Prevara s svetovnim prvenstvom v nogometu 2026
Varnostni raziskovalci in FBI opozarjajo, da je obsežen val goljufij s tematiko FIFA že usmerjen proti navijačem svetovnega prvenstva 2026, čeprav se turnir začne šele 11. junija.
Dogodek predstavlja privlačno priložnost za kibernetske kriminalce. Pričakuje se, da si bo tekem v 16 mestih v Združenih državah Amerike, Kanadi in Mehiki ogledalo več kot šest milijonov gledalcev. FIFA je poročala, da je v prvih 15 dneh prodaje prejela več kot 150 milijonov zahtevkov za vstopnice, zaradi česar je povpraševanje približno 30-krat večje od razpoložljive ponudbe. Pomanjkanje vstopnic, zaskrbljeni navijači in hitro odvijajoče se transakcije so ustvarili idealne pogoje za obsežne goljufije.
Nedavne preiskave so odkrile na tisoče goljufivih domen s tematiko FIFA, zlonamerno programsko opremo, skrito v nepooblaščenih aplikacijah za pretakanje, in sofisticirane phishing kampanje, ki lahko ugrabijo legitimne račune FIFA.
Kazalo
Vzpon lažnega omrežja GHOST STADIUM
Raziskovalci so od avgusta 2025 odkrili več kot 4300 goljufivih domen, povezanih s FIFA, registriranih. V središču te dejavnosti je finančno motivirana kitajsko govoreča skupina, znana kot GHOST STADIUM, ki upravlja infrastrukturo za lažno predstavljanje, ki obsega več kot 300 spletnih mest.
Operacija temelji na zelo prepričljivi repliki uradne spletne strani FIFA. Lažne strani natančno posnemajo FIFA-in sistem enotne prijave, ki ga poganja PingIdentity, in celo uporabljajo legitimno ID stranke, kopirano s prave platforme. Za večjo verodostojnost se slike nalagajo neposredno s FIFA-inih strežnikov, kar spletnim mestom pomaga izogniti se nekaterim metodam zaznavanja, ki označujejo kopirano vsebino.
Najbolj škodljiva funkcija je goljufiva funkcija ponastavitve gesla. Žrtve, ki nevede vnesejo svoje poverilnice, predajo nadzor nad svojimi računi napadalcem, ki lahko nato zaklenejo zakonitega lastnika in preprodajo vse povezane vstopnice.
Promet v glavnem prihaja prek oglasov na Facebooku, pri čemer se v celotnem lažnem omrežju pojavljajo enaki identifikatorji za sledenje. Dodatni obiskovalci prihajajo prek kanalov Telegram, sporočil WhatsApp in prirejenih rezultatov iskanja.
Goljufiva infrastruktura sprejema plačila prek več kanalov, vključno z neposrednimi transakcijami s karticami, plačilnimi prehodi tretjih oseb, storitvami za prenos denarja, kot sta Chime in Nequi, regionalnimi mehiškimi procesorji in sistemi za pretvorbo kriptovalut. Možnost kriptovalute je še posebej nevarna, ker je povračilo ukradenih sredstev bistveno težje.
Izstopa en jasen opozorilni znak: uradna platforma FIFA za prodajo vstopnic ne sprejema kriptovalut. Vsakega prodajalca, ki zahteva plačila s kriptovalutami, je treba obravnavati kot goljufa.
Raziskovalci ocenjujejo, da bi lahko goljufije s premijskimi in gostinskimi vstopnicami povzročile izgube v višini od 71 do 474 milijonov dolarjev. Glede na obseg odkrite infrastrukture bi lahko skupna škoda dosegla milijarde dolarjev, čeprav so te številke še vedno le projekcije in ne potrjene izgube.
Rastoči ekosistem goljufij
Samo med januarjem in majem je bilo registriranih več kot 13.000 domen s tematiko svetovnega prvenstva, od katerih jih je bilo približno 8,8 % prepoznanih kot zlonamernih ali sumljivih.
FBI je že objavil opozorila, v katerih je navedel številne goljufive domene, povezane s FIFA, vključno z napačno črkovanimi spletnimi mesti, ki so podobna domenam, in lažnimi zaposlitvenimi portali FIFA. Preiskovalci pričakujejo, da se bodo z bližanjem prvenstva pojavile še dodatne zlonamerne domene. Druge varnostne ekipe so prav tako odkrile na tisoče ponarejenih spletnih mest in več kot tisoč lažnih profilov na družbenih omrežjih.
Prevare z vstopnicami predstavljajo le del veliko večjega kriminalnega ekosistema. Goljufi upravljajo tudi trgovine s ponarejenim blagom, lažne platforme za športne stave in goljufive storitve pretakanja, ki ne le zaračunavajo naročnine, temveč tudi distribuirajo zlonamerno programsko opremo, ki lahko napadalcem omogoči oddaljeni nadzor nad napravami žrtev.
Dodatne sheme vključujejo lažna obvestila o loteriji FIFA, ki obljubljajo nagrade do 2 milijona dolarjev. Raziskovalci so odkrili tudi rastoči trg lažnega predstavljanja kot storitve, kjer lahko kriminalci kupijo že pripravljene komplete za prevare in avtomatizirane bote za nakup vstopnic, kar novim akterjem olajša vstop v okolje goljufij.
Te operacije so tesno povezane. Lažne domene zajemajo iskanja, povezana z vstopnicami, oglasi in prirejeni rezultati iskanja ustvarjajo promet, ukradene baze podatkov o poverilnicah omogočajo prevzem računov, zlonamerne mobilne aplikacije pa iskanje brezplačnih pretokov spremenijo v bančno goljufijo.
Aplikacije za pretakanje, ki kradejo več kot le pozornost
Za navijače, ki iščejo brezplačne prenose svetovnega prvenstva, so mobilne naprave lahko največje tveganje.
Raziskovalci so nedavno opazili porast zlonamernih neuradnih aplikacij za pretakanje, ki se maskirajo kot priljubljene storitve, kot je RojaDirecta, v času finala Lige prvakov UEFA. Pričakuje se, da se bodo podobne kampanje okrepile med svetovnim prvenstvom.
Številne od teh aplikacij so bile povezane s trojanci za Android, vključno z družinami zlonamerne programske opreme, znanimi kot Massiv in Perseus. Ker te aplikacije niso na voljo v trgovini Google Play, morajo uporabniki zaobiti vgrajena varnostna opozorila sistema Android, da jih lahko namestijo.
Ko je zlonamerna programska oprema nameščena, zlorablja storitve dostopnosti Androida, da pridobi obsežen nadzor nad napravo. Napadalci lahko prek legitimnih aplikacij prikažejo lažne strani za prijavo v bančništvo, snemajo pritiske tipk, prestrežejo enkratne kode za preverjanje pristnosti iz SMS sporočil in aplikacij za preverjanje pristnosti ter daljinsko upravljajo napravo.
Perseus, ki je bil razvit z uporabo razkrite izvorne kode bančnega trojanca Cerberus, gre še dlje, saj v aplikacijah za beleženje gesel išče shranjena gesla in fraze za obnovitev kriptovalut.
Aplikacija za pretakanje, ki zahteva dovoljenja za dostopnost brez legitimnega razloga, je treba obravnavati kot resno varnostno opozorilo.
Družbeni mediji postajajo lovišče
Platforme družbenih medijev so postale glavni distribucijski kanal za prevare, povezane s svetovnim prvenstvom.
Raziskovalci so odkrili več kot 55 oglaševalskih kampanj z nogometno tematiko na Facebooku in Instagramu, ki promovirajo ponarejene drese, lažne zbirateljske predmete Panini in spletna mesta za lažno predstavljanje. Analiza oglaševalske infrastrukture je več teh operacij povezala s kitajskimi operaterji.
Preiskovalci so katalogizirali tudi več kot 1700 lažnih računov FIFA na družbenih omrežjih, od katerih jih skoraj 90 % deluje na Facebooku in Instagramu. Ena od opaznih kampanj je uporabljala lažne oglase za zaposlitev pri FIFA in vabila v koledarju, da bi kandidate preusmerila na ponarejene strani za prijavo v Google.
Medtem ukradene poverilnice FIFA že krožijo na kriminalnih trgih. Varnostni raziskovalci so povezali več sto tisoč ogroženih uporabniških računov in več kot 4600 spletnih naslovov, povezanih s FIFA, z družinami zlonamerne programske opreme za krajo poverilnic, kot so Vidar, LummaC2 in RedLine.
Tveganja javnih omrežij Wi-Fi v mestih gostiteljih
Brezžična omrežja v mestih, ki gostijo svetovno prvenstvo, uvajajo še eno plast tveganja.
Raziskava, izvedena v Mexico Cityju, Monterreyu in Guadalajari, je pokazala, da je bilo med 10 % in 12 % zaznanih omrežij Wi-Fi popolnoma odprtih in nezaščitenih. Skoraj polovica jih je še vedno imela omogočen Wi-Fi Protected Setup (WPS), kar je ustvarjalo dodatne možnosti za napade.
Zaradi teh slabosti kriminalci lažje vzpostavijo dostopne točke »zlobnih dvojčkov« – zlonamerna omrežja, zasnovana za posnemanje legitimnih dostopnih točk Wi-Fi in skrivno prestrezanje uporabniškega prometa.
Kako lahko navijači in organizacije ostanejo zaščiteni
Več opozorilnih znakov lahko pomaga prepoznati prevare, povezane s svetovnim prvenstvom, preden pride do škode:
- Vstopnice kupujte samo prek uradne spletne strani FIFA in spletni naslov vnesite ročno, namesto da se zanašate na oglase ali povezave iskalnikov. Omogočite večfaktorsko preverjanje pristnosti v računih FIFA in se izognite zahtevam plačil s kriptovalutami od prodajalcev.
- Izogibajte se nameščanju neuradnih aplikacij za pretakanje, zlasti tistih, ki zahtevajo dovoljenja za dostop. Pri uporabi javnega omrežja Wi-Fi v mestih gostiteljih se, kadar koli je to mogoče, zanašajte na mobilne podatke in se izogibajte dostopu do bančnih storitev, e-pošte ali drugih občutljivih računov.
Pomembno vlogo imajo tudi organizacije. Varnostne ekipe bi morale spremljati novo registrirane domene s tematiko FIFA, odkrivati goljufive strani za prijavo, identificirati zaposlene ali stranke, izpostavljene v izpisih poverilnic Vidar, LummaC2 ali RedLine, in pripraviti ekipe za odzivanje na goljufije za povečane spore glede vstopnic in vračila plačil med turnirjem.
Grožnje, ki še vedno čakajo na aktivacijo
Morda najbolj zaskrbljujoča ugotovitev je, da približno 3800 znanih goljufivih domen, povezanih s FIFA, ostaja neaktivnih in parkiranih, pripravljenih za uporabo kadar koli.
Ker so kompleti za lažno predstavljanje, avtomatizirani boti in ukradene poverilnice že široko dostopni, raziskovalci pričakujejo, da bo obdobje z največjim tveganjem trajalo od 11. junija do 19. julija. V tem obdobju bodo iskanja vstopnic, potovalnih aranžmajev in storitev pretakanja dosegla vrhunec, kar bo ustvarilo idealne pogoje za širitev delovanja kibernetskih kriminalcev.
