Oszustwo związane z Mistrzostwami Świata FIFA 2026
Badacze ds. bezpieczeństwa i FBI ostrzegają, że kibice Mistrzostw Świata 2026 są już ofiarami zakrojonej na szeroką skalę fali oszustw związanych z FIFA, mimo że turniej rozpocznie się dopiero 11 czerwca.
Wydarzenie to stanowi atrakcyjną okazję dla cyberprzestępców. Oczekuje się, że ponad sześć milionów widzów obejrzy mecze w 16 miastach w Stanach Zjednoczonych, Kanadzie i Meksyku. FIFA poinformowała o otrzymaniu ponad 150 milionów zamówień biletów w ciągu pierwszych 15 dni od rozpoczęcia sprzedaży, co oznacza, że popyt jest około 30 razy większy niż dostępna podaż. Niedobór biletów, niecierpliwi kibice i szybkie tempo transakcji stworzyły idealne warunki do oszustw na dużą skalę.
Niedawne śledztwa ujawniły tysiące fałszywych domen związanych z FIFA, złośliwe oprogramowanie ukryte w nieautoryzowanych aplikacjach do przesyłania strumieniowego oraz zaawansowane kampanie phishingowe pozwalające na przejęcie kontroli nad legalnymi kontami FIFA.
Spis treści
Powstanie sieci phishingowej GHOST STADIUM
Badacze zidentyfikowali ponad 4300 fałszywych domen związanych z FIFA zarejestrowanych od sierpnia 2025 r. W centrum tej działalności znajduje się motywowana finansowo chińskojęzyczna grupa znana jako GHOST STADIUM, która obsługuje infrastrukturę phishingową obejmującą ponad 300 stron internetowych.
Operacja opiera się na bardzo przekonującej replice oficjalnej strony internetowej FIFA. Fałszywe strony wiernie imitują system logowania jednokrotnego FIFA oparty na PingIdentity, a nawet używają prawdziwego identyfikatora klienta skopiowanego z prawdziwej platformy. Aby zwiększyć wiarygodność, obrazy są ładowane bezpośrednio z serwerów FIFA, co pomaga stronom ominąć niektóre metody wykrywania kopiowanych treści.
Najbardziej szkodliwą funkcją jest oszukańcza funkcja resetowania hasła. Ofiary, które nieświadomie podają swoje dane uwierzytelniające, przekazują kontrolę nad swoimi kontami atakującym, którzy mogą następnie zablokować prawowitego właściciela i odsprzedać wszelkie powiązane z nim bilety.
Ruch generowany jest głównie za pośrednictwem reklam na Facebooku, a identyczne identyfikatory śledzenia pojawiają się w całej sieci phishingowej. Dodatkowi odwiedzający docierają za pośrednictwem kanałów Telegram, wiadomości WhatsApp i zmanipulowanych wyników wyszukiwania.
Infrastruktura oszustwa akceptuje płatności wieloma kanałami, w tym bezpośrednie transakcje kartami, zewnętrzne bramki płatnicze, usługi przekazów pieniężnych, takie jak Chime i Nequi, regionalne meksykańskie firmy przetwarzające płatności oraz systemy konwersji kryptowalut. Opcja kryptowalutowa jest szczególnie niebezpieczna, ponieważ odzyskanie skradzionych środków staje się znacznie trudniejsze.
Jeden wyraźny sygnał ostrzegawczy jest oczywisty: oficjalna platforma sprzedaży biletów FIFA nie akceptuje kryptowalut. Każdego sprzedawcę żądającego płatności w kryptowalutach należy uznać za oszusta.
Naukowcy szacują, że same oszustwa związane z biletami premium i hotelowymi mogą generować straty w wysokości od 71 do 474 milionów dolarów. Biorąc pod uwagę skalę odkrytej infrastruktury, łączne straty mogą potencjalnie sięgnąć miliardów dolarów, choć kwoty te pozostają prognozami, a nie potwierdzonymi stratami.
Rozwijający się ekosystem oszustw
Tylko w okresie od stycznia do maja zarejestrowano ponad 13 000 domen o tematyce Mistrzostw Świata, przy czym około 8,8% z nich uznano za złośliwe lub podejrzane.
FBI opublikowało już ostrzeżenia, w których wymieniono liczne fałszywe domeny związane z FIFA, w tym błędnie wpisane nazwy stron internetowych imitujących te domeny oraz fałszywe portale z ofertami pracy FIFA. Śledczy spodziewają się pojawienia się kolejnych złośliwych domen w miarę zbliżania się turnieju. Inne zespoły ds. bezpieczeństwa zidentyfikowały również tysiące imitacji stron internetowych i ponad tysiąc fałszywych profili w mediach społecznościowych.
Oszustwa biletowe stanowią tylko jeden z elementów znacznie większego ekosystemu przestępczego. Oszuści prowadzą również sklepy z podróbkami, fałszywe platformy zakładów sportowych i fałszywe serwisy streamingowe, które nie tylko pobierają opłaty abonamentowe, ale także rozpowszechniają złośliwe oprogramowanie, które umożliwia atakującym zdalną kontrolę nad urządzeniami ofiar.
Inne oszustwa obejmują fałszywe powiadomienia o loterii FIFA, obiecujące nagrody do 2 milionów dolarów. Badacze zidentyfikowali również rozwijający się rynek phishingu jako usługi, gdzie przestępcy mogą kupować gotowe zestawy do oszustw i zautomatyzowane boty do kupowania biletów, ułatwiając nowym graczom wejście na rynek oszustw.
Operacje te są ze sobą ściśle powiązane. Fałszywe domeny przechwytują wyszukiwania związane z biletami, reklamy i zmanipulowane wyniki wyszukiwania generują ruch, skradzione bazy danych uwierzytelniających umożliwiają przejęcie kont, a złośliwe aplikacje mobilne przekształcają wyszukiwanie darmowych transmisji w oszustwo bankowe.
Aplikacje do streamingu, które kradną więcej niż tylko uwagę
Dla kibiców poszukujących bezpłatnych transmisji z Mistrzostw Świata największym zagrożeniem mogą okazać się urządzenia mobilne.
Badacze zaobserwowali ostatnio gwałtowny wzrost liczby złośliwych, nieoficjalnych aplikacji streamingowych podszywających się pod popularne serwisy, takie jak RojaDirecta, w okolicach finału Ligi Mistrzów UEFA. Oczekuje się, że podobne kampanie nasilą się podczas Mistrzostw Świata.
Wiele z tych aplikacji jest powiązanych z trojanami bankowymi na Androida, w tym z rodzinami złośliwego oprogramowania znanymi jako Massiv i Perseus. Ponieważ aplikacje te są niedostępne w Google Play, użytkownicy muszą ominąć wbudowane ostrzeżenia bezpieczeństwa Androida, aby je zainstalować.
Po zainstalowaniu złośliwe oprogramowanie wykorzystuje usługi ułatwień dostępu Androida, aby uzyskać rozległą kontrolę nad urządzeniem. Atakujący mogą wyświetlać fałszywe strony logowania do bankowości w legalnych aplikacjach, rejestrować naciśnięcia klawiszy, przechwytywać jednorazowe kody uwierzytelniające z wiadomości SMS i aplikacji uwierzytelniających oraz zdalnie sterować urządzeniem.
Perseus, który powstał w oparciu o wyciekły kod źródłowy bankowego trojana Cerberus, idzie jeszcze dalej, przeszukując aplikacje do robienia notatek w celu znalezienia zapisanych haseł i fraz odzyskiwania kryptowalut.
Aplikacja strumieniowa żądająca uprawnień dostępu bez uzasadnionego powodu powinna być traktowana jako poważne ostrzeżenie dotyczące bezpieczeństwa.
Media społecznościowe stają się terenem łowieckim
Platformy mediów społecznościowych stały się głównym kanałem dystrybucji oszustw związanych z Mistrzostwami Świata.
Badacze odkryli ponad 55 kampanii reklamowych o tematyce piłkarskiej na Facebooku i Instagramie, promujących podróbki koszulek, podróbki kolekcjonerskich gadżetów Panini i strony phishingowe. Analiza infrastruktury reklamowej powiązała kilka z tych operacji z chińskimi operatorami.
Śledczy skatalogowali również ponad 1700 fałszywych kont FIFA w mediach społecznościowych, z których prawie 90% działa na Facebooku i Instagramie. Jedna z ważniejszych kampanii wykorzystywała fałszywe ogłoszenia o pracę i zaproszenia do kalendarza FIFA, aby przekierowywać kandydatów na fałszywe strony logowania Google.
Tymczasem skradzione dane uwierzytelniające FIFA już krążą na platformach przestępczych. Badacze bezpieczeństwa powiązali setki tysięcy przejętych kont użytkowników i ponad 4600 adresów internetowych związanych z FIFA z rodzinami złośliwego oprogramowania kradnącego dane uwierzytelniające, takimi jak Vidar, LummaC2 i RedLine.
Zagrożenia związane z publicznym Wi-Fi w miastach-gospodarzach
Sieci bezprzewodowe w miastach będących gospodarzami Mistrzostw Świata niosą ze sobą kolejny poziom ryzyka.
Badanie przeprowadzone w miastach Meksyk, Monterrey i Guadalajara wykazało, że od 10% do 12% wykrytych sieci Wi-Fi było całkowicie otwartych i niezabezpieczonych. Prawie połowa nadal miała włączoną funkcję Wi-Fi Protected Setup (WPS), co stwarzało dodatkowe możliwości ataku.
Te słabości ułatwiają przestępcom wdrażanie tzw. „złych bliźniaczych” punktów dostępu — złośliwych sieci imitujących legalne punkty dostępu Wi-Fi i potajemnie przechwytujących ruch użytkowników.
Jak fani i organizacje mogą zachować ochronę
Oto kilka znaków ostrzegawczych, które mogą pomóc w rozpoznaniu oszustw związanych z Mistrzostwami Świata, zanim dojdzie do szkód:
- Kupuj bilety tylko za pośrednictwem oficjalnej strony internetowej FIFA i ręcznie wpisz adres strony, zamiast polegać na reklamach lub linkach do wyszukiwarek. Włącz uwierzytelnianie wieloskładnikowe na kontach FIFA i unikaj sprzedawców żądających płatności w kryptowalutach.
- Unikaj instalowania nieoficjalnych aplikacji streamingowych, zwłaszcza tych wymagających uprawnień dostępu. Korzystając z publicznej sieci Wi-Fi w miastach-gospodarzach, polegaj w miarę możliwości na transmisji danych mobilnych i unikaj dostępu do kont bankowych, poczty e-mail i innych poufnych kont.
Organizacje również odgrywają ważną rolę. Zespoły ds. bezpieczeństwa powinny monitorować nowo zarejestrowane domeny o tematyce FIFA, wykrywać fałszywe strony logowania, identyfikować pracowników lub klientów narażonych na wycieki danych uwierzytelniających Vidar, LummaC2 lub RedLine oraz przygotowywać zespoły reagowania na oszustwa na wypadek zwiększonej liczby sporów dotyczących biletów i obciążeń zwrotnych w trakcie turnieju.
Zagrożenia wciąż czekają na aktywację
Być może najbardziej niepokojącym odkryciem jest to, że około 3800 znanych domen związanych z oszustwami FIFA pozostaje nieaktywnych i zaparkowanych, gotowych do wdrożenia w każdej chwili.
Biorąc pod uwagę powszechną dostępność zestawów narzędzi phishingowych, zautomatyzowanych botów i skradzionych danych uwierzytelniających, badacze spodziewają się, że okres najwyższego ryzyka przypada na okres od 11 czerwca do 19 lipca. W tym czasie wyszukiwania biletów, ofert podróży i serwisów streamingowych osiągną szczyt, tworząc idealne warunki dla cyberprzestępców do rozszerzenia swoich działań.
