Panloloko sa FIFA 2026 World Cup

Nagbabala ang mga mananaliksik sa seguridad at ang FBI na isang malawakang alon ng pandaraya na may temang FIFA ang tumatarget na sa mga tagahanga ng World Cup 2026, kahit na ang torneo ay magsisimula lamang sa Hunyo 11.

Ang kaganapan ay nagpapakita ng isang kaakit-akit na pagkakataon para sa mga cybercriminal. Mahigit anim na milyong manonood ang inaasahang dadalo sa mga laban sa 16 na lungsod sa Estados Unidos, Canada, at Mexico. Iniulat ng FIFA na nakatanggap sila ng mahigit 150 milyong kahilingan ng tiket sa loob ng unang 15 araw ng mga benta, na ginagawang halos 30 beses na mas malaki ang demand kaysa sa magagamit na suplay. Ang kakulangan ng mga tiket, mga balisang tagahanga, at mabilis na paglipat ng mga transaksyon ay lumikha ng mga mainam na kondisyon para sa malawakang pandaraya.

Natuklasan sa mga kamakailang imbestigasyon ang libu-libong mapanlinlang na domain na may temang FIFA, malware na nakatago sa loob ng mga hindi awtorisadong streaming application, at mga sopistikadong kampanya sa phishing na may kakayahang mang-hijack ng mga lehitimong FIFA account.

Ang Pag-usbong ng Phishing Network ng GHOST STADIUM

Natukoy ng mga mananaliksik ang mahigit 4,300 mapanlinlang na domain na may kaugnayan sa FIFA na nakarehistro simula noong Agosto 2025. Sa sentro ng aktibidad na ito ay isang grupong nagsasalita ng wikang Tsino na kilala bilang GHOST STADIUM, na nagpapatakbo ng isang imprastraktura ng phishing na sumasaklaw sa mahigit 300 website.

Ang operasyon ay umaasa sa isang lubos na nakakakumbinsing replika ng opisyal na website ng FIFA. Ang mga pekeng pahina ay halos ginagaya ang PingIdentity-powered single sign-on system ng FIFA at gumagamit pa ng lehitimong client ID na kinopya mula sa totoong platform. Upang mapataas ang kredibilidad, ang mga imahe ay direktang nilo-load mula sa mga server ng FIFA, na tumutulong sa mga site na maiwasan ang ilang mga paraan ng pagtukoy na nagfa-flag ng kinopyang nilalaman.

Ang pinakamapaminsalang tampok ay ang mapanlinlang na function ng pag-reset ng password. Ang mga biktimang naglalagay ng kanilang mga kredensyal ay hindi namamalayang ibinibigay ang kontrol sa kanilang mga account sa mga umaatake, na maaaring mag-lock out sa tunay na may-ari at muling ibenta ang anumang nauugnay na tiket.

Pangunahing dinadala ang trapiko sa pamamagitan ng mga patalastas sa Facebook, na may magkakaparehong tracking identifier na lumalabas sa buong phishing network. Dumarating ang mga karagdagang bisita sa pamamagitan ng mga channel ng Telegram, mga mensahe sa WhatsApp, at mga minanipulang resulta ng paghahanap.

Tumatanggap ang imprastraktura ng scam ng mga pagbabayad sa pamamagitan ng maraming channel, kabilang ang mga direktang transaksyon sa card, mga third-party payment gateway, mga serbisyo sa paglilipat ng pera tulad ng Chime at Nequi, mga rehiyonal na processor sa Mexico, at mga sistema ng conversion ng cryptocurrency. Ang opsyon sa cryptocurrency ay partikular na mapanganib dahil ang pagbawi ng mga ninakaw na pondo ay nagiging mas mahirap.

Isang malinaw na babala ang kapansin-pansin: Ang opisyal na plataporma ng tiket ng FIFA ay hindi tumatanggap ng cryptocurrency. Ang sinumang nagbebenta na humihiling ng mga pagbabayad gamit ang crypto ay dapat ituring na mapanlinlang.

Tinatantya ng mga mananaliksik na ang pandaraya sa premium at hospitality ticket pa lamang ay maaaring magdulot ng pagkalugi mula $71 milyon hanggang $474 milyon. Batay sa laki ng natuklasang imprastraktura, ang kabuuang pinsala ay maaaring umabot sa bilyun-bilyong dolyar, bagama't ang mga bilang na ito ay nananatiling mga pagtataya lamang sa halip na kumpirmadong pagkalugi.

Isang Lumalagong Ekosistema ng Pandaraya

Sa pagitan ng Enero at Mayo lamang, mahigit 13,000 na domain na may temang World Cup ang nairehistro, kung saan humigit-kumulang 8.8% ang natukoy na malisyoso o kahina-hinala.

Naglathala na ang FBI ng mga babala na naglilista ng maraming mapanlinlang na domain na may kaugnayan sa FIFA, kabilang ang mga maling baybay na mga website na kahawig ng iba at mga pekeng portal ng trabaho ng FIFA. Inaasahan ng mga imbestigador na lalabas ang mga karagdagang malisyosong domain habang papalapit ang paligsahan. Natukoy din ng iba pang mga pangkat ng seguridad ang libu-libong pekeng website at mahigit isang libong pekeng profile sa social media.

Ang mga scam sa tiket ay kumakatawan lamang sa isang bahagi ng isang mas malaking ekosistema ng kriminal. Nagpapatakbo rin ang mga manloloko ng mga pekeng tindahan ng paninda, mga pekeng platform ng pagtaya sa sports, at mga mapanlinlang na serbisyo ng streaming na hindi lamang naniningil ng mga bayarin sa subscription kundi namamahagi rin ng malware na may kakayahang magbigay sa mga umaatake ng remote control sa mga device ng mga biktima.

Kabilang sa mga karagdagang pakana ang mga pekeng abiso sa lotto ng FIFA na nangangako ng mga premyong hanggang $2 milyon. Natukoy din ng mga mananaliksik ang isang lumalawak na merkado ng phishing-as-a-service kung saan maaaring bumili ang mga kriminal ng mga handa nang scam kit at mga automated na bot na bumibili ng tiket, na ginagawang mas madali para sa mga bagong aktor na makapasok sa larangan ng pandaraya.

Ang mga operasyong ito ay lubos na magkakaugnay. Ang mga pekeng domain ay kumukuha ng mga paghahanap na may kaugnayan sa tiket, ang mga patalastas at mga minanipulang resulta ng paghahanap ay lumilikha ng trapiko, ang mga ninakaw na database ng kredensyal ay nagbibigay-daan sa pagkuha ng account, at ang mga malisyosong mobile application ay ginagawang pandaraya sa pagbabangko ang isang paghahanap para sa mga libreng stream.

Mga Streaming App na Hindi Nakakaagaw ng Atensyon

Para sa mga tagahangang naghahanap ng libreng broadcast ng World Cup, ang mga mobile device ang maaaring magdulot ng pinakamalaking panganib.

Kamakailan lamang ay naobserbahan ng mga mananaliksik ang pagdami ng mga malisyosong hindi opisyal na streaming application na nagkukunwaring mga sikat na serbisyo tulad ng RojaDirecta kaugnay ng UEFA Champions League final. Inaasahang titindi pa ang mga katulad na kampanya sa panahon ng World Cup.

Marami sa mga application na ito ay naiugnay sa mga trojan ng Android banking, kabilang ang mga pamilya ng malware na kilala bilang Massiv at Perseus. Dahil hindi available ang mga app na ito sa pamamagitan ng Google Play, kailangang lampasan ng mga user ang mga built-in na babala sa seguridad ng Android upang mai-install ang mga ito.

Kapag na-install na, inaabuso ng malware ang mga serbisyo ng accessibility ng Android upang makakuha ng malawakang kontrol sa device. Maaaring magpakita ang mga attacker ng mga pekeng pahina ng pag-login sa bangko sa mga lehitimong application, mag-record ng mga keystroke, maharang ang mga one-time authentication code mula sa mga SMS message at authenticator app, at malayuang patakbuhin ang device.

Ang Perseus, na binuo gamit ang leaked source code mula sa Cerberus banking trojan, ay mas humahanap pa sa mga application na kumukuha ng tala para sa mga naka-imbak na password at mga parirala sa pagbawi ng cryptocurrency.

Ang isang streaming application na humihiling ng mga pahintulot sa accessibility nang walang lehitimong dahilan ay dapat ituring bilang isang pangunahing babala sa seguridad.

Ang Social Media ay Nagiging Lugar ng Pangangaso

Ang mga social media platform ay naging pangunahing channel ng pamamahagi ng mga panloloko sa World Cup.

Natuklasan ng mga mananaliksik ang mahigit 55 kampanya sa advertising na may temang football sa Facebook at Instagram na nagtataguyod ng mga pekeng jersey, pekeng koleksyon ng Panini, at mga phishing website. Ang pagsusuri sa imprastraktura ng advertising ay nag-uugnay sa ilan sa mga operasyong ito sa mga operator na Tsino.

Nakapagtala rin ang mga imbestigador ng mahigit 1,700 pekeng social media account ng FIFA, halos 90% nito ay tumatakbo sa Facebook at Instagram. Isang kilalang kampanya ang gumamit ng mga mapanlinlang na patalastas ng trabaho at mga imbitasyon sa kalendaryo ng FIFA upang i-redirect ang mga aplikante sa mga pekeng login page ng Google.

Samantala, kumakalat na ang mga ninakaw na kredensyal ng FIFA sa mga pamilihang kriminal. Iniugnay ng mga mananaliksik sa seguridad ang daan-daang libong nakompromisong user account at mahigit 4,600 web address na may kaugnayan sa FIFA sa mga pamilya ng malware na nagnanakaw ng kredensyal tulad ng Vidar, LummaC2, at RedLine.

Mga Panganib sa Pampublikong Wi-Fi sa mga Lungsod na Pinagmumulan

Ang mga wireless network sa mga lungsod na nagho-host ng World Cup ay nagdudulot ng isa pang patong ng panganib.

Natuklasan sa isang survey na isinagawa sa buong Mexico City, Monterrey, at Guadalajara na nasa pagitan ng 10% at 12% ng mga natukoy na Wi-Fi network ay ganap na bukas at hindi ligtas. Halos kalahati pa rin ang may naka-enable na Wi-Fi Protected Setup (WPS), na lumilikha ng karagdagang mga pagkakataon sa pag-atake.

Dahil sa mga kahinaang ito, mas madali para sa mga kriminal na maglagay ng mga 'evil twin' hotspot—mga malisyosong network na idinisenyo upang gayahin ang mga lehitimong Wi-Fi access point at palihim na maharang ang trapiko ng user.

Paano Mananatiling Protektado ang mga Tagahanga at Organisasyon

May ilang babalang palatandaan na makakatulong sa pagtukoy ng mga panloloko na may kaugnayan sa World Cup bago pa man mangyari ang pinsala:

• Bumili lamang ng mga tiket sa pamamagitan ng opisyal na website ng FIFA at manu-manong ilagay ang web address sa halip na umasa sa mga advertisement o mga link sa search engine. Paganahin ang multi-factor authentication sa mga account ng FIFA at iwasan ang anumang nagbebenta na humihiling ng mga pagbabayad gamit ang cryptocurrency.
• Iwasan ang pag-install ng mga hindi opisyal na streaming application, lalo na ang mga humihingi ng mga pahintulot sa accessibility. Kapag gumagamit ng pampublikong Wi-Fi sa mga host city, umasa sa mobile data hangga't maaari at iwasan ang pag-access sa banking, email, o iba pang sensitibong account.

May mahalagang papel din ang mga organisasyon. Dapat subaybayan ng mga security team ang mga bagong rehistradong domain na may temang FIFA, tuklasin ang mga mapanlinlang na login page, tukuyin ang mga empleyado o customer na nalantad sa mga credential dumps ng Vidar, LummaC2, o RedLine, at ihanda ang mga fraud response team para sa pagtaas ng mga hindi pagkakaunawaan sa tiket at aktibidad ng chargeback sa buong torneo.

Ang mga Banta na Naghihintay Pa Rin na Mag-aktibo

Marahil ang pinakanakababahalang natuklasan ay ang humigit-kumulang 3,800 kilalang mapanlinlang na domain na may kaugnayan sa FIFA ay nananatiling hindi aktibo at naka-park, handa nang i-deploy anumang oras.

Dahil laganap nang makukuha ang mga phishing kit, automated bot, at mga ninakaw na kredensyal, inaasahan ng mga mananaliksik na ang panahon na may pinakamataas na panganib ay tatakbo mula Hunyo 11 hanggang Hulyo 19. Sa panahong iyon, ang mga paghahanap ng tiket, mga kaayusan sa paglalakbay, at mga serbisyo ng streaming ay aabot sa pinakamataas na antas, na lilikha ng mga mainam na kondisyon para sa mga cybercriminal na palawakin ang kanilang mga operasyon.