, akik ezután kizárhatják a jogos tulajdonost, és továbbértékesíthetik a kapcsolódó jegyeket.
A forgalmat elsősorban a Facebook-hirdetések generálják, azonos követőazonosítók jelennek meg az adathalász hálózaton keresztül. További látogatók érkeznek Telegram-csatornákon, WhatsApp-üzeneteken és manipulált keresési eredményeken keresztül.
A csaló infrastruktúra több csatornán keresztül fogad el fizetéseket, beleértve a közvetlen kártyás tranzakciókat, harmadik féltől származó fizetési átjárókat, pénzátutalási szolgáltatásokat, mint például a Chime és Nequi, regionális mexikói feldolgozókat és kriptovaluta-átváltó rendszereket. A kriptovaluta opció különösen veszélyes, mert az ellopott pénz visszaszerzése jelentősen nehezebbé válik.
Egyetlen egyértelmű figyelmeztető jel tűnik ki: a FIFA hivatalos jegyértékesítési platformja nem fogad el kriptovalutát. Minden olyan eladót, aki kriptovalutával fizet, csalónak kell tekinteni.
A kutatók becslése szerint a prémium és vendéglátóipari jegyekkel kapcsolatos csalások önmagukban 71 és 474 millió dollár közötti veszteséget okozhatnak. A felderített infrastruktúra nagyságrendjétől függően a teljes kár elérheti a több milliárd dollárt is, bár ezek a számok inkább előrejelzések, mint megerősített veszteségek.
A csalás növekvő ökoszisztémája
Csak január és május között több mint 13 000 világbajnokság témájú domaint regisztráltak, amelyek körülbelül 8,8%-át azonosították rosszindulatúként vagy gyanúsként.
Az FBI már közzétett figyelmeztetéseket, amelyek számos, a FIFA-val kapcsolatos csalárd domaint sorolnak fel, beleértve a hibásan írt hasonmás weboldalakat és a hamis FIFA-munkavállalási portálokat. A nyomozók további rosszindulatú domainek megjelenésére számítanak a torna közeledtével. Más biztonsági csapatok több ezer utánzatweboldalt és több mint ezer hamis közösségi média profilt is azonosítottak.
A jegyekkel kapcsolatos csalások csupán egy részét képezik egy sokkal nagyobb bűnözői ökoszisztémának. A csalók hamisított árucikkeket árusító üzleteket, hamis sportfogadási platformokat és csalárd streaming szolgáltatásokat is üzemeltetnek, amelyek nemcsak előfizetési díjakat számítanak fel, hanem olyan rosszindulatú programokat is terjesztenek, amelyek képesek távoli irányítást biztosítani a támadóknak az áldozatok eszközei felett.
További lehetséges csalások közé tartoznak a hamis FIFA-lottóértesítések, amelyek akár 2 millió dolláros nyereményeket is ígérnek. A kutatók egy bővülő adathalászati szolgáltatásként piacot is azonosítottak, ahol a bűnözők kész átverő készleteket és automatizált jegyvásárlási botokat vásárolhatnak, megkönnyítve az új szereplők számára a csalások világába való belépést.
Ezek a műveletek szorosan összefüggenek. A hamis domainek rögzítik a jegyekkel kapcsolatos kereséseket, a hirdetések és a manipulált keresési eredmények forgalmat generálnak, az ellopott hitelesítőadat-adatbázisok lehetővé teszik a fiókok átvételét, a rosszindulatú mobilalkalmazások pedig az ingyenes streamek keresését banki csalássá alakítják.
Streamingalkalmazások, amelyek többet rabolnak, mint a figyelmet
Az ingyenes világbajnokság-közvetítéseket kereső szurkolók számára a mobileszközök jelenthetik a legnagyobb kockázatot.
A kutatók a közelmúltban a rosszindulatú, nem hivatalos streaming alkalmazások számának növekedését figyelték meg, amelyek népszerű szolgáltatásoknak, például a RojaDirectának álcázva magukat jelentek meg az UEFA Bajnokok Ligája döntője környékén. Hasonló kampányok várhatóan fokozódni fognak a világbajnokság alatt.
Ezen alkalmazások közül sokat összefüggésbe hoztak Android banki trójai vírusokkal, beleértve a Massiv és a Perseus néven ismert kártevőcsaládokat is. Mivel ezek az alkalmazások nem érhetők el a Google Playen keresztül, a felhasználóknak meg kell kerülniük az Android beépített biztonsági figyelmeztetéseit a telepítésükhöz.
A telepítést követően a rosszindulatú program az Android akadálymentesítési szolgáltatásait kihasználva széleskörű irányítást szerez az eszköz felett. A támadók hamis banki bejelentkezési oldalakat jeleníthetnek meg legitim alkalmazásokon keresztül, rögzíthetik a billentyűleütéseket, lehallgathatnak egyszer használatos hitelesítési kódokat SMS-üzenetekből és hitelesítő alkalmazásokból, és távolról is működtethetik az eszközt.
A Cerberus banki trójai vírus kiszivárgott forráskódjával fejlesztett Perseus még tovább megy, mivel jegyzetelő alkalmazásokban keres tárolt jelszavakat és kriptovaluta-helyreállító kifejezéseket.
Egy streaming alkalmazás, amely jogos ok nélkül kér akadálymentesítési engedélyeket, komoly biztonsági figyelmeztetésként kezelendő.
A közösségi média vadászterületté válik
A közösségi média platformok a világbajnoksággal kapcsolatos csalások elsődleges terjesztési csatornájává váltak.
A kutatók több mint 55 futball témájú hirdetési kampányt tártak fel a Facebookon és az Instagramon, amelyek hamisított mezeket, hamis Panini gyűjthető tárgyakat és adathalász weboldalakat népszerűsítettek. A hirdetési infrastruktúra elemzése ezek közül többet kínai szolgáltatókhoz kötött.
A nyomozók több mint 1700 hamis FIFA közösségi média fiókot is katalogizáltak, amelyek közel 90%-a a Facebookon és az Instagramon működik. Az egyik figyelemre méltó kampány csalárd FIFA álláshirdetéseket és naptármeghívókat használt a jelentkezők hamis Google bejelentkezési oldalakra való átirányítására.
Eközben ellopott FIFA-hitelesítési adatok már keringenek a bűnözői piactereken. Biztonsági kutatók több százezer feltört felhasználói fiókot és több mint 4600 FIFA-val kapcsolatos webcímet kapcsoltak össze hitelesítő adatokat ellopó rosszindulatú programcsaládokkal, mint például a Vidar, a LummaC2 és a RedLine.
Nyilvános Wi-Fi kockázatok a fogadó városokban
A világbajnokságnak otthont adó városokban található vezeték nélküli hálózatok egy újabb kockázati réteget jelentenek.
Egy Mexikóvárosban, Monterreyben és Guadalajarában végzett felmérés szerint az észlelt Wi-Fi hálózatok 10-12%-a teljesen nyílt és nem biztonságos volt. Közel a felükön továbbra is engedélyezve volt a Wi-Fi Protected Setup (WPS), ami további támadási lehetőségeket teremtett.
Ezek a gyengeségek megkönnyítik a bűnözők számára az „ördögi ikerpár” hotspotjainak telepítését – ezek olyan rosszindulatú hálózatok, amelyek célja a legitim Wi-Fi hozzáférési pontok utánzása és a felhasználói forgalom titokban történő elfogása.
Hogyan maradhatnak védve a rajongók és a szervezetek?
Számos figyelmeztető jel segíthet a világbajnoksággal kapcsolatos csalások azonosításában, mielőtt kár keletkezne:
- Jegyeket csak a FIFA hivatalos weboldalán vásárolj, és a hirdetések vagy keresőmotor-linkek helyett manuálisan írd be a webcímet. Engedélyezd a többtényezős hitelesítést a FIFA-fiókokon, és kerüld el, hogy az eladók kriptovalutával történő fizetést kérjenek.
- Kerüld a nem hivatalos streaming alkalmazások telepítését, különösen azokat, amelyek akadálymentesítési engedélyeket kérnek. Amikor nyilvános Wi-Fi-t használsz a fogadó városokban, amikor csak lehetséges, hagyatkozz a mobil adatforgalomra, és kerüld a banki, e-mail vagy más bizalmas fiókok elérését.
A szervezeteknek is fontos szerepük van. A biztonsági csapatoknak figyelniük kell az újonnan regisztrált FIFA-témájú domaineket, fel kell ismerniük a csalárd bejelentkezési oldalakat, azonosítaniuk kell a Vidar, LummaC2 vagy RedLine hitelesítőadat-lerakókban érintett alkalmazottakat vagy ügyfeleket, és fel kell készíteniük a csalásokkal foglalkozó csapatokat a torna során megnövekedett jegyvitákra és visszaterhelési tevékenységekre.
A fenyegetések még mindig aktiválódásra várnak
Talán a legaggasztóbb megállapítás az, hogy nagyjából 3800 ismert, csalárd FIFA-val kapcsolatos domain inaktív és parkolt állapotban van, bármikor készen állva a telepítésre.
Mivel az adathalász készletek, az automatizált botok és az ellopott hitelesítő adatok már széles körben elérhetőek, a kutatók arra számítanak, hogy a legveszélyesebb időszak június 11. és július 19. között lesz. Ebben az időszakban a jegyekre, utazási tervekre és streaming szolgáltatásokra vonatkozó keresések érik el a csúcspontjukat, ideális feltételeket teremtve a kiberbűnözők számára működésük bővítéséhez.
