FIFA 2026 pasaulio taurės sukčiavimas
Saugumo tyrėjai ir FTB perspėja, kad didelio masto FIFA tematikos sukčiavimo banga jau taikosi į 2026 m. pasaulio futbolo čempionato gerbėjus, nepaisant to, kad turnyras prasidės tik birželio 11 d.
Šis renginys suteikia patrauklią galimybę kibernetiniams nusikaltėliams. Tikimasi, kad rungtynes 16-oje JAV, Kanados ir Meksikos miestų stebės daugiau nei šeši milijonai žiūrovų. FIFA pranešė, kad per pirmąsias 15 pardavimo dienų gauta daugiau nei 150 milijonų bilietų užsakymų, todėl paklausa maždaug 30 kartų viršija turimą pasiūlą. Trūkumas bilietų, nerimastingi gerbėjai ir greitai vykdomi sandoriai sukūrė idealias sąlygas didelio masto sukčiavimui.
Naujausi tyrimai atskleidė tūkstančius FIFA tematikos apgaulingų domenų, kenkėjiškų programų, paslėptų neleistinose srautinio perdavimo programose, ir sudėtingas sukčiavimo kampanijas, galinčias užgrobti teisėtas FIFA paskyras.
Turinys
„GHOST STADIUM“ sukčiavimo tinklo iškilimas
Nuo 2025 m. rugpjūčio mėn. tyrėjai nustatė daugiau nei 4300 sukčiavimo būdu pagamintų su FIFA susijusių domenų. Šios veiklos centre – finansiškai motyvuota kinų kalba kalbanti grupuotė „GHOST STADIUM“, valdanti sukčiavimo apsimetant infrastruktūrą, apimančią daugiau nei 300 svetainių.
Operacija remiasi labai įtikinama oficialios FIFA svetainės kopija. Padirbti puslapiai labai imituoja FIFA vienkartinio prisijungimo sistemą „PingIdentity“ ir netgi naudoja teisėtą kliento ID, nukopijuotą iš tikros platformos. Siekiant padidinti patikimumą, vaizdai įkeliami tiesiai iš FIFA serverių, todėl svetainės gali išvengti kai kurių aptikimo metodų, kurie žymi nukopijuotą turinį.
Žalingiausia funkcija yra apgaulinga slaptažodžio nustatymo iš naujo funkcija. Aukos, kurios netyčia įveda savo prisijungimo duomenis, perduoda savo paskyrų valdymą užpuolikams, kurie gali užblokuoti teisėtą savininką ir perparduoti visus susijusius bilietus.
Srautas daugiausia generuojamas per „Facebook“ reklamas, o identiški sekimo identifikatoriai rodomi visame sukčiavimo tinkle. Papildomi lankytojai atvyksta per „Telegram“ kanalus, „WhatsApp“ žinutes ir manipuliuojamus paieškos rezultatus.
Sukčiavimo infrastruktūra priima mokėjimus per kelis kanalus, įskaitant tiesiogines kortelių operacijas, trečiųjų šalių mokėjimo šliuzus, pinigų pervedimo paslaugas, tokias kaip „Chime“ ir „Nequi“, regioninius Meksikos apdorojimo serverius ir kriptovaliutų konvertavimo sistemas. Kriptovaliutų pasirinkimas yra ypač pavojingas, nes pavogtų lėšų atgavimas tampa žymiai sudėtingesnis.
Išsiskiria vienas aiškus įspėjamasis ženklas: oficiali FIFA bilietų pardavimo platforma nepriima kriptovaliutų. Bet kuris pardavėjas, prašantis atsiskaityti kriptovaliutomis, turėtų būti laikomas nesąžiningu.
Tyrėjai apskaičiavo, kad vien tik sukčiavimas dėl bilietų su priemokomis ir svetingumo paslaugomis gali sukelti nuo 71 iki 474 mln. JAV dolerių nuostolių. Atsižvelgiant į aptiktos infrastruktūros mastą, bendra žala gali siekti milijardus dolerių, nors šie skaičiai tebėra prognozės, o ne patvirtinti nuostoliai.
Auganti sukčiavimo ekosistema
Vien nuo sausio iki gegužės mėnesių buvo užregistruota daugiau nei 13 000 su pasaulio futbolo čempionatu susijusių domenų, iš kurių maždaug 8,8 % buvo identifikuoti kaip kenkėjiški arba įtartini.
FTB jau paskelbė įspėjimus, kuriuose išvardyta daugybė su FIFA susijusių apgaulingų domenų, įskaitant su klaidomis parašytas panašias svetaines ir netikrus FIFA įdarbinimo portalus. Tyrėjai tikisi, kad artėjant turnyrui atsiras daugiau kenkėjiškų domenų. Kitos saugumo komandos taip pat nustatė tūkstančius netikrų svetainių ir daugiau nei tūkstantį netikrų socialinės žiniasklaidos profilių.
Bilietų sukčiavimas yra tik viena iš daug didesnės nusikalstamos ekosistemos dalių. Sukčiai taip pat valdo padirbtų prekių parduotuves, netikras sporto lažybų platformas ir nesąžiningas srautinio perdavimo paslaugas, kurios ne tik ima prenumeratos mokesčius, bet ir platina kenkėjiškas programas, galinčias suteikti užpuolikams nuotolinę aukų įrenginių kontrolę.
Kitos schemos apima suklastotus FIFA loterijos pranešimus, kuriuose žadami iki 2 mln. JAV dolerių prizai. Tyrėjai taip pat nustatė augančią sukčiavimo apsimetant paslaugomis rinką, kurioje nusikaltėliai gali įsigyti jau paruoštų sukčiavimo rinkinių ir automatizuotų bilietų pirkimo robotų, todėl naujiems veikėjams lengviau patekti į sukčiavimo pasaulį.
Šios operacijos yra labai tarpusavyje susijusios. Padirbti domenai fiksuoja su bilietais susijusias paieškas, reklamos ir manipuliuojami paieškos rezultatai generuoja srautą, pavogtos kredencialų duomenų bazės leidžia perimti paskyras, o kenkėjiškos mobiliosios programėlės nemokamų srautų paiešką paverčia bankiniu sukčiavimu.
Srautinio perdavimo programėlės, kurios vagia daugiau nei dėmesį
Sirgaliams, ieškantiems nemokamų pasaulio čempionato transliacijų, didžiausią pavojų gali kelti mobilieji įrenginiai.
Tyrėjai neseniai pastebėjo kenkėjiškų neoficialių srautinio perdavimo programėlių, kurios apsimeta populiariomis paslaugomis, tokiomis kaip „RojaDirecta“, antplūdį UEFA Čempionų lygos finalo metu. Tikimasi, kad panašios kampanijos suintensyvės ir per pasaulio futbolo čempionatą.
Daugelis šių programų buvo susietos su „Android“ bankininkystės Trojos arkliais, įskaitant kenkėjiškų programų šeimas, žinomas kaip „Massiv“ ir „Perseus“. Kadangi šios programos nepasiekiamos per „Google Play“, vartotojai, norėdami jas įdiegti, turi apeiti „Android“ integruotus saugos įspėjimus.
Įdiegus kenkėjišką programą, ji piktnaudžiauja „Android“ pritaikymo neįgaliesiems paslaugomis, kad įgytų didelę įrenginio kontrolę. Užpuolikai gali rodyti netikrus bankininkystės prisijungimo puslapius teisėtose programose, įrašyti klavišų paspaudimus, perimti vienkartinius autentifikavimo kodus iš SMS žinučių ir autentifikavimo programėlių bei nuotoliniu būdu valdyti įrenginį.
„Perseus“, sukurta naudojant nutekintą bankininkystės Trojos arklio „Cerberus“ šaltinio kodą, žengia dar toliau – ieško užrašų darymo programose išsaugotų slaptažodžių ir kriptovaliutos atkūrimo frazių.
Srautinio perdavimo programa, prašanti prieigos leidimų be teisėtos priežasties, turėtų būti laikoma rimtu saugumo įspėjimu.
Socialinė žiniasklaida tampa medžioklės lauku
Socialinės žiniasklaidos platformos tapo pagrindiniu Pasaulio futbolo čempionato sukčiavimo platinimo kanalu.
Tyrėjai atskleidė daugiau nei 55 futbolo tematikos reklamos kampanijas „Facebook“ ir „Instagram“ platformose, kuriose reklamuojami padirbti marškinėliai, padirbti „Panini“ kolekciniai daiktai ir sukčiavimo svetainės. Reklamos infrastruktūros analizė susiejo kelias iš šių operacijų su Kinijos operatoriais.
Tyrėjai taip pat katalogavo daugiau nei 1700 netikrų FIFA socialinės žiniasklaidos paskyrų, iš kurių beveik 90 % veikia „Facebook“ ir „Instagram“. Vienos pastebimos kampanijos metu buvo naudojami suklastoti FIFA darbo skelbimai ir kalendoriaus kvietimai, siekiant nukreipti kandidatus į suklastotus „Google“ prisijungimo puslapius.
Tuo tarpu pavogti FIFA prisijungimo duomenys jau cirkuliuoja nusikalstamose prekyvietėse. Saugumo tyrėjai susiejo šimtus tūkstančių pažeistų vartotojų paskyrų ir daugiau nei 4600 su FIFA susijusių interneto adresų su prisijungimo duomenis vagiančiomis kenkėjiškų programų šeimomis, tokiomis kaip „Vidar“, „LummaC2“ ir „RedLine“.
Viešojo „Wi-Fi“ pavojai priimančiuose miestuose
Belaidžiai tinklai miestuose, kuriuose vyksta pasaulio čempionatas, kelia dar vieną rizikos lygį.
Meksiko mieste, Monterėjuje ir Gvadalacharoje atlikta apklausa parodė, kad nuo 10 % iki 12 % aptiktų „Wi-Fi“ tinklų buvo visiškai atviri ir neapsaugoti. Beveik pusėje jų vis dar buvo įjungta „Wi-Fi Protected Setup“ (WPS) funkcija, todėl atsirado papildomų atakų galimybių.
Dėl šių silpnybių nusikaltėliams lengviau diegti „blogojo dvynio“ interneto prieigos taškus – kenkėjiškus tinklus, skirtus imituoti teisėtus „Wi-Fi“ prieigos taškus ir slapta perimti vartotojų srautą.
Kaip gerbėjai ir organizacijos gali išlikti apsaugoti
Keletas įspėjamųjų ženklų gali padėti atpažinti su Pasaulio taurės varžybomis susijusias sukčiavimo schemas prieš atsirandant žalai:
- Bilietus pirkite tik oficialioje FIFA svetainėje ir rankiniu būdu įveskite interneto adresą, užuot pasikliavę reklamomis ar paieškos sistemų nuorodomis. FIFA paskyrose įjunkite daugiafaktorinį autentifikavimą ir venkite pardavėjų, prašančių mokėti kriptovaliuta.
- Venkite diegti neoficialias transliacijų programas, ypač tas, kurios prašo prieigos teisių. Naudodamiesi viešuoju „Wi-Fi“ tinklu priimančiuosiuose miestuose, kai tik įmanoma, pasikliaukite mobiliaisiais duomenimis ir venkite prieigos prie bankininkystės, el. pašto ar kitų svarbių paskyrų.
Organizacijos taip pat atlieka svarbų vaidmenį. Apsaugos komandos turėtų stebėti naujai užregistruotus FIFA tematikos domenus, aptikti sukčiavimo būdu pagautus prisijungimo puslapius, identifikuoti darbuotojus ar klientus, kurių duomenys buvo atskleisti „Vidar“, „LummaC2“ ar „RedLine“ kredencialų sąvartynuose, ir parengti sukčiavimo atvejų sprendimo komandas padidėjusiam ginčų dėl bilietų ir grąžinamų mokėjimų skaičiui viso turnyro metu.
Grėsmės vis dar laukia, kol bus aktyvuotos
Turbūt labiausiai nerimą kelia tai, kad maždaug 3800 žinomų su FIFA susijusių sukčiavimo būdu sukurtų domenų lieka neaktyvūs ir rezervuoti, paruošti bet kuriuo metu diegti.
Kadangi sukčiavimo rinkiniai, automatiniai robotai ir pavogti prisijungimo duomenys jau yra plačiai prieinami, tyrėjai tikisi, kad didžiausios rizikos laikotarpis truks nuo birželio 11 d. iki liepos 19 d. Tuo laikotarpiu bilietų, kelionių organizavimo ir srautinio perdavimo paslaugų paieškos pasieks piką, o tai sudarys idealias sąlygas kibernetiniams nusikaltėliams plėsti savo veiklą.
