Превара са ФИФА Светским првенством 2026.
Истраживачи безбедности и ФБИ упозоравају да је велики талас превара са темом ФИФА већ усмерен на навијаче Светског првенства 2026. године, упркос томе што турнир почиње тек 11. јуна.
Овај догађај представља атрактивну прилику за сајбер криминалце. Очекује се да ће више од шест милиона гледалаца присуствовати утакмицама у 16 градова у Сједињеним Државама, Канади и Мексику. ФИФА је известила да је примила преко 150 милиона захтева за карте у првих 15 дана продаје, што потражњу чини отприлике 30 пута већом од расположиве понуде. Оскудне карте, забринути навијачи и брзо пролазне трансакције створили су идеалне услове за преваре великих размера.
Недавне истраге су откриле хиљаде лажних домена са темом ФИФА-е, злонамерни софтвер скривен унутар неовлашћених апликација за стримовање и софистициране фишинг кампање способне за отмицу легитимних ФИФА налога.
Преглед садржаја
Успон фишинг мреже GHOST STADIUM
Истраживачи су идентификовали више од 4.300 лажних домена повезаних са ФИФА-ом регистрованих од августа 2025. године. У центру ове активности је финансијски мотивисана група која говори кинески језик, позната као GHOST STADIUM, која управља фишинг инфраструктуром која обухвата више од 300 веб локација.
Операција се ослања на веома убедљиву реплику званичне веб странице ФИФА. Лажне странице верно имитирају ФИФА-ин систем јединственог пријављивања који користи PingIdentity и чак користе легитимни ИД клијента копиран са праве платформе. Ради повећања кредибилитета, слике се учитавају директно са ФИФА-иних сервера, помажући сајтовима да избегну неке методе детекције које означавају копирани садржај.
Најштетнија карактеристика је лажна функција ресетовања лозинке. Жртве које несвесно унесу своје податке за приступ предају контролу над својим налозима нападачима, који затим могу да закључају законитог власника и препродају све повезане карте.
Саобраћај се првенствено усмерава путем Фејсбук огласа, са идентичним идентификаторима за праћење који се појављују широм фишинг мреже. Додатни посетиоци долазе путем Телеграм канала, WhatsApp порука и манипулисаних резултата претраге.
Инфраструктура преваре прихвата плаћања путем више канала, укључујући директне трансакције картицама, платне системе трећих страна, услуге трансфера новца као што су Chime и Nequi, регионалне мексичке процесоре и системе за конверзију криптовалута. Опција са криптовалутама је посебно опасна јер враћање украдених средстава постаје знатно теже.
Један јасан знак упозорења се истиче: званична платформа ФИФА за продају карата не прихвата криптовалуте. Сваки продавац који захтева плаћање криптовалутама треба сматрати преварантом.
Истраживачи процењују да би само преваре са премијум и улазницама за угоститељство могле да генеришу губитке у распону од 71 милиона до 474 милиона долара. На основу обима откривене инфраструктуре, укупна штета би потенцијално могла да достигне милијарде долара, иако су ове бројке још увек пројекције, а не потврђени губици.
Растући екосистем превара
Само између јануара и маја регистровано је више од 13.000 домена са темом Светског првенства, а приближно 8,8% је идентификовано као злонамерно или сумњиво.
ФБИ је већ објавио упозорења у којима се наводе бројни лажни домени повезани са ФИФА, укључујући погрешно написане веб странице које личе на оне које су наведене у име ФИФА и лажне портале за запошљавање у ФИФА. Истражитељи очекују да ће се појавити додатни злонамерни домени како се турнир приближава. Други безбедносни тимови су такође идентификовали хиљаде имитација веб страница и више од хиљаду лажних профила на друштвеним мрежама.
Преваре са улазницама представљају само један део много већег криминалног екосистема. Преваранти такође воде продавнице фалсификоване робе, лажне платформе за спортско клађење и лажне стриминг сервисе који не само да наплаћују претплату већ и дистрибуирају злонамерни софтвер који може да омогући нападачима даљинску контролу над уређајима жртава.
Додатне шеме укључују лажна обавештења о ФИФА лутрији која обећавају награде до 2 милиона долара. Истраживачи су такође идентификовали растуће тржиште фишинга као услуге где криминалци могу да купе готове комплете за превару и аутоматизоване ботове за куповину карата, што олакшава новим актерима улазак у свет превара.
Ове операције су у великој мери међусобно повезане. Лажни домени бележе претраге везане за карте, рекламе и манипулисани резултати претраге генеришу саобраћај, украдене базе података акредитива омогућавају преузимање налога, а злонамерне мобилне апликације трансформишу потрагу за бесплатним стримовима у банкарску превару.
Стриминг апликације које краду више од пажње
За навијаче који траже бесплатне преносе Светског првенства, мобилни уређаји могу представљати највећи ризик.
Истраживачи су недавно приметили пораст злонамерних незваничних апликација за стримовање које се маскирају као популарне услуге попут RojaDirecta око финала Лиге шампиона УЕФА. Очекује се да ће се сличне кампање интензивирати током Светског првенства.
Многе од ових апликација су повезане са тројанцима за банкарство на Андроиду, укључујући породице злонамерних програма познате као Massiv и Perseus. Пошто ове апликације нису доступне преко Google Play-а, корисници морају да заобиђу уграђена безбедносна упозорења Андроида да би их инсталирали.
Једном инсталиран, злонамерни софтвер злоупотребљава Андроид сервисе за приступачност како би стекао опсежну контролу над уређајем. Нападачи могу да приказују лажне странице за пријаву на банкарске рачуне преко легитимних апликација, снимају притиске на тастатуре, пресретну једнократне кодове за аутентификацију из СМС порука и апликација за аутентификацију и даљински управљају уређајем.
Персеј, који је развијен коришћењем процурелог изворног кода банкарског тројанца Церберус, иде још даље претражујући апликације за белешке у потрази за сачуваним лозинкама и фразама за опоравак криптовалута.
Апликација за стримовање која захтева дозволе за приступ без оправданог разлога треба да се третира као озбиљно безбедносно упозорење.
Друштвене мреже постају ловиште
Платформе друштвених медија постале су главни дистрибутивни канал за преваре везане за Светско првенство.
Истраживачи су открили више од 55 рекламних кампања са фудбалском тематиком на Фејсбуку и Инстаграму које промовишу фалсификоване дресове, лажне колекционарске предмете марке Панини и фишинг веб странице. Анализа рекламне инфраструктуре повезала је неколико ових операција са кинеским оператерима.
Истражитељи су такође каталогизовали више од 1.700 лажних ФИФА налога на друштвеним мрежама, од којих скоро 90% послује на Фејсбуку и Инстаграму. Једна значајна кампања користила је лажне огласе за посао у ФИФА и позивнице из календара како би преусмерила кандидате на лажне странице за пријаву на Гугл.
У међувремену, украдени ФИФА акредитиви већ круже на криминалним тржиштима. Истраживачи безбедности повезали су стотине хиљада угрожених корисничких налога и више од 4.600 веб адреса повезаних са ФИФА са породицама злонамерних програма за крађу акредитива, као што су Vidar, LummaC2 и RedLine.
Ризици јавног Wi-Fi-ја у градовима домаћинима
Бежичне мреже у градовима домаћинима Светског првенства уводе још један слој ризика.
Анкета спроведена у Мексико Ситију, Монтереју и Гвадалахари показала је да је између 10% и 12% откривених Wi-Fi мрежа било потпуно отворено и необезбеђено. Скоро половина је и даље имала омогућен Wi-Fi Protected Setup (WPS), што је стварало додатне могућности за нападе.
Ове слабости олакшавају криминалцима да постављају „зле близанце“ – злонамерне мреже дизајниране да имитирају легитимне Wi-Fi приступне тачке и тајно пресретну кориснички саобраћај.
Како навијачи и организације могу остати заштићени
Неколико знакова упозорења може помоћи у идентификацији превара повезаних са Светским првенством пре него што дође до штете:
- Купујте карте само преко званичне веб странице ФИФА и ручно унесите веб адресу уместо да се ослањате на рекламе или линкове претраживача. Омогућите вишефакторску аутентификацију на ФИФА налозима и избегавајте да било који продавац тражи плаћања криптовалутом.
- Избегавајте инсталирање незваничних апликација за стримовање, посебно оних које захтевају дозволе за приступ. Када користите јавни Wi-Fi у градовима домаћинима, ослањајте се на мобилне податке кад год је то могуће и избегавајте приступ банкарским услугама, имејлу или другим осетљивим налозима.
Организације такође имају важну улогу. Безбедносни тимови треба да прате новорегистроване домене са темом ФИФА, откривају лажне странице за пријаву, идентификују запослене или купце откривене у дамповима акредитива Vidar, LummaC2 или RedLine и припреме тимове за реаговање на преваре за повећане спорове око карата и активности повраћаја средстава током турнира.
Претње које још увек чекају да се активирају
Можда најзабрињавајући налаз је да отприлике 3.800 познатих лажних домена повезаних са ФИФА-ом остаје неактивно и паркирано, спремно за распоређивање у било ком тренутку.
С обзиром на то да су фишинг комплети, аутоматизовани ботови и украдени акредитиви већ широко доступни, истраживачи очекују да ће период највећег ризика трајати од 11. јуна до 19. јула. Током тог периода, претраге карата, путних аранжмана и стриминг сервиса достићи ће врхунац, стварајући идеалне услове за киберкриминалце да прошире своје пословање.
