FIFA Wereldkampioenschap 2026 oplichting
Beveiligingsonderzoekers en de FBI waarschuwen dat een grootschalige golf van FIFA-gerelateerde fraude zich nu al richt op fans van het WK 2026, ondanks het feit dat het toernooi pas op 11 juni begint.
Het evenement biedt een aantrekkelijke kans voor cybercriminelen. Naar verwachting zullen meer dan zes miljoen toeschouwers de wedstrijden bijwonen in zestien steden in de Verenigde Staten, Canada en Mexico. FIFA meldde dat er in de eerste vijftien dagen van de kaartverkoop meer dan 150 miljoen aanvragen binnenkwamen, waardoor de vraag ongeveer dertig keer groter is dan het beschikbare aanbod. Schaarse tickets, ongeduldige fans en snel verlopende transacties hebben ideale omstandigheden gecreëerd voor grootschalige fraude.
Recent onderzoek heeft duizenden frauduleuze FIFA-domeinen aan het licht gebracht, evenals malware verborgen in ongeautoriseerde streamingapplicaties en geavanceerde phishingcampagnes die in staat zijn legitieme FIFA-accounts te kapen.
Inhoudsopgave
De opkomst van het GHOST STADIUM-phishingnetwerk
Onderzoekers hebben meer dan 4300 frauduleuze FIFA-gerelateerde domeinen geïdentificeerd die sinds augustus 2025 zijn geregistreerd. Centraal in deze activiteiten staat een financieel gemotiveerde Chineesstalige groep genaamd GHOST STADIUM, die een phishinginfrastructuur beheert die meer dan 300 websites omvat.
De operatie berust op een zeer overtuigende replica van de officiële FIFA-website. De nep-pagina's imiteren nauwgezet het door PingIdentity aangedreven single sign-on-systeem van FIFA en gebruiken zelfs een legitieme client-ID die van het echte platform is gekopieerd. Om de geloofwaardigheid te vergroten, worden afbeeldingen rechtstreeks vanaf de servers van FIFA geladen, waardoor de sites bepaalde detectiemethoden omzeilen die gekopieerde content signaleren.
De meest schadelijke functie is een frauduleuze wachtwoordherstelfunctie. Slachtoffers die hun inloggegevens invoeren, geven onbewust de controle over hun accounts in handen van aanvallers, die vervolgens de rechtmatige eigenaar kunnen buitensluiten en eventuele bijbehorende tickets kunnen doorverkopen.
Het verkeer wordt voornamelijk gegenereerd via Facebook-advertenties, waarbij identieke tracking-ID's in het hele phishingnetwerk verschijnen. Aanvullende bezoekers komen via Telegram-kanalen, WhatsApp-berichten en gemanipuleerde zoekresultaten.
De oplichtingsinfrastructuur accepteert betalingen via meerdere kanalen, waaronder directe kaarttransacties, externe betalingsgateways, geldovermakingsdiensten zoals Chime en Nequi, regionale Mexicaanse verwerkers en systemen voor het omzetten van cryptovaluta. De optie met cryptovaluta is bijzonder gevaarlijk, omdat het terugvorderen van gestolen geld aanzienlijk moeilijker wordt.
Eén duidelijk waarschuwingssignaal springt eruit: het officiële ticketplatform van FIFA accepteert geen cryptovaluta. Elke verkoper die om cryptobetalingen vraagt, moet als frauduleus worden beschouwd.
Onderzoekers schatten dat alleen al de fraude met premium- en hospitalitytickets verliezen kan veroorzaken van 71 miljoen tot 474 miljoen dollar. Gezien de omvang van de ontdekte infrastructuur zouden de totale schades mogelijk in de miljarden dollars kunnen lopen, hoewel dit schattingen zijn en geen bevestigde verliezen.
Een groeiend ecosysteem van fraude
Alleen al tussen januari en mei werden meer dan 13.000 domeinen met een WK-thema geregistreerd, waarvan ongeveer 8,8% als kwaadaardig of verdacht werd aangemerkt.
De FBI heeft al waarschuwingen gepubliceerd met een lijst van talloze frauduleuze FIFA-gerelateerde domeinen, waaronder websites met spelfouten die sterk lijken op FIFA-websites en nep-vacatureportalen. Onderzoekers verwachten dat er nog meer kwaadaardige domeinen zullen opduiken naarmate het toernooi dichterbij komt. Andere beveiligingsteams hebben ook duizenden namaakwebsites en meer dan duizend nep-sociale mediaprofielen geïdentificeerd.
Oplichting met tickets is slechts een klein onderdeel van een veel groter crimineel ecosysteem. Oplichters runnen ook webwinkels met namaakartikelen, nep-platforms voor sportweddenschappen en frauduleuze streamingdiensten die niet alleen abonnementskosten in rekening brengen, maar ook malware verspreiden waarmee aanvallers op afstand de apparaten van slachtoffers kunnen overnemen.
Andere vormen van fraude zijn onder meer valse FIFA-loterijmeldingen met beloftes van prijzen tot wel 2 miljoen dollar. Onderzoekers hebben ook een groeiende markt voor phishing-as-a-service ontdekt, waar criminelen kant-en-klare oplichtingspakketten en geautomatiseerde bots voor het kopen van loten kunnen aanschaffen, waardoor het voor nieuwe fraudeurs gemakkelijker wordt om toe te treden tot het fraudelandschap.
Deze activiteiten zijn sterk met elkaar verbonden. Nepdomeinen onderscheppen zoekopdrachten met betrekking tot tickets, advertenties en gemanipuleerde zoekresultaten genereren verkeer, gestolen databanken met inloggegevens maken accountovernames mogelijk en kwaadaardige mobiele applicaties veranderen een zoektocht naar gratis streams in bankfraude.
Streaming-apps die meer dan alleen aandacht stelen
Voor fans die op zoek zijn naar gratis WK-uitzendingen, vormen mobiele apparaten mogelijk het grootste risico.
Onderzoekers hebben onlangs een toename geconstateerd van kwaadaardige, onofficiële streamingapplicaties die zich voordoen als populaire diensten zoals RojaDirecta rond de finale van de UEFA Champions League. Verwacht wordt dat soortgelijke campagnes tijdens het WK zullen toenemen.
Veel van deze applicaties zijn in verband gebracht met Android-banktrojans, waaronder malwarefamilies zoals Massiv en Perseus. Omdat deze apps niet beschikbaar zijn via Google Play, moeten gebruikers de ingebouwde beveiligingswaarschuwingen van Android omzeilen om ze te kunnen installeren.
Na installatie misbruikt de malware de toegankelijkheidsdiensten van Android om uitgebreide controle over het apparaat te verkrijgen. Aanvallers kunnen nep-inlogpagina's voor banken weergeven over legitieme applicaties, toetsaanslagen registreren, eenmalige authenticatiecodes onderscheppen uit sms-berichten en authenticatie-apps, en het apparaat op afstand bedienen.
Perseus, dat is ontwikkeld met behulp van gelekte broncode van de Cerberus-banktrojan, gaat nog een stap verder door notitie-apps te doorzoeken naar opgeslagen wachtwoorden en herstelzinnen voor cryptovaluta.
Een streamingapplicatie die zonder legitieme reden toegangsrechten aanvraagt, moet worden beschouwd als een ernstige beveiligingswaarschuwing.
Sociale media worden een jachtterrein.
Sociale media zijn een belangrijk distributiekanaal geworden voor oplichting rondom het WK voetbal.
Onderzoekers hebben meer dan 55 reclamecampagnes met een voetbalthema ontdekt op Facebook en Instagram, waarin namaakshirts, nep-Panini-verzamelobjecten en phishingwebsites worden gepromoot. Analyse van de reclame-infrastructuur heeft verschillende van deze operaties in verband gebracht met Chinese bedrijven.
Onderzoekers hebben ook meer dan 1.700 nepaccounts van FIFA op sociale media in kaart gebracht, waarvan bijna 90% actief is op Facebook en Instagram. Een opvallende campagne maakte gebruik van frauduleuze FIFA-vacatures en agenda-uitnodigingen om sollicitanten door te sturen naar nep-Google-inlogpagina's.
Ondertussen circuleren gestolen FIFA-inloggegevens al op criminele marktplaatsen. Beveiligingsonderzoekers hebben honderdduizenden gecompromitteerde gebruikersaccounts en meer dan 4.600 FIFA-gerelateerde webadressen gekoppeld aan malwarefamilies die inloggegevens stelen, zoals Vidar, LummaC2 en RedLine.
Risico’s van openbare wifi in gaststeden
Draadloze netwerken in de gaststeden van het WK brengen een extra risico met zich mee.
Uit een onderzoek in Mexico-Stad, Monterrey en Guadalajara bleek dat tussen de 10% en 12% van de gedetecteerde wifi-netwerken volledig open en onbeveiligd waren. Bijna de helft had nog steeds Wi-Fi Protected Setup (WPS) ingeschakeld, wat extra aanvalsmogelijkheden creëerde.
Deze zwakke punten maken het voor criminelen gemakkelijker om 'evil twin'-hotspots op te zetten: kwaadaardige netwerken die zijn ontworpen om legitieme wifi-toegangspunten na te bootsen en heimelijk gebruikersverkeer te onderscheppen.
Hoe fans en organisaties zichzelf kunnen beschermen
Er zijn verschillende waarschuwingssignalen die kunnen helpen om WK-gerelateerde oplichting te herkennen voordat er schade ontstaat:
- Koop tickets uitsluitend via de officiële FIFA-website en voer handmatig het webadres in in plaats van te vertrouwen op advertenties of links van zoekmachines. Schakel multifactorauthenticatie in voor FIFA-accounts en vermijd verkopers die om betalingen in cryptovaluta vragen.
- Installeer geen onofficiële streaming-apps, vooral niet die apps die toegangsrechten vereisen. Gebruik in gaststeden bij voorkeur mobiele data en vermijd toegang tot bankrekeningen, e-mail of andere gevoelige accounts.
Organisaties spelen ook een belangrijke rol. Beveiligingsteams moeten nieuw geregistreerde FIFA-domeinen in de gaten houden, frauduleuze inlogpagina's opsporen, medewerkers of klanten identificeren die het slachtoffer zijn geworden van datalekken via Vidar, LummaC2 of RedLine, en fraudebestrijdingsteams voorbereiden op een toename van ticketgeschillen en terugboekingen gedurende het toernooi.
De dreigingen die nog moeten worden geactiveerd
Wellicht de meest verontrustende bevinding is dat er ongeveer 3.800 bekende frauduleuze FIFA-gerelateerde domeinen inactief en geparkeerd staan, klaar om op elk moment te worden ingezet.
Nu phishingkits, geautomatiseerde bots en gestolen inloggegevens alom beschikbaar zijn, verwachten onderzoekers dat de periode met het hoogste risico loopt van 11 juni tot en met 19 juli. Gedurende die periode zullen zoekopdrachten naar tickets, reisarrangementen en streamingdiensten een piek bereiken, wat ideale omstandigheden creëert voor cybercriminelen om hun activiteiten uit te breiden.
