การฉ้อโกงฟุตบอลโลก FIFA 2026

นักวิจัยด้านความปลอดภัยและเอฟบีไอเตือนว่า ขณะนี้มีการฉ้อโกงครั้งใหญ่ที่เกี่ยวข้องกับฟีฟ่าเกิดขึ้นแล้ว โดยพุ่งเป้าไปที่แฟน ๆ ฟุตบอลโลก 2026 แม้ว่าการแข่งขันจะยังไม่เริ่มจนถึงวันที่ 11 มิถุนายนก็ตาม

เหตุการณ์นี้เป็นโอกาสอันดีสำหรับอาชญากรไซเบอร์ คาดว่าจะมีผู้ชมมากกว่า 6 ล้านคนเข้าร่วมชมการแข่งขันใน 16 เมืองทั่วสหรัฐอเมริกา แคนาดา และเม็กซิโก ฟีฟ่ารายงานว่าได้รับคำขอซื้อตั๋วมากกว่า 150 ล้านใบภายใน 15 วันแรกของการเปิดขาย ทำให้ความต้องการสูงกว่าจำนวนตั๋วที่มีอยู่ประมาณ 30 เท่า ตั๋วที่หายาก แฟนบอลที่รอคอยอย่างใจจดใจจ่อ และการทำธุรกรรมที่รวดเร็ว ได้สร้างเงื่อนไขที่เหมาะสมสำหรับการฉ้อโกงขนาดใหญ่

การตรวจสอบล่าสุดได้เปิดเผยโดเมนปลอมที่ใช้ธีม FIFA นับพันรายการ มัลแวร์ที่ซ่อนอยู่ภายในแอปพลิเคชันสตรีมมิ่งที่ไม่ได้รับอนุญาต และแคมเปญฟิชชิ่งที่ซับซ้อนซึ่งสามารถแฮ็กบัญชี FIFA ที่ถูกต้องได้

การเกิดขึ้นของเครือข่ายฟิชชิ่ง GHOST STADIUM

นักวิจัยได้ระบุโดเมนที่เกี่ยวข้องกับ FIFA ที่เป็นการฉ้อโกงมากกว่า 4,300 โดเมน ซึ่งจดทะเบียนตั้งแต่เดือนสิงหาคม 2025 โดยมีกลุ่มที่พูดภาษาจีนซึ่งมีแรงจูงใจทางการเงินเป็นหลัก รู้จักกันในชื่อ GHOST STADIUM เป็นผู้ดำเนินการโครงสร้างพื้นฐานการหลอกลวงทางออนไลน์ที่ครอบคลุมเว็บไซต์มากกว่า 300 แห่ง

การปฏิบัติการนี้อาศัยเว็บไซต์ปลอมที่เลียนแบบเว็บไซต์ทางการของ FIFA ได้อย่างแนบเนียน หน้าเว็บปลอมเหล่านี้เลียนแบบระบบ Single Sign-On (SSO) ที่ใช้ PingIdentity ของ FIFA อย่างใกล้ชิด และยังใช้ Client ID ที่คัดลอกมาจากแพลตฟอร์มจริงอีกด้วย เพื่อเพิ่มความน่าเชื่อถือ รูปภาพจะถูกโหลดโดยตรงจากเซิร์ฟเวอร์ของ FIFA ซึ่งช่วยให้เว็บไซต์เหล่านี้หลีกเลี่ยงวิธีการตรวจจับบางอย่างที่ตรวจจับเนื้อหาที่คัดลอกมาได้

ฟีเจอร์ที่สร้างความเสียหายมากที่สุดคือฟังก์ชันรีเซ็ตรหัสผ่านที่เป็นการฉ้อโกง เหยื่อที่ป้อนข้อมูลประจำตัวโดยไม่รู้ตัวจะมอบการควบคุมบัญชีให้กับผู้โจมตี ซึ่งสามารถล็อกบัญชีของเจ้าของที่แท้จริงและขายตั๋วที่เกี่ยวข้องต่อได้

การเข้าชมเว็บไซต์ส่วนใหญ่มาจากโฆษณาบน Facebook โดยมีตัวระบุการติดตามที่เหมือนกันปรากฏอยู่ทั่วทั้งเครือข่ายฟิชชิ่ง นอกจากนี้ยังมีผู้เข้าชมเพิ่มเติมจากช่องทาง Telegram ข้อความ WhatsApp และผลการค้นหาที่ถูกดัดแปลง

โครงสร้างพื้นฐานของการฉ้อโกงนี้รับชำระเงินผ่านช่องทางต่างๆ มากมาย รวมถึงการทำธุรกรรมผ่านบัตรโดยตรง เกตเวย์การชำระเงินของบุคคลที่สาม บริการโอนเงิน เช่น Chime และ Nequi ผู้ประมวลผลการชำระเงินระดับภูมิภาคของเม็กซิโก และระบบแปลงสกุลเงินดิจิทัล ตัวเลือกสกุลเงินดิจิทัลนั้นอันตรายเป็นพิเศษ เนื่องจากจะทำให้การกู้คืนเงินที่ถูกขโมยไปนั้นยากขึ้นอย่างมาก

มีสัญญาณเตือนที่ชัดเจนอย่างหนึ่งคือ แพลตฟอร์มจำหน่ายตั๋วอย่างเป็นทางการของ FIFA ไม่รับชำระเงินด้วยสกุลเงินดิจิทัล ผู้ขายรายใดที่ขอรับชำระเงินด้วยสกุลเงินดิจิทัลควรถูกพิจารณาว่าเป็นผู้ฉ้อโกง

นักวิจัยประเมินว่า การฉ้อโกงตั๋วเข้าชมระดับพรีเมียมและตั๋วเข้าชมพิเศษเพียงอย่างเดียว อาจก่อให้เกิดความเสียหายตั้งแต่ 71 ล้านดอลลาร์ถึง 474 ล้านดอลลาร์ จากขนาดของโครงสร้างพื้นฐานที่ถูกค้นพบ ความเสียหายโดยรวมอาจสูงถึงหลายพันล้านดอลลาร์ แม้ว่าตัวเลขเหล่านี้จะเป็นเพียงการคาดการณ์ ไม่ใช่ความเสียหายที่ได้รับการยืนยันแล้วก็ตาม

ระบบนิเวศแห่งการฉ้อโกงที่กำลังเติบโต

เฉพาะช่วงระหว่างเดือนมกราคมถึงพฤษภาคม มีการจดทะเบียนโดเมนที่เกี่ยวข้องกับฟุตบอลโลกมากกว่า 13,000 โดเมน โดยประมาณ 8.8% ถูกระบุว่าเป็นโดเมนที่เป็นอันตรายหรือน่าสงสัย

เอฟบีไอได้เผยแพร่คำเตือนเกี่ยวกับโดเมนที่เกี่ยวข้องกับฟีฟ่าปลอมจำนวนมากแล้ว ซึ่งรวมถึงเว็บไซต์ที่สะกดผิดและเว็บไซต์หางานปลอมของฟีฟ่า นักสืบคาดว่าจะมีโดเมนที่เป็นอันตรายเพิ่มเติมปรากฏขึ้นเมื่อการแข่งขันใกล้เข้ามา ทีมรักษาความปลอดภัยอื่นๆ ก็ได้ระบุเว็บไซต์เลียนแบบหลายพันแห่งและโปรไฟล์โซเชียลมีเดียปลอมมากกว่าหนึ่งพันรายการเช่นกัน

การหลอกลวงเกี่ยวกับตั๋วเป็นเพียงส่วนหนึ่งของระบบนิเวศอาชญากรรมที่ใหญ่กว่ามาก มิจฉาชีพยังดำเนินการร้านค้าขายสินค้าปลอม แพลตฟอร์มการพนันกีฬาปลอม และบริการสตรีมมิ่งปลอม ซึ่งไม่เพียงแต่เรียกเก็บค่าสมัครสมาชิกเท่านั้น แต่ยังแจกจ่ายมัลแวร์ที่สามารถทำให้ผู้โจมตีควบคุมอุปกรณ์ของเหยื่อจากระยะไกลได้อีกด้วย

นอกจากนี้ ยังมีแผนการหลอกลวงอื่นๆ เช่น การแจ้งเตือนการจับสลาก FIFA ปลอมที่สัญญาว่าจะมอบรางวัลสูงถึง 2 ล้านดอลลาร์สหรัฐ นักวิจัยยังได้ระบุถึงตลาดบริการหลอกลวง (phishing-as-a-service) ที่กำลังขยายตัว ซึ่งอาชญากรสามารถซื้อชุดเครื่องมือหลอกลวงสำเร็จรูปและบอทซื้อตั๋วอัตโนมัติ ทำให้ผู้กระทำผิดรายใหม่สามารถเข้าสู่แวดวงการฉ้อโกงได้ง่ายขึ้น

การดำเนินการเหล่านี้มีความเชื่อมโยงกันอย่างมาก โดเมนปลอมดักจับการค้นหาที่เกี่ยวข้องกับตั๋ว โฆษณาและผลการค้นหาที่ถูกดัดแปลงสร้างปริมาณการเข้าชม ฐานข้อมูลข้อมูลประจำตัวที่ถูกขโมยทำให้สามารถเข้ายึดบัญชีได้ และแอปพลิเคชันมือถือที่เป็นอันตรายเปลี่ยนการค้นหาสตรีมฟรีให้กลายเป็นการฉ้อโกงทางการเงิน

แอปสตรีมมิ่งที่ขโมยมากกว่าแค่ความสนใจ

สำหรับแฟน ๆ ที่กำลังมองหาการถ่ายทอดสดฟุตบอลโลกฟรี อุปกรณ์มือถืออาจมีความเสี่ยงมากที่สุด

นักวิจัยสังเกตเห็นการเพิ่มขึ้นอย่างมากของแอปพลิเคชันสตรีมมิ่งที่ไม่เป็นทางการที่เป็นอันตราย ซึ่งปลอมตัวเป็นบริการยอดนิยม เช่น RojaDirecta ในช่วงการแข่งขันรอบชิงชนะเลิศยูฟ่าแชมเปียนส์ลีก และคาดว่าแคมเปญลักษณะเดียวกันนี้จะทวีความรุนแรงขึ้นในช่วงฟุตบอลโลก

แอปพลิเคชันเหล่านี้จำนวนมากเชื่อมโยงกับมัลแวร์ประเภทโทรจันสำหรับระบบธนาคารบน Android ซึ่งรวมถึงตระกูลมัลแวร์ที่รู้จักกันในชื่อ Massiv และ Perseus เนื่องจากแอปเหล่านี้ไม่มีให้ดาวน์โหลดผ่าน Google Play ผู้ใช้จึงต้องหลีกเลี่ยงคำเตือนด้านความปลอดภัยในตัวของ Android เพื่อติดตั้งแอปเหล่านั้น

เมื่อติดตั้งแล้ว มัลแวร์จะใช้ประโยชน์จากบริการการเข้าถึงของ Android เพื่อควบคุมอุปกรณ์อย่างครอบคลุม ผู้โจมตีสามารถแสดงหน้าเข้าสู่ระบบธนาคารปลอมทับแอปพลิเคชันที่ถูกต้อง บันทึกการกดแป้นพิมพ์ ดักจับรหัสยืนยันแบบใช้ครั้งเดียวจากข้อความ SMS และแอปยืนยันตัวตน และควบคุมอุปกรณ์จากระยะไกลได้

Perseus ซึ่งพัฒนาขึ้นโดยใช้ซอร์สโค้ดที่รั่วไหลจากมัลแวร์ Cerberus ที่โจมตีระบบธนาคาร มีความสามารถที่เหนือกว่านั้นด้วยการค้นหาข้อมูลรหัสผ่านและวลีสำหรับกู้คืนสกุลเงินดิจิทัลในแอปพลิเคชันจดบันทึก

แอปพลิเคชันสตรีมมิ่งที่ขอสิทธิ์การเข้าถึงโดยไม่มีเหตุผลอันสมควร ควรได้รับการพิจารณาว่าเป็นสัญญาณเตือนด้านความปลอดภัยที่สำคัญ

สื่อสังคมออนไลน์กลายเป็นแหล่งล่าเหยื่อ

แพลตฟอร์มโซเชียลมีเดียได้กลายเป็นช่องทางหลักในการเผยแพร่กลโกงเกี่ยวกับการแข่งขันฟุตบอลโลก

นักวิจัยได้ค้นพบแคมเปญโฆษณาที่เกี่ยวข้องกับฟุตบอลมากกว่า 55 แคมเปญบน Facebook และ Instagram ซึ่งโปรโมตเสื้อฟุตบอลปลอม ของสะสม Panini ปลอม และเว็บไซต์หลอกลวง การวิเคราะห์โครงสร้างพื้นฐานด้านการโฆษณาได้เชื่อมโยงการดำเนินการเหล่านี้หลายแห่งกับผู้ประกอบการชาวจีน

นอกจากนี้ เจ้าหน้าที่สืบสวนยังรวบรวมข้อมูลบัญชีโซเชียลมีเดียปลอมของ FIFA ได้มากกว่า 1,700 บัญชี โดยเกือบ 90% ดำเนินการบน Facebook และ Instagram แคมเปญที่โดดเด่นแคมเปญหนึ่งใช้โฆษณาตำแหน่งงานและคำเชิญเข้าร่วมกิจกรรมในปฏิทินของ FIFA ปลอม เพื่อเปลี่ยนเส้นทางผู้สมัครไปยังหน้าเข้าสู่ระบบ Google ปลอม

ในขณะเดียวกัน ข้อมูลประจำตัวของ FIFA ที่ถูกขโมยไปก็กำลังแพร่กระจายอยู่ในตลาดมืดของกลุ่มอาชญากร นักวิจัยด้านความปลอดภัยได้เชื่อมโยงบัญชีผู้ใช้ที่ถูกบุกรุกหลายแสนบัญชีและที่อยู่เว็บที่เกี่ยวข้องกับ FIFA มากกว่า 4,600 แห่งเข้ากับตระกูลมัลแวร์ขโมยข้อมูลประจำตัว เช่น Vidar, LummaC2 และ RedLine

ความเสี่ยงจากการใช้ Wi-Fi สาธารณะในเมืองเจ้าภาพ

เครือข่ายไร้สายในเมืองเจ้าภาพฟุตบอลโลกนำมาซึ่งความเสี่ยงอีกระดับหนึ่ง

จากการสำรวจในเมืองเม็กซิโกซิตี้ มอนเตร์เรย์ และกัวดาลาฮารา พบว่าระหว่าง 10% ถึง 12% ของเครือข่าย Wi-Fi ที่ตรวจพบนั้นเปิดกว้างและไม่มีการรักษาความปลอดภัยโดยสิ้นเชิง เกือบครึ่งหนึ่งยังคงเปิดใช้งาน Wi-Fi Protected Setup (WPS) ซึ่งสร้างโอกาสในการโจมตีเพิ่มเติม

จุดอ่อนเหล่านี้ทำให้เหล่าอาชญากรสามารถสร้างฮอตสปอต "แฝดชั่วร้าย" ได้ง่ายขึ้น ซึ่งเป็นเครือข่ายที่เป็นอันตรายที่ออกแบบมาเพื่อเลียนแบบจุดเชื่อมต่อ Wi-Fi ที่ถูกต้องตามกฎหมายและดักฟังข้อมูลของผู้ใช้โดยลับ

วิธีที่แฟน ๆ และองค์กรต่าง ๆ สามารถรักษาความปลอดภัยของตนเองได้

มีสัญญาณเตือนหลายอย่างที่สามารถช่วยระบุการฉ้อโกงที่เกี่ยวข้องกับฟุตบอลโลกได้ก่อนที่จะเกิดความเสียหาย:

• ซื้อตั๋วผ่านเว็บไซต์ทางการของ FIFA เท่านั้น และป้อนที่อยู่เว็บไซต์ด้วยตนเอง แทนที่จะพึ่งโฆษณาหรือลิงก์จากเครื่องมือค้นหา เปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยในบัญชี FIFA และหลีกเลี่ยงผู้ขายที่ขอชำระเงินด้วยสกุลเงินดิจิทัล
• หลีกเลี่ยงการติดตั้งแอปพลิเคชันสตรีมมิ่งที่ไม่เป็นทางการ โดยเฉพาะอย่างยิ่งแอปพลิเคชันที่ขอสิทธิ์การเข้าถึง เมื่อใช้ Wi-Fi สาธารณะในเมืองเจ้าภาพ ให้ใช้ข้อมูลมือถือทุกครั้งที่ทำได้ และหลีกเลี่ยงการเข้าถึงบัญชีธนาคาร อีเมล หรือบัญชีสำคัญอื่นๆ

องค์กรต่างๆ ก็มีบทบาทสำคัญเช่นกัน ทีมรักษาความปลอดภัยควรตรวจสอบโดเมนที่จดทะเบียนใหม่ที่มีธีม FIFA ตรวจจับหน้าล็อกอินปลอม ระบุตัวพนักงานหรือลูกค้าที่อาจถูกเปิดเผยข้อมูลใน Vidar, LummaC2 หรือ RedLine และเตรียมทีมรับมือกับการฉ้อโกงเพื่อรับมือกับข้อพิพาทเกี่ยวกับตั๋วและการเรียกคืนเงินที่เพิ่มขึ้นตลอดการแข่งขัน

ภัยคุกคามที่ยังรอการปะทุ

สิ่งที่น่ากังวลที่สุดอาจเป็นการพบว่าโดเมนที่เกี่ยวข้องกับ FIFA ที่เป็นการฉ้อโกงประมาณ 3,800 โดเมนยังคงไม่ได้ใช้งานและถูกเก็บไว้ พร้อมที่จะถูกนำมาใช้งานได้ทุกเมื่อ

เนื่องจากชุดเครื่องมือฟิชชิ่ง บอทอัตโนมัติ และข้อมูลประจำตัวที่ถูกขโมยนั้นหาได้ง่ายอยู่แล้ว นักวิจัยคาดว่าช่วงเวลาที่มีความเสี่ยงสูงสุดจะอยู่ระหว่างวันที่ 11 มิถุนายนถึง 19 กรกฎาคม ในช่วงเวลานั้น การค้นหาตั๋ว การจัดเตรียมการเดินทาง และบริการสตรีมมิ่งจะถึงจุดสูงสุด ซึ่งสร้างเงื่อนไขที่เหมาะสมสำหรับอาชญากรไซเบอร์ในการขยายการปฏิบัติการของตน