Афера с Чемпионатом мира по футболу FIFA 2026
Специалисты по информационной безопасности и ФБР предупреждают, что масштабная волна мошенничества, связанного с ФИФА, уже нацелена на болельщиков Чемпионата мира по футболу 2026 года, несмотря на то, что турнир начнется только 11 июня.
Это событие представляет собой привлекательную возможность для киберпреступников. Ожидается, что матчи в 16 городах США, Канады и Мексики посетят более шести миллионов зрителей. ФИФА сообщила о получении более 150 миллионов заявок на билеты в течение первых 15 дней продаж, что примерно в 30 раз превышает предложение. Дефицит билетов, беспокойство болельщиков и быстрая обработка транзакций создали идеальные условия для крупномасштабного мошенничества.
Недавние расследования выявили тысячи мошеннических доменов, связанных с FIFA, вредоносное ПО, скрытое в несанкционированных приложениях для потоковой передачи видео, и сложные фишинговые кампании, способные взломать легитимные учетные записи FIFA.
Оглавление
Расцвет фишинговой сети «Стадион-призрак»
Исследователи выявили более 4300 мошеннических доменов, связанных с ФИФА, зарегистрированных с августа 2025 года. В центре этой деятельности находится финансово мотивированная китайскоязычная группа, известная как GHOST STADIUM, которая управляет фишинговой инфраструктурой, охватывающей более 300 веб-сайтов.
Операция основана на создании крайне убедительной копии официального сайта FIFA. Поддельные страницы точно имитируют систему единого входа FIFA на базе PingIdentity и даже используют подлинный идентификатор клиента, скопированный с реальной платформы. Для повышения достоверности изображения загружаются непосредственно с серверов FIFA, что помогает сайтам обходить некоторые методы обнаружения, которые выявляют скопированный контент.
Наиболее опасная функция — это мошенническая функция сброса пароля. Жертвы, вводящие свои учетные данные, неосознанно передают контроль над своими учетными записями злоумышленникам, которые затем могут заблокировать доступ законному владельцу и перепродать связанные с ним билеты.
Основной трафик поступает через рекламу в Facebook, при этом в фишинговой сети используются идентичные идентификаторы отслеживания. Дополнительные посетители попадают через каналы Telegram, сообщения WhatsApp и поддельные результаты поиска.
Мошенническая схема принимает платежи через множество каналов, включая прямые транзакции с использованием карт, сторонние платежные системы, сервисы денежных переводов, такие как Chime и Nequi, региональные мексиканские платежные системы и системы конвертации криптовалют. Вариант с криптовалютой особенно опасен, поскольку вернуть украденные средства становится значительно сложнее.
Один очевидный тревожный признак бросается в глаза: официальная платформа FIFA по продаже билетов не принимает криптовалюту. Любой продавец, запрашивающий криптовалютные платежи, должен считаться мошенником.
По оценкам исследователей, только мошенничество с билетами премиум-класса и билетами для VIP-клиентов может привести к убыткам в размере от 71 до 474 миллионов долларов. Учитывая масштабы обнаруженной инфраструктуры, общий ущерб потенциально может достичь миллиардов долларов, хотя эти цифры пока являются прогнозами, а не подтвержденными убытками.
Растущая экосистема мошенничества
Только в период с января по май было зарегистрировано более 13 000 доменов, связанных с чемпионатом мира по футболу, при этом примерно 8,8% из них были идентифицированы как вредоносные или подозрительные.
ФБР уже опубликовало предупреждения, в которых перечислены многочисленные мошеннические домены, связанные с ФИФА, включая сайты-клоны с орфографическими ошибками и поддельные порталы по трудоустройству ФИФА. Следователи ожидают появления новых вредоносных доменов по мере приближения турнира. Другие группы по обеспечению безопасности также выявили тысячи поддельных веб-сайтов и более тысячи фейковых профилей в социальных сетях.
Мошенничество с билетами — лишь одна часть гораздо более масштабной криминальной экосистемы. Мошенники также управляют магазинами поддельных товаров, фальшивыми платформами для ставок на спорт и мошенническими стриминговыми сервисами, которые не только взимают абонентскую плату, но и распространяют вредоносное ПО, способное предоставить злоумышленникам удаленный контроль над устройствами жертв.
К дополнительным мошенническим схемам относятся поддельные уведомления о лотерее FIFA, обещающие призы до 2 миллионов долларов. Исследователи также выявили расширяющийся рынок фишинга как услуги, где преступники могут приобретать готовые наборы для мошенничества и автоматизированных ботов для покупки билетов, что облегчает новым участникам рынка выход на мошеннический рынок.
Эти операции тесно взаимосвязаны. Поддельные домены перехватывают поисковые запросы, связанные с билетами, реклама и манипулированные результаты поиска генерируют трафик, украденные базы данных учетных данных позволяют захватывать учетные записи, а вредоносные мобильные приложения превращают поиск бесплатных трансляций в банковское мошенничество.
Приложения для потокового вещания, которые отвлекают больше внимания, чем просто внимание.
Для болельщиков, ищущих бесплатные трансляции Чемпионата мира по футболу, мобильные устройства могут представлять наибольший риск.
Недавно исследователи зафиксировали всплеск вредоносных неофициальных приложений для потокового вещания, маскирующихся под популярные сервисы, такие как RojaDirecta, в период финала Лиги чемпионов УЕФА. Ожидается, что аналогичные кампании усилятся во время чемпионата мира по футболу.
Многие из этих приложений связаны с банковскими троянами для Android, включая семейства вредоносных программ, известные как Massiv и Perseus. Поскольку эти приложения недоступны через Google Play, пользователям приходится обходить встроенные предупреждения безопасности Android, чтобы установить их.
После установки вредоносное ПО использует службы специальных возможностей Android для получения широкого контроля над устройством. Злоумышленники могут отображать поддельные страницы входа в банковские системы поверх легитимных приложений, записывать нажатия клавиш, перехватывать одноразовые коды аутентификации из SMS-сообщений и приложений-аутентификаторов, а также удаленно управлять устройством.
Perseus, разработанный с использованием просочившегося в сеть исходного кода банковского трояна Cerberus, идет еще дальше, осуществляя поиск сохраненных паролей и фраз восстановления криптовалюты в приложениях для ведения заметок.
Запрос разрешений на использование специальных возможностей со стороны потокового приложения без уважительной причины следует рассматривать как серьезное предупреждение о безопасности.
Социальные сети превращаются в охотничьи угодья.
Социальные сети стали основным каналом распространения мошеннических схем, связанных с чемпионатом мира по футболу.
Исследователи обнаружили более 55 рекламных кампаний на футбольную тематику в Facebook и Instagram, продвигающих поддельные футболки, фальшивые коллекционные предметы Panini и фишинговые веб-сайты. Анализ рекламной инфраструктуры позволил связать несколько из этих операций с китайскими операторами.
Следователи также выявили более 1700 поддельных аккаунтов FIFA в социальных сетях, почти 90% из которых работают в Facebook и Instagram. Одна из наиболее известных кампаний использовала мошеннические объявления о вакансиях FIFA и приглашения в календарь, чтобы перенаправлять соискателей на поддельные страницы входа в Google.
Тем временем украденные учетные данные FIFA уже циркулируют на криминальных рынках. Исследователи в области безопасности связали сотни тысяч скомпрометированных учетных записей пользователей и более 4600 веб-адресов, связанных с FIFA, с семействами вредоносных программ, крадущих учетные данные, такими как Vidar, LummaC2 и RedLine.
Риски, связанные с использованием общедоступного Wi-Fi в городах-участниках.
Беспроводные сети в городах, принимающих чемпионат мира по футболу, создают дополнительный уровень риска.
Опрос, проведенный в Мехико, Монтеррее и Гвадалахаре, показал, что от 10% до 12% обнаруженных сетей Wi-Fi были полностью открытыми и незащищенными. Почти в половине из них по-прежнему была включена функция Wi-Fi Protected Setup (WPS), что создавало дополнительные возможности для атак.
Эти уязвимости облегчают преступникам развертывание «злых двойников» — вредоносных сетей, предназначенных для имитации легитимных точек доступа Wi-Fi и скрытого перехвата пользовательского трафика.
Как болельщики и организации могут защитить себя
Несколько предупреждающих признаков помогут выявить мошенничество, связанное с Чемпионатом мира по футболу, до того, как будет нанесен ущерб:
- Покупайте билеты только через официальный сайт FIFA и вводите веб-адрес вручную, вместо того чтобы полагаться на рекламу или ссылки в поисковых системах. Включите многофакторную аутентификацию в учетных записях FIFA и избегайте продавцов, запрашивающих платежи в криптовалюте.
- Избегайте установки неофициальных потоковых приложений, особенно тех, которые запрашивают разрешения на использование специальных возможностей. При использовании общедоступного Wi-Fi в городах, где проводятся мероприятия, по возможности используйте мобильный интернет и избегайте доступа к банковским счетам, электронной почте или другим конфиденциальным учетным записям.
Организации также играют важную роль. Группы безопасности должны отслеживать недавно зарегистрированные домены, связанные с FIFA, выявлять мошеннические страницы входа в систему, идентифицировать сотрудников или клиентов, данные которых были скомпрометированы в результате утечек данных через Vidar, LummaC2 или RedLine, и готовить группы реагирования на мошенничество к увеличению количества споров по билетам и возвратов платежей на протяжении всего турнира.
Угрозы, еще ожидающие активации.
Пожалуй, наиболее тревожным является тот факт, что около 3800 известных мошеннических доменов, связанных с ФИФА, остаются неактивными и находятся в режиме ожидания, готовые к использованию в любой момент.
Учитывая широкое распространение фишинговых наборов, автоматизированных ботов и украденных учетных данных, исследователи ожидают, что период наибольшего риска придется на 11 июня — 19 июля. В это время поисковые запросы на билеты, бронирование поездок и стриминговые сервисы достигнут своего пика, создавая идеальные условия для расширения деятельности киберпреступников.
