Truffa dei Mondiali FIFA 2026

Esperti di sicurezza e l'FBI avvertono che una vasta ondata di frodi a tema FIFA sta già prendendo di mira i tifosi dei Mondiali del 2026, nonostante il torneo non inizi prima dell'11 giugno.

L'evento rappresenta un'opportunità allettante per i criminali informatici. Si prevede che oltre sei milioni di spettatori assisteranno alle partite in 16 città tra Stati Uniti, Canada e Messico. La FIFA ha riferito di aver ricevuto oltre 150 milioni di richieste di biglietti nei primi 15 giorni di vendita, con una domanda circa 30 volte superiore all'offerta disponibile. La scarsità di biglietti, l'ansia dei tifosi e la rapidità delle transazioni hanno creato le condizioni ideali per frodi su larga scala.

Recenti indagini hanno portato alla luce migliaia di domini fraudolenti a tema FIFA, malware nascosti all'interno di applicazioni di streaming non autorizzate e sofisticate campagne di phishing in grado di impossessarsi di account FIFA legittimi.

L’ascesa della rete di phishing GHOST STADIUM

I ricercatori hanno identificato oltre 4.300 domini fraudolenti legati alla FIFA registrati dall'agosto 2025. Al centro di questa attività si trova un gruppo di lingua cinese a scopo di lucro noto come GHOST STADIUM, che gestisce un'infrastruttura di phishing che si estende su oltre 300 siti web.

L'operazione si basa su una replica estremamente convincente del sito web ufficiale della FIFA. Le pagine false imitano fedelmente il sistema di single sign-on della FIFA basato su PingIdentity e utilizzano persino un ID client legittimo copiato dalla piattaforma reale. Per aumentare la credibilità, le immagini vengono caricate direttamente dai server della FIFA, consentendo ai siti di eludere alcuni metodi di rilevamento che identificano i contenuti copiati.

La caratteristica più dannosa è una funzione fraudolenta di reimpostazione della password. Le vittime che inseriscono inconsapevolmente le proprie credenziali cedono il controllo dei loro account agli aggressori, i quali possono quindi bloccare l'accesso al legittimo proprietario e rivendere i biglietti associati.

Il traffico proviene principalmente dalle inserzioni pubblicitarie di Facebook, con identificativi di tracciamento identici che compaiono in tutta la rete di phishing. Ulteriori visitatori arrivano tramite canali Telegram, messaggi WhatsApp e risultati di ricerca manipolati.

L'infrastruttura fraudolenta accetta pagamenti attraverso molteplici canali, tra cui transazioni dirette con carta, gateway di pagamento di terze parti, servizi di trasferimento di denaro come Chime e Nequi, processori regionali messicani e sistemi di conversione in criptovalute. L'opzione delle criptovalute è particolarmente pericolosa perché il recupero dei fondi rubati risulta significativamente più difficile.

Un chiaro segnale d'allarme salta subito all'occhio: la piattaforma ufficiale di biglietteria della FIFA non accetta criptovalute. Qualsiasi venditore che richieda pagamenti in criptovalute dovrebbe essere considerato fraudolento.

I ricercatori stimano che le sole frodi relative ai biglietti premium e ai pacchetti hospitality potrebbero generare perdite comprese tra 71 e 474 milioni di dollari. Data la portata dell'infrastruttura scoperta, i danni totali potrebbero potenzialmente raggiungere miliardi di dollari, sebbene queste cifre rimangano proiezioni e non perdite confermate.

Un ecosistema di frode in espansione

Solo tra gennaio e maggio, sono stati registrati oltre 13.000 domini a tema Coppa del Mondo, di cui circa l'8,8% è stato identificato come dannoso o sospetto.

L'FBI ha già pubblicato avvisi che elencano numerosi domini fraudolenti legati alla FIFA, tra cui siti web simili con errori di ortografia e falsi portali di offerte di lavoro FIFA. Gli investigatori prevedono che emergeranno ulteriori domini dannosi con l'avvicinarsi del torneo. Anche altri team di sicurezza hanno identificato migliaia di siti web contraffatti e oltre mille profili falsi sui social media.

Le truffe sui biglietti rappresentano solo una parte di un ecosistema criminale molto più ampio. I truffatori gestiscono anche negozi di merce contraffatta, false piattaforme di scommesse sportive e servizi di streaming fraudolenti che non solo richiedono abbonamenti a pagamento, ma distribuiscono anche malware in grado di consentire agli aggressori di ottenere il controllo remoto dei dispositivi delle vittime.

Tra le altre truffe, si segnalano le false notifiche della lotteria FIFA che promettono premi fino a 2 milioni di dollari. I ricercatori hanno inoltre individuato un mercato in espansione del "phishing come servizio", in cui i criminali possono acquistare kit di truffa già pronti e bot per l'acquisto automatico di biglietti, facilitando così l'ingresso di nuovi soggetti nel panorama delle frodi.

Queste operazioni sono strettamente interconnesse. I domini falsi catturano le ricerche relative ai biglietti, la pubblicità e i risultati di ricerca manipolati generano traffico, i database di credenziali rubati consentono l'acquisizione degli account e le applicazioni mobili dannose trasformano una ricerca di streaming gratuiti in una frode bancaria.

App di streaming che rubano più della semplice attenzione

Per i tifosi alla ricerca di trasmissioni gratuite dei Mondiali, i dispositivi mobili potrebbero rappresentare il rischio maggiore.

I ricercatori hanno recentemente osservato un'impennata di applicazioni di streaming non ufficiali e dannose, che si spacciavano per servizi popolari come RojaDirecta, in concomitanza con la finale di UEFA Champions League. Si prevede che campagne simili si intensificheranno durante i Mondiali di calcio.

Molte di queste applicazioni sono state collegate a trojan bancari per Android, incluse le famiglie di malware note come Massiv e Perseus. Poiché queste app non sono disponibili tramite Google Play, gli utenti devono aggirare gli avvisi di sicurezza integrati di Android per installarle.

Una volta installato, il malware sfrutta i servizi di accessibilità di Android per ottenere un controllo esteso sul dispositivo. Gli aggressori possono visualizzare false pagine di accesso bancario al posto di applicazioni legittime, registrare i tasti premuti, intercettare i codici di autenticazione monouso da messaggi SMS e app di autenticazione e controllare il dispositivo da remoto.

Perseus, sviluppato utilizzando il codice sorgente trapelato del trojan bancario Cerberus, si spinge ancora oltre, cercando nelle applicazioni per prendere appunti le password memorizzate e le frasi di recupero delle criptovalute.

Un'applicazione di streaming che richiede autorizzazioni di accessibilità senza una ragione legittima dovrebbe essere considerata un grave segnale di allarme per la sicurezza.

I social media diventano un terreno di caccia

Le piattaforme dei social media sono diventate un canale di distribuzione primario per le truffe legate ai Mondiali di calcio.

I ricercatori hanno scoperto oltre 55 campagne pubblicitarie a tema calcistico su Facebook e Instagram che promuovevano maglie contraffatte, falsi oggetti da collezione Panini e siti web di phishing. L'analisi dell'infrastruttura pubblicitaria ha collegato diverse di queste operazioni a operatori cinesi.

Gli investigatori hanno inoltre catalogato più di 1.700 account falsi della FIFA sui social media, quasi il 90% dei quali opera su Facebook e Instagram. Una campagna degna di nota ha utilizzato annunci di lavoro e inviti al calendario fraudolenti della FIFA per reindirizzare i candidati a pagine di accesso contraffatte di Google.

Nel frattempo, le credenziali FIFA rubate stanno già circolando nei mercati criminali. I ricercatori di sicurezza hanno collegato centinaia di migliaia di account utente compromessi e oltre 4.600 indirizzi web correlati alla FIFA a famiglie di malware specializzate nel furto di credenziali, come Vidar, LummaC2 e RedLine.

Rischi legati al Wi-Fi pubblico nelle città ospitanti

Le reti wireless nelle città che ospitano i Mondiali introducono un ulteriore livello di rischio.

Un'indagine condotta a Città del Messico, Monterrey e Guadalajara ha rilevato che tra il 10% e il 12% delle reti Wi-Fi individuate erano completamente aperte e non protette. Quasi la metà di queste reti aveva ancora la protezione Wi-Fi (WPS) attiva, creando ulteriori opportunità di attacco.

Queste debolezze facilitano ai criminali la creazione di hotspot "gemelli malvagi", ovvero reti dannose progettate per imitare punti di accesso Wi-Fi legittimi e intercettare segretamente il traffico degli utenti.

Come tifosi e organizzazioni possono proteggersi

Diversi segnali d'allarme possono aiutare a identificare le truffe legate ai Mondiali prima che si verifichino danni:

• Acquista i biglietti esclusivamente tramite il sito web ufficiale della FIFA e inserisci manualmente l'indirizzo web, anziché affidarti a pubblicità o link provenienti dai motori di ricerca. Attiva l'autenticazione a più fattori sui tuoi account FIFA ed evita qualsiasi venditore che richieda pagamenti in criptovaluta.
• Evitate di installare applicazioni di streaming non ufficiali, in particolare quelle che richiedono autorizzazioni di accessibilità. Quando utilizzate il Wi-Fi pubblico nelle città ospitanti, affidatevi alla connessione dati mobile quando possibile ed evitate di accedere a conti bancari, email o altri account sensibili.

Anche le organizzazioni hanno un ruolo importante da svolgere. I team di sicurezza dovrebbero monitorare i domini a tema FIFA appena registrati, individuare le pagine di accesso fraudolente, identificare i dipendenti o i clienti esposti a furti di credenziali da parte di Vidar, LummaC2 o RedLine e preparare i team di risposta alle frodi ad affrontare l'aumento delle contestazioni sui biglietti e delle attività di chargeback durante il torneo.

Le minacce sono ancora in attesa di attivarsi

Forse il dato più preoccupante è che circa 3.800 domini fraudolenti noti, legati alla FIFA, rimangono inattivi e parcheggiati, pronti per essere utilizzati in qualsiasi momento.

Considerata la già ampia disponibilità di kit di phishing, bot automatizzati e credenziali rubate, i ricercatori prevedono che il periodo di maggior rischio andrà dall'11 giugno al 19 luglio. In questo lasso di tempo, le ricerche di biglietti, prenotazioni di viaggi e servizi di streaming raggiungeranno il picco, creando le condizioni ideali per l'espansione delle attività dei criminali informatici.