Fraude da Copa do Mundo FIFA 2026

Pesquisadores de segurança e o FBI alertam que uma onda de fraudes em larga escala com o tema da FIFA já está visando os fãs da Copa do Mundo de 2026, apesar do torneio só começar em 11 de junho.

O evento representa uma oportunidade atraente para cibercriminosos. Mais de seis milhões de espectadores são esperados para assistir às partidas em 16 cidades nos Estados Unidos, Canadá e México. A FIFA informou ter recebido mais de 150 milhões de pedidos de ingressos nos primeiros 15 dias de vendas, o que representa uma demanda aproximadamente 30 vezes maior que a oferta disponível. A escassez de ingressos, a ansiedade dos torcedores e a rapidez das transações criaram as condições ideais para fraudes em larga escala.

Investigações recentes revelaram milhares de domínios fraudulentos com o tema FIFA, malware oculto em aplicativos de streaming não autorizados e sofisticadas campanhas de phishing capazes de sequestrar contas legítimas da FIFA.

A Ascensão da Rede de Phishing GHOST STADIUM

Pesquisadores identificaram mais de 4.300 domínios fraudulentos relacionados à FIFA registrados desde agosto de 2025. No centro dessa atividade está um grupo de língua chinesa com motivações financeiras, conhecido como GHOST STADIUM, que opera uma infraestrutura de phishing que abrange mais de 300 sites.

A operação se baseia em uma réplica extremamente convincente do site oficial da FIFA. As páginas falsas imitam fielmente o sistema de autenticação única (SSO) da FIFA, que utiliza a tecnologia PingIdentity, e chegam a usar um ID de cliente legítimo copiado da plataforma real. Para aumentar a credibilidade, as imagens são carregadas diretamente dos servidores da FIFA, o que ajuda os sites a burlar alguns métodos de detecção que identificam conteúdo copiado.

A funcionalidade mais prejudicial é uma função fraudulenta de redefinição de senha. As vítimas que inserem suas credenciais sem saber entregam o controle de suas contas aos atacantes, que podem então bloquear o acesso do proprietário legítimo e revender quaisquer ingressos associados.

O tráfego é gerado principalmente por meio de anúncios no Facebook, com identificadores de rastreamento idênticos aparecendo em toda a rede de phishing. Visitantes adicionais chegam por meio de canais do Telegram, mensagens do WhatsApp e resultados de pesquisa manipulados.

A infraestrutura do golpe aceita pagamentos por meio de múltiplos canais, incluindo transações diretas com cartão, gateways de pagamento de terceiros, serviços de transferência de dinheiro como Chime e Nequi, processadores regionais mexicanos e sistemas de conversão de criptomoedas. A opção de criptomoeda é particularmente perigosa porque a recuperação de fundos roubados torna-se significativamente mais difícil.

Um sinal de alerta claro se destaca: a plataforma oficial de venda de ingressos da FIFA não aceita criptomoedas. Qualquer vendedor que solicite pagamentos em criptomoedas deve ser considerado fraudulento.

Pesquisadores estimam que somente a fraude com passagens premium e de áreas VIP pode gerar prejuízos que variam de US$ 71 milhões a US$ 474 milhões. Com base na escala da infraestrutura descoberta, os danos totais podem chegar a bilhões de dólares, embora esses valores ainda sejam projeções e não perdas confirmadas.

Um ecossistema crescente de fraudes

Somente entre janeiro e maio, mais de 13.000 domínios com o tema da Copa do Mundo foram registrados, dos quais aproximadamente 8,8% foram identificados como maliciosos ou suspeitos.

O FBI já publicou alertas listando inúmeros domínios fraudulentos relacionados à FIFA, incluindo sites com erros ortográficos e portais de emprego falsos da FIFA. Os investigadores esperam que outros domínios maliciosos surjam à medida que o torneio se aproxima. Outras equipes de segurança também identificaram milhares de sites imitadores e mais de mil perfis falsos em redes sociais.

Os golpes com ingressos representam apenas uma parte de um ecossistema criminoso muito maior. Os fraudadores também operam lojas de produtos falsificados, plataformas de apostas esportivas fraudulentas e serviços de streaming fraudulentos que não apenas cobram taxas de assinatura, mas também distribuem malware capaz de conceder aos invasores controle remoto sobre os dispositivos das vítimas.

Outros esquemas incluem notificações falsas da loteria da FIFA prometendo prêmios de até US$ 2 milhões. Pesquisadores também identificaram um mercado crescente de phishing como serviço, onde criminosos podem comprar kits de golpes prontos e bots automatizados para compra de ingressos, facilitando a entrada de novos agentes no cenário de fraudes.

Essas operações são altamente interligadas. Domínios falsos capturam buscas relacionadas a ingressos, anúncios e resultados de busca manipulados geram tráfego, bancos de dados de credenciais roubadas permitem a invasão de contas e aplicativos móveis maliciosos transformam uma busca por transmissões gratuitas em fraude bancária.

Aplicativos de streaming que roubam mais do que atenção

Para os fãs que procuram transmissões gratuitas da Copa do Mundo, os dispositivos móveis podem representar o maior risco.

Pesquisadores observaram recentemente um aumento de aplicativos de streaming não oficiais maliciosos, que se fazem passar por serviços populares como o RojaDirecta, durante a final da Liga dos Campeões da UEFA. Espera-se que campanhas semelhantes se intensifiquem durante a Copa do Mundo.

Muitos desses aplicativos foram associados a trojans bancários para Android, incluindo famílias de malware conhecidas como Massiv e Perseus. Como esses aplicativos não estão disponíveis na Google Play, os usuários precisam ignorar os avisos de segurança integrados do Android para instalá-los.

Uma vez instalado, o malware explora os serviços de acessibilidade do Android para obter amplo controle sobre o dispositivo. Os invasores podem exibir páginas de login bancárias falsas sobre aplicativos legítimos, registrar as teclas digitadas, interceptar códigos de autenticação de uso único enviados por SMS e aplicativos de autenticação, e operar o dispositivo remotamente.

O Perseus, desenvolvido a partir do código-fonte vazado do trojan bancário Cerberus, vai ainda mais longe, buscando senhas armazenadas e frases de recuperação de criptomoedas em aplicativos de anotações.

Um aplicativo de streaming que solicita permissões de acessibilidade sem um motivo legítimo deve ser tratado como um grave sinal de alerta de segurança.

As redes sociais se tornam um campo de caça.

As plataformas de redes sociais se tornaram um dos principais canais de distribuição de golpes relacionados à Copa do Mundo.

Pesquisadores descobriram mais de 55 campanhas publicitárias com temática de futebol no Facebook e Instagram, promovendo camisas falsificadas, itens colecionáveis falsos da Panini e sites de phishing. A análise da infraestrutura de publicidade vinculou várias dessas operações a operadores chineses.

Os investigadores também catalogaram mais de 1.700 contas falsas da FIFA nas redes sociais, das quais quase 90% operam no Facebook e no Instagram. Uma campanha notória utilizou anúncios de emprego e convites para eventos da FIFA fraudulentos para redirecionar os candidatos a páginas de login falsas do Google.

Entretanto, credenciais roubadas da FIFA já estão circulando em mercados criminosos. Pesquisadores de segurança vincularam centenas de milhares de contas de usuários comprometidas e mais de 4.600 endereços da web relacionados à FIFA a famílias de malware para roubo de credenciais, como Vidar, LummaC2 e RedLine.

Riscos do Wi-Fi público nas cidades anfitriãs

As redes sem fio nas cidades-sede da Copa do Mundo introduzem mais uma camada de risco.

Uma pesquisa realizada na Cidade do México, Monterrey e Guadalajara revelou que entre 10% e 12% das redes Wi-Fi detectadas eram completamente abertas e desprotegidas. Quase metade delas ainda tinha o Wi-Fi Protected Setup (WPS) ativado, criando oportunidades adicionais para ataques.

Essas vulnerabilidades facilitam a implantação de hotspots "gêmeos malignos" por criminosos — redes maliciosas projetadas para imitar pontos de acesso Wi-Fi legítimos e interceptar secretamente o tráfego do usuário.

Como fãs e organizações podem se manter protegidos

Diversos sinais de alerta podem ajudar a identificar golpes relacionados à Copa do Mundo antes que ocorram danos:

• Compre ingressos somente pelo site oficial da FIFA e digite o endereço manualmente, em vez de confiar em anúncios ou links de mecanismos de busca. Ative a autenticação de dois fatores em suas contas da FIFA e evite que vendedores solicitem pagamentos em criptomoedas.
• Evite instalar aplicativos de streaming não oficiais, principalmente aqueles que solicitam permissões de acessibilidade. Ao usar Wi-Fi público nas cidades anfitriãs, utilize dados móveis sempre que possível e evite acessar contas bancárias, e-mails ou outras contas confidenciais.

As organizações também têm um papel importante a desempenhar. As equipes de segurança devem monitorar domínios recém-registrados com o tema FIFA, detectar páginas de login fraudulentas, identificar funcionários ou clientes expostos em vazamentos de credenciais do Vidar, LummaC2 ou RedLine e preparar as equipes de resposta a fraudes para o aumento de contestações de ingressos e estornos durante todo o torneio.

As ameaças que ainda aguardam para serem ativadas.

Talvez a descoberta mais preocupante seja que aproximadamente 3.800 domínios fraudulentos conhecidos, relacionados à FIFA, permanecem inativos e estacionados, prontos para serem utilizados a qualquer momento.

Com kits de phishing, bots automatizados e credenciais roubadas já amplamente disponíveis, os pesquisadores preveem que o período de maior risco ocorrerá de 11 de junho a 19 de julho. Durante esse período, as buscas por ingressos, reservas de viagens e serviços de streaming atingirão seu pico, criando as condições ideais para que os cibercriminosos expandam suas operações.