Escrocheria Cupei Mondiale FIFA 2026

Cercetătorii în domeniul securității datelor și FBI avertizează că un val de fraude la scară largă cu tematică FIFA vizează deja fanii Cupei Mondiale din 2026, în ciuda faptului că turneul nu începe decât pe 11 iunie.

Evenimentul prezintă o oportunitate atractivă pentru infractorii cibernetici. Peste șase milioane de spectatori sunt așteptați la meciuri în 16 orașe din Statele Unite, Canada și Mexic. FIFA a raportat că a primit peste 150 de milioane de cereri de bilete în primele 15 zile de la vânzare, ceea ce face ca cererea să fie de aproximativ 30 de ori mai mare decât oferta disponibilă. Biletele insuficiente, fanii anxioși și tranzacțiile rapide au creat condiții ideale pentru fraude la scară largă.

Investigațiile recente au descoperit mii de domenii frauduloase cu tematică FIFA, programe malware ascunse în aplicații de streaming neautorizate și campanii sofisticate de phishing capabile să deturneze conturi FIFA legitime.

Ascensiunea rețelei de phishing GHOST STADIUM

Cercetătorii au identificat peste 4.300 de domenii frauduloase legate de FIFA, înregistrate din august 2025. În centrul acestei activități se află un grup vorbitor de chineză, motivat financiar, cunoscut sub numele de GHOST STADIUM, care operează o infrastructură de phishing care se întinde pe peste 300 de site-uri web.

Operațiunea se bazează pe o replică extrem de convingătoare a site-ului oficial al FIFA. Paginile false imită îndeaproape sistemul de autentificare unică (sone sign-on) al FIFA, bazat pe PingIdentity, și folosesc chiar și un ID de client legitim, copiat de pe platforma reală. Pentru a spori credibilitatea, imaginile sunt încărcate direct de pe serverele FIFA, ajutând site-urile să evite unele metode de detectare care semnalează conținutul copiat.

Cea mai dăunătoare caracteristică este o funcție frauduloasă de resetare a parolei. Victimele care își introduc datele de autentificare, fără să știe, predau controlul conturilor lor atacatorilor, care pot apoi bloca accesul proprietarului de drept și pot revinde orice bilete asociate.

Traficul este generat în principal prin reclame pe Facebook, cu identificatori de urmărire identici apărând în întreaga rețea de phishing. Vizitatori suplimentari sosesc prin canalele Telegram, mesajele WhatsApp și rezultatele căutării manipulate.

Infrastructura frauduloasă acceptă plăți prin canale multiple, inclusiv tranzacții directe cu cardul, gateway-uri de plată terțe, servicii de transfer de bani precum Chime și Nequi, procesatori regionali mexicani și sisteme de conversie a criptomonedelor. Opțiunea cu criptomonede este deosebit de periculoasă, deoarece recuperarea fondurilor furate devine semnificativ mai dificilă.

Un semnal de alarmă clar iese în evidență: platforma oficială de bilete a FIFA nu acceptă criptomonede. Orice vânzător care solicită plăți în criptomonede ar trebui considerat fraudulos.

Cercetătorii estimează că frauda cu bilete premium și de hotel ar putea genera pierderi cuprinse între 71 și 474 de milioane de dolari. Având în vedere amploarea infrastructurii descoperite, pagubele totale ar putea ajunge la miliarde de dolari, deși aceste cifre rămân proiecții, mai degrabă decât pierderi confirmate.

Un ecosistem de fraudă în creștere

Numai între ianuarie și mai, au fost înregistrate peste 13.000 de domenii cu tematică de la Cupa Mondială, aproximativ 8,8% fiind identificate ca fiind rău intenționate sau suspecte.

FBI a publicat deja avertismente care enumeră numeroase domenii frauduloase legate de FIFA, inclusiv site-uri web similare scrise greșit și portaluri false de angajare FIFA. Anchetatorii se așteaptă ca domenii malițioase suplimentare să apară pe măsură ce se apropie turneul. Alte echipe de securitate au identificat, de asemenea, mii de site-uri web contrafăcute și peste o mie de profiluri false de socializare.

Escrocheriile cu bilete reprezintă doar o parte a unui ecosistem infracțional mult mai amplu. Escrocii operează, de asemenea, magazine de produse contrafăcute, platforme false de pariuri sportive și servicii de streaming frauduloase care nu numai că percep taxe de abonament, dar distribuie și programe malware capabile să ofere atacatorilor control de la distanță asupra dispozitivelor victimelor.

Printre alte scheme se numără notificări false de la loteria FIFA care promit premii de până la 2 milioane de dolari. Cercetătorii au identificat, de asemenea, o piață în expansiune a serviciilor de phishing ca serviciu, unde infractorii pot achiziționa kituri de fraudă predefinite și roboți automati de cumpărare a biletelor, facilitând intrarea noilor actori în peisajul fraudei.

Aceste operațiuni sunt puternic interconectate. Domeniile false capturează căutări legate de tichete, reclamele și rezultatele căutărilor manipulate generează trafic, bazele de date cu acreditări furate permit preluarea conturilor, iar aplicațiile mobile rău intenționate transformă o căutare de stream-uri gratuite în fraudă bancară.

Aplicații de streaming care fură mai mult decât atenție

Pentru fanii care caută transmisiuni gratuite ale Cupei Mondiale, dispozitivele mobile pot prezenta cel mai mare risc.

Cercetătorii au observat recent o creștere a numărului de aplicații de streaming neoficiale, rău intenționate, care se deghizează în servicii populare precum RojaDirecta, în preajma finalei Ligii Campionilor UEFA. Se așteaptă ca campanii similare să se intensifice în timpul Cupei Mondiale.

Multe dintre aceste aplicații au fost asociate cu troieni bancari Android, inclusiv familii de programe malware cunoscute sub numele de Massiv și Perseus. Deoarece aceste aplicații nu sunt disponibile prin Google Play, utilizatorii trebuie să ocolească avertismentele de securitate încorporate în Android pentru a le instala.

Odată instalat, malware-ul abuzează de serviciile de accesibilitate Android pentru a obține control extins asupra dispozitivului. Atacatorii pot afișa pagini false de conectare la serviciile bancare prin aplicații legitime, pot înregistra apăsările de taste, pot intercepta coduri de autentificare unice din mesajele SMS și aplicațiile de autentificare și pot opera dispozitivul de la distanță.

Perseus, care a fost dezvoltat folosind cod sursă scurs de la trojanul bancar Cerberus, merge chiar mai departe, căutând în aplicațiile de luare de notițe parole stocate și fraze de recuperare a criptomonedelor.

O aplicație de streaming care solicită permisiuni de accesibilitate fără un motiv legitim ar trebui tratată ca un avertisment major de securitate.

Rețelele de socializare devin un teren de vânătoare

Platformele de socializare au devenit un canal principal de distribuție pentru escrocheriile legate de Cupa Mondială.

Cercetătorii au descoperit peste 55 de campanii publicitare cu tematică fotbalistică pe Facebook și Instagram care promovează tricouri contrafăcute, obiecte de colecție Panini contrafăcute și site-uri web de phishing. Analiza infrastructurii publicitare a asociat mai multe dintre aceste operațiuni cu operatori chinezi.

Anchetatorii au catalogat, de asemenea, peste 1.700 de conturi false de socializare FIFA, dintre care aproape 90% operează pe Facebook și Instagram. O campanie notabilă a folosit anunțuri de angajare FIFA frauduloase și invitații în calendar pentru a redirecționa candidații către pagini de conectare Google contrafăcute.

Între timp, acreditările FIFA furate circulă deja pe piețele criminale. Cercetătorii în domeniul securității au asociat sute de mii de conturi de utilizatori compromise și peste 4.600 de adrese web legate de FIFA cu familii de programe malware care fură acreditări, cum ar fi Vidar, LummaC2 și RedLine.

Riscuri legate de rețelele Wi-Fi publice în orașele gazdă

Rețelele wireless din orașele gazdă ale Cupei Mondiale introduc un alt nivel de risc.

Un sondaj realizat în Mexico City, Monterrey și Guadalajara a constatat că între 10% și 12% dintre rețelele Wi-Fi detectate erau complet deschise și nesecurizate. Aproape jumătate aveau încă activată funcția Wi-Fi Protected Setup (WPS), ceea ce creează oportunități suplimentare de atac.

Aceste puncte slabe facilitează implementarea de către infractori a unor hotspot-uri „gemeni malefici” - rețele rău intenționate concepute pentru a imita puncte de acces Wi-Fi legitime și a intercepta în secret traficul utilizatorilor.

Cum pot fi protejați fanii și organizațiile

Câteva semne de avertizare pot ajuta la identificarea escrocheriilor legate de Cupa Mondială înainte de producerea pagubelor:

• Cumpărați bilete doar prin intermediul site-ului oficial FIFA și introduceți manual adresa web, în loc să vă bazați pe reclame sau linkuri de pe motoarele de căutare. Activați autentificarea multi-factor pe conturile FIFA și evitați ca vânzătorul să solicite plăți în criptomonede.
• Evitați instalarea aplicațiilor de streaming neoficiale, în special a celor care solicită permisiuni de accesibilitate. Când utilizați rețele Wi-Fi publice în orașele gazdă, bazați-vă pe datele mobile ori de câte ori este posibil și evitați accesarea conturilor bancare, de e-mail sau a altor conturi sensibile.

Organizațiile au, de asemenea, un rol important de jucat. Echipele de securitate ar trebui să monitorizeze domeniile cu tematică FIFA nou înregistrate, să detecteze paginile de conectare frauduloase, să identifice angajații sau clienții expuși în dump-urile de acreditări Vidar, LummaC2 sau RedLine și să pregătească echipele de răspuns la fraude pentru creșterea disputelor privind biletele și a activității de returnare a plăților pe parcursul turneului.

Amenințările care încă așteaptă să se activeze

Poate cea mai îngrijorătoare constatare este că aproximativ 3.800 de domenii frauduloase cunoscute legate de FIFA rămân inactive și parcate, gata de implementare în orice moment.

Având în vedere că kiturile de phishing, boții automati și datele de autentificare furate sunt deja disponibile pe scară largă, cercetătorii se așteaptă ca perioada cu cel mai mare risc să fie între 11 iunie și 19 iulie. În această perioadă, căutările de bilete, aranjamente de călătorie și servicii de streaming vor atinge apogeul, creând condiții ideale pentru ca infractorii cibernetici să își extindă operațiunile.