Penipuan Piala Dunia FIFA 2026

Penyelidik keselamatan dan FBI memberi amaran bahawa gelombang besar penipuan bertemakan FIFA sudah menyasarkan peminat Piala Dunia 2026, walaupun kejohanan itu tidak bermula sehingga 11 Jun.

Acara ini memberikan peluang yang menarik untuk penjenayah siber. Lebih daripada enam juta penonton dijangka menghadiri perlawanan di 16 bandar di Amerika Syarikat, Kanada dan Mexico. FIFA melaporkan menerima lebih 150 juta permintaan tiket dalam tempoh 15 hari pertama jualan, menjadikan permintaan kira-kira 30 kali ganda lebih besar daripada bekalan yang ada. Tiket yang terhad, peminat yang cemas dan transaksi yang bergerak pantas telah mewujudkan keadaan ideal untuk penipuan berskala besar.

Siasatan baru-baru ini telah mendedahkan beribu-ribu domain penipuan bertemakan FIFA, perisian hasad yang tersembunyi di dalam aplikasi penstriman tanpa kebenaran dan kempen pancingan data canggih yang mampu merampas akaun FIFA yang sah.

Kebangkitan Rangkaian Pancingan Data GHOST STADIUM

Para penyelidik telah mengenal pasti lebih daripada 4,300 domain berkaitan FIFA palsu yang didaftarkan sejak Ogos 2025. Pusat aktiviti ini ialah kumpulan berbahasa Cina yang bermotivasi kewangan yang dikenali sebagai GHOST STADIUM, yang mengendalikan infrastruktur pancingan data yang merangkumi lebih daripada 300 laman web.

Operasi ini bergantung pada replika laman web rasmi FIFA yang sangat meyakinkan. Laman palsu tersebut meniru sistem daftar masuk tunggal berkuasa PingIdentity FIFA dan juga menggunakan ID klien yang sah yang disalin daripada platform sebenar. Untuk meningkatkan kredibiliti, imej dimuatkan terus daripada pelayan FIFA, membantu laman web tersebut mengelak beberapa kaedah pengesanan yang menandakan kandungan yang disalin.

Ciri yang paling merosakkan ialah fungsi penetapan semula kata laluan yang palsu. Mangsa yang memasukkan kelayakan mereka tanpa disedari menyerahkan kawalan akaun mereka kepada penyerang, yang kemudiannya boleh mengunci pemilik yang sah dan menjual semula sebarang tiket yang berkaitan.

Trafik terutamanya didorong melalui iklan Facebook, dengan pengecam penjejakan yang sama muncul di seluruh rangkaian pancingan data. Pelawat tambahan tiba melalui saluran Telegram, mesej WhatsApp dan hasil carian yang dimanipulasi.

Infrastruktur penipuan ini menerima pembayaran melalui pelbagai saluran, termasuk transaksi kad langsung, gerbang pembayaran pihak ketiga, perkhidmatan pemindahan wang seperti Chime dan Nequi, pemproses serantau Mexico dan sistem penukaran mata wang kripto. Pilihan mata wang kripto amat berbahaya kerana mendapatkan semula dana yang dicuri menjadi jauh lebih sukar.

Satu tanda amaran yang jelas menonjol: platform tiket rasmi FIFA tidak menerima mata wang kripto. Mana-mana penjual yang meminta pembayaran kripto harus dianggap sebagai penipuan.

Para penyelidik menganggarkan bahawa penipuan tiket premium dan hospitaliti sahaja boleh menyebabkan kerugian antara $71 juta hingga $474 juta. Berdasarkan skala infrastruktur yang ditemui, jumlah kerugian berpotensi mencecah berbilion dolar, walaupun angka ini kekal sebagai unjuran dan bukannya kerugian yang disahkan.

Ekosistem Penipuan yang Berkembang

Antara Januari dan Mei sahaja, lebih daripada 13,000 domain bertemakan Piala Dunia telah didaftarkan, dengan kira-kira 8.8% dikenal pasti sebagai berniat jahat atau mencurigakan.

FBI telah menerbitkan nasihat yang menyenaraikan pelbagai domain palsu berkaitan FIFA, termasuk laman web yang serupa dengan ejaan dan portal pekerjaan FIFA palsu. Penyiasat menjangkakan domain berniat jahat tambahan akan muncul apabila kejohanan semakin hampir. Pasukan keselamatan lain juga telah mengenal pasti beribu-ribu laman web tiruan dan lebih daripada seribu profil media sosial palsu.

Penipuan tiket hanya mewakili satu bahagian daripada ekosistem jenayah yang jauh lebih besar. Penipu juga mengendalikan kedai barangan tiruan, platform pertaruhan sukan palsu dan perkhidmatan penstriman palsu yang bukan sahaja mengenakan yuran langganan tetapi juga mengedarkan perisian hasad yang mampu memberikan penyerang kawalan jauh ke atas peranti mangsa.

Skim tambahan termasuk pemberitahuan loteri FIFA palsu yang menjanjikan hadiah sehingga $2 juta. Penyelidik juga telah mengenal pasti pasaran pancingan data sebagai perkhidmatan yang berkembang di mana penjenayah boleh membeli kit penipuan siap pakai dan bot pembelian tiket automatik, menjadikannya lebih mudah bagi pelaku baharu untuk memasuki landskap penipuan.

Operasi ini sangat saling berkaitan. Domain palsu merakam carian berkaitan tiket, iklan dan hasil carian yang dimanipulasi menjana trafik, pangkalan data kelayakan yang dicuri membolehkan pengambilalihan akaun dan aplikasi mudah alih yang berniat jahat mengubah carian untuk strim percuma menjadi penipuan perbankan.

Aplikasi Penstriman Yang Mencuri Lebih Daripada Perhatian

Bagi peminat yang mencari siaran Piala Dunia percuma, peranti mudah alih mungkin memberikan risiko terbesar.

Para penyelidik baru-baru ini memerhatikan lonjakan aplikasi penstriman tidak rasmi yang berniat jahat yang menyamar sebagai perkhidmatan popular seperti RojaDirecta sekitar perlawanan akhir Liga Juara-Juara UEFA. Kempen serupa dijangka akan meningkat semasa Piala Dunia.

Kebanyakan aplikasi ini telah dikaitkan dengan trojan perbankan Android, termasuk keluarga perisian hasad yang dikenali sebagai Massiv dan Perseus. Oleh kerana aplikasi ini tidak tersedia melalui Google Play, pengguna mesti memintas amaran keselamatan terbina dalam Android untuk memasangnya.

Setelah dipasang, perisian hasad tersebut menyalahgunakan perkhidmatan kebolehcapaian Android untuk mendapatkan kawalan meluas ke atas peranti tersebut. Penyerang boleh memaparkan halaman log masuk perbankan palsu melalui aplikasi yang sah, merakam ketukan kekunci, memintas kod pengesahan sekali sahaja daripada mesej SMS dan aplikasi pengesah serta mengendalikan peranti tersebut dari jauh.

Perseus, yang dibangunkan menggunakan kod sumber yang bocor daripada trojan perbankan Cerberus, melangkah lebih jauh dengan mencari aplikasi pencatat nota untuk kata laluan yang disimpan dan frasa pemulihan mata wang kripto.

Aplikasi penstriman yang meminta kebenaran kebolehcapaian tanpa sebab yang sah harus dianggap sebagai amaran keselamatan utama.

Media Sosial Menjadi Tempat Pemburuan

Platform media sosial telah menjadi saluran pengedaran utama untuk penipuan Piala Dunia.

Para penyelidik telah menemui lebih daripada 55 kempen pengiklanan bertemakan bola sepak di seluruh Facebook dan Instagram yang mempromosikan jersi tiruan, koleksi Panini tiruan dan laman web pancingan data. Analisis infrastruktur pengiklanan telah menghubungkan beberapa operasi ini dengan pengendali China.

Penyiasat juga telah mengkatalogkan lebih daripada 1,700 akaun media sosial FIFA palsu, hampir 90% daripadanya beroperasi di Facebook dan Instagram. Satu kempen penting menggunakan iklan pekerjaan FIFA yang palsu dan jemputan kalendar untuk mengalihkan pemohon ke halaman log masuk Google palsu.

Sementara itu, kelayakan FIFA yang dicuri sudah pun beredar di pasaran jenayah. Penyelidik keselamatan telah mengaitkan ratusan ribu akaun pengguna yang dikompromi dan lebih daripada 4,600 alamat web berkaitan FIFA dengan keluarga perisian hasad yang mencuri kelayakan seperti Vidar, LummaC2 dan RedLine.

Risiko Wi-Fi Awam di Bandar Hos

Rangkaian tanpa wayar di bandar-bandar tuan rumah Piala Dunia memperkenalkan satu lagi lapisan risiko.

Satu tinjauan yang dijalankan di seluruh Bandar Raya Mexico, Monterrey dan Guadalajara mendapati bahawa antara 10% dan 12% rangkaian Wi-Fi yang dikesan adalah terbuka sepenuhnya dan tidak selamat. Hampir separuh masih mengaktifkan Persediaan Dilindungi Wi-Fi (WPS), mewujudkan peluang serangan tambahan.

Kelemahan ini memudahkan penjenayah menggunakan hotspot 'kembar jahat'—rangkaian berniat jahat yang direka untuk meniru titik akses Wi-Fi yang sah dan memintas trafik pengguna secara rahsia.

Bagaimana Peminat dan Organisasi Boleh Kekal Dilindungi

Beberapa tanda amaran boleh membantu mengenal pasti penipuan berkaitan Piala Dunia sebelum kerosakan berlaku:

• Beli tiket hanya melalui laman web rasmi FIFA dan masukkan alamat web secara manual dan bukannya bergantung pada iklan atau pautan enjin carian. Dayakan pengesahan berbilang faktor pada akaun FIFA dan elakkan mana-mana penjual yang meminta pembayaran mata wang kripto.
• Elakkan memasang aplikasi penstriman tidak rasmi, terutamanya yang meminta kebenaran kebolehcapaian. Apabila menggunakan Wi-Fi awam di bandar tuan rumah, bergantung pada data mudah alih apabila boleh dan elakkan mengakses perbankan, e-mel atau akaun sensitif yang lain.

Organisasi juga mempunyai peranan penting untuk dimainkan. Pasukan keselamatan harus memantau domain bertemakan FIFA yang baru didaftarkan, mengesan halaman log masuk palsu, mengenal pasti pekerja atau pelanggan yang terdedah dalam lambakan kelayakan Vidar, LummaC2 atau RedLine dan menyediakan pasukan tindak balas penipuan untuk peningkatan pertikaian tiket dan aktiviti caj balik sepanjang kejohanan.

Ancaman Masih Menunggu untuk Diaktifkan

Mungkin penemuan yang paling membimbangkan ialah kira-kira 3,800 domain berkaitan FIFA yang palsu yang diketahui kekal tidak aktif dan diletakkan di tempat awam, sedia untuk digunakan pada bila-bila masa.

Dengan kit pancingan data, bot automatik dan kelayakan yang dicuri sudah tersedia secara meluas, para penyelidik menjangkakan tempoh risiko tertinggi akan berlangsung dari 11 Jun hingga 19 Julai. Dalam tempoh tersebut, carian tiket, pengaturan perjalanan dan perkhidmatan penstriman akan mencapai kemuncaknya, sekali gus mewujudkan keadaan ideal untuk penjenayah siber mengembangkan operasi mereka.