FIFA 2026 Dünya Kupası Dolandırıcılığı
Güvenlik araştırmacıları ve FBI, turnuva 11 Haziran'da başlayacak olmasına rağmen, FIFA temalı büyük ölçekli bir dolandırıcılık dalgasının şimdiden 2026 Dünya Kupası taraftarlarını hedef aldığı konusunda uyarıda bulunuyor.
Bu etkinlik siber suçlular için cazip bir fırsat sunuyor. Amerika Birleşik Devletleri, Kanada ve Meksika'daki 16 şehirde altı milyondan fazla seyircinin maçlara katılması bekleniyor. FIFA, satışların ilk 15 gününde 150 milyondan fazla bilet talebi aldığını ve talebin mevcut arzın yaklaşık 30 katı olduğunu bildirdi. Az sayıda bilet, endişeli taraftarlar ve hızlı gerçekleşen işlemler, büyük ölçekli dolandırıcılık için ideal koşullar yarattı.
Son araştırmalar, FIFA temalı binlerce sahte alan adını, yetkisiz yayın uygulamalarının içine gizlenmiş kötü amaçlı yazılımları ve meşru FIFA hesaplarını ele geçirebilen gelişmiş kimlik avı kampanyalarını ortaya çıkardı.
İçindekiler
GHOST STADIUM Kimlik Avı Ağının Yükselişi
Araştırmacılar, Ağustos 2025'ten bu yana kayıtlı 4.300'den fazla sahte FIFA ile ilgili alan adı tespit etti. Bu faaliyetin merkezinde, 300'den fazla web sitesini kapsayan bir kimlik avı altyapısı işleten, mali motivasyonlu Çince konuşan bir grup olan GHOST STADIUM bulunuyor.
Operasyon, FIFA'nın resmi web sitesinin son derece inandırıcı bir kopyasına dayanıyor. Sahte sayfalar, FIFA'nın PingIdentity destekli tek oturum açma sistemini yakından taklit ediyor ve hatta gerçek platformdan kopyalanmış meşru bir istemci kimliği kullanıyor. Güvenilirliği artırmak için, resimler doğrudan FIFA'nın sunucularından yükleniyor ve bu da sitelerin kopyalanmış içeriği işaretleyen bazı tespit yöntemlerinden kaçınmasına yardımcı oluyor.
En büyük zararı veren özellik, sahtekarlıkla kullanılabilen şifre sıfırlama işlevidir. Kimlik bilgilerini giren mağdurlar, farkında olmadan hesaplarının kontrolünü saldırganlara teslim ederler; saldırganlar da gerçek hesap sahibini engelleyebilir ve ilgili biletleri yeniden satabilirler.
Trafiğin büyük kısmı Facebook reklamları aracılığıyla yönlendiriliyor ve kimlik avı ağında aynı izleme tanımlayıcıları görünüyor. Ek ziyaretçiler Telegram kanalları, WhatsApp mesajları ve manipüle edilmiş arama sonuçları aracılığıyla geliyor.
Dolandırıcılık altyapısı, doğrudan kart işlemleri, üçüncü taraf ödeme ağ geçitleri, Chime ve Nequi gibi para transferi hizmetleri, bölgesel Meksika işlemcileri ve kripto para dönüştürme sistemleri de dahil olmak üzere birden fazla kanal üzerinden ödeme kabul etmektedir. Kripto para seçeneği özellikle tehlikelidir çünkü çalınan fonların geri alınması önemli ölçüde zorlaşır.
Göze çarpan açık bir uyarı işareti var: FIFA'nın resmi bilet satış platformu kripto para birimlerini kabul etmiyor. Kripto para ödemesi talep eden herhangi bir satıcı dolandırıcı olarak değerlendirilmelidir.
Araştırmacılar, yalnızca premium ve ağırlama bileti sahtekarlığının 71 milyon dolardan 474 milyon dolara kadar kayıplara yol açabileceğini tahmin ediyor. Keşfedilen altyapının ölçeğine bağlı olarak, toplam zararın milyarlarca dolara ulaşabileceği tahmin ediliyor, ancak bu rakamlar teyit edilmiş kayıplar değil, yalnızca tahminlerdir.
Büyüyen Bir Dolandırıcılık Ekosistemi
Sadece Ocak ve Mayıs ayları arasında 13.000'den fazla Dünya Kupası temalı alan adı kaydedildi ve bunların yaklaşık %8,8'i kötü amaçlı veya şüpheli olarak tanımlandı.
FBI, aralarında yazım hatalı benzer web siteleri ve sahte FIFA iş bulma portalları da bulunan çok sayıda sahte FIFA ile ilgili alan adını listeleyen uyarılar yayınladı. Araştırmacılar, turnuva yaklaştıkça daha fazla kötü amaçlı alan adının ortaya çıkmasını bekliyor. Diğer güvenlik ekipleri de binlerce taklit web sitesi ve binden fazla sahte sosyal medya profili tespit etti.
Bilet dolandırıcılığı, çok daha büyük bir suç ekosisteminin yalnızca bir parçasını temsil ediyor. Dolandırıcılar ayrıca sahte ürün satan mağazalar, sahte spor bahis platformları ve abonelik ücreti almakla kalmayıp aynı zamanda saldırganlara kurbanların cihazları üzerinde uzaktan kontrol imkanı sağlayan kötü amaçlı yazılımlar dağıtan sahte yayın hizmetleri de işletiyorlar.
Ek olarak, 2 milyon dolara kadar ödül vaat eden sahte FIFA piyango bildirimleri de dolandırıcılık yöntemleri arasında yer alıyor. Araştırmacılar ayrıca, suçluların hazır dolandırıcılık kitleri ve otomatik bilet satın alma botları satın alabileceği ve böylece yeni aktörlerin dolandırıcılık alanına girmesini kolaylaştıran, genişleyen bir "hizmet olarak kimlik avı" pazarı tespit ettiler.
Bu işlemler birbirleriyle son derece bağlantılıdır. Sahte alan adları biletle ilgili aramaları ele geçirir, reklamlar ve manipüle edilmiş arama sonuçları trafik oluşturur, çalınan kimlik bilgisi veritabanları hesap ele geçirmeyi mümkün kılar ve kötü amaçlı mobil uygulamalar ücretsiz yayın aramasını bankacılık dolandırıcılığına dönüştürür.
Sadece dikkati değil, daha fazlasını çalan yayın uygulamaları
Dünya Kupası yayınlarını ücretsiz izlemek isteyen taraftarlar için mobil cihazlar en büyük riski oluşturabilir.
Araştırmacılar, UEFA Şampiyonlar Ligi finali civarında RojaDirecta gibi popüler hizmetler kılığında faaliyet gösteren kötü amaçlı resmi olmayan yayın uygulamalarında bir artış gözlemledi. Benzer kampanyaların Dünya Kupası sırasında daha da yoğunlaşması bekleniyor.
Bu uygulamaların birçoğu, Massiv ve Perseus olarak bilinen kötü amaçlı yazılım aileleri de dahil olmak üzere Android bankacılık truva atlarıyla ilişkilendirilmiştir. Bu uygulamalar Google Play üzerinden indirilemediği için, kullanıcılar bunları yüklemek için Android'in yerleşik güvenlik uyarılarını aşmak zorundadır.
Yüklendikten sonra, kötü amaçlı yazılım Android erişilebilirlik hizmetlerini kötüye kullanarak cihaz üzerinde kapsamlı kontrol sağlar. Saldırganlar, meşru uygulamaların üzerinde sahte bankacılık giriş sayfaları görüntüleyebilir, tuş vuruşlarını kaydedebilir, SMS mesajlarından ve kimlik doğrulama uygulamalarından tek kullanımlık kimlik doğrulama kodlarını ele geçirebilir ve cihazı uzaktan çalıştırabilir.
Cerberus bankacılık truva atından sızdırılan kaynak kod kullanılarak geliştirilen Perseus, daha da ileri giderek not alma uygulamalarında saklanan şifreleri ve kripto para kurtarma ifadelerini arıyor.
Geçerli bir sebep olmaksızın erişilebilirlik izinleri isteyen bir yayın uygulaması, ciddi bir güvenlik uyarısı olarak değerlendirilmelidir.
Sosyal Medya Bir Av Alanına Dönüşüyor
Sosyal medya platformları, Dünya Kupası dolandırıcılıklarının başlıca dağıtım kanallarından biri haline geldi.
Araştırmacılar, Facebook ve Instagram'da sahte formalar, sahte Panini koleksiyon ürünleri ve kimlik avı sitelerini tanıtan 55'ten fazla futbol temalı reklam kampanyasını ortaya çıkardı. Reklam altyapısının analizi, bu operasyonların birçoğunu Çinli operatörlerle ilişkilendirdi.
Araştırmacılar ayrıca 1.700'den fazla sahte FIFA sosyal medya hesabını da tespit etti; bunların yaklaşık %90'ı Facebook ve Instagram'da faaliyet gösteriyor. Dikkat çekici bir kampanyada ise sahte FIFA iş ilanları ve takvim davetiyeleri kullanılarak başvuru sahipleri sahte Google giriş sayfalarına yönlendirildi.
Bu arada, çalınan FIFA kimlik bilgileri zaten suçlu pazarlarında dolaşmaya başladı. Güvenlik araştırmacıları, yüz binlerce ele geçirilmiş kullanıcı hesabını ve 4.600'den fazla FIFA ile ilgili web adresini Vidar, LummaC2 ve RedLine gibi kimlik bilgisi çalan kötü amaçlı yazılım aileleriyle ilişkilendirdi.
Ev sahibi şehirlerdeki halka açık Wi-Fi riskleri
Dünya Kupası'na ev sahipliği yapan şehirlerdeki kablosuz ağlar, ek bir risk katmanı daha getiriyor.
Meksika Şehri, Monterrey ve Guadalajara'da yapılan bir anket, tespit edilen Wi-Fi ağlarının %10 ila %12'sinin tamamen açık ve güvensiz olduğunu ortaya koydu. Neredeyse yarısında Wi-Fi Korumalı Kurulum (WPS) hala etkin durumdaydı ve bu da ek saldırı fırsatları yaratıyordu.
Bu zayıf noktalar, suçluların 'kötü ikiz' erişim noktaları kurmasını kolaylaştırıyor; bu kötü amaçlı ağlar, meşru Wi-Fi erişim noktalarını taklit etmek ve kullanıcı trafiğini gizlice ele geçirmek üzere tasarlanmıştır.
Taraftarlar ve Organizasyonlar Nasıl Korunabilir?
Dünya Kupası ile ilgili dolandırıcılıkları, zarar oluşmadan önce tespit etmeye yardımcı olabilecek birkaç uyarı işareti vardır:
- Biletleri yalnızca FIFA'nın resmi web sitesi üzerinden satın alın ve reklamlara veya arama motoru bağlantılarına güvenmek yerine web adresini manuel olarak girin. FIFA hesaplarınızda çok faktörlü kimlik doğrulamayı etkinleştirin ve kripto para birimi ödemesi talep eden satıcılardan uzak durun.
- Resmi olmayan yayın uygulamalarını, özellikle erişilebilirlik izinleri isteyenleri yüklemekten kaçının. Ev sahibi şehirlerdeki halka açık Wi-Fi ağlarını kullanırken, mümkün olduğunca mobil veriyi tercih edin ve bankacılık, e-posta veya diğer hassas hesaplara erişmekten kaçının.
Organizasyonların da önemli bir rolü var. Güvenlik ekipleri, yeni kayıtlı FIFA temalı alan adlarını izlemeli, sahte giriş sayfalarını tespit etmeli, Vidar, LummaC2 veya RedLine kimlik bilgisi sızıntılarında ifşa olan çalışanları veya müşterileri belirlemeli ve turnuva boyunca artan bilet anlaşmazlıkları ve geri ödeme faaliyetlerine karşı dolandırıcılık müdahale ekiplerini hazırlamalıdır.
Hâlâ harekete geçmeyi bekleyen tehditler
Belki de en endişe verici bulgu, yaklaşık 3.800 bilinen sahte FIFA ile ilgili alan adının hâlâ aktif olmaması ve her an kullanıma hazır halde bekletilmesidir.
Kimlik avı kitleri, otomatik botlar ve çalınmış kimlik bilgilerinin zaten yaygın olarak bulunması nedeniyle, araştırmacılar en yüksek risk döneminin 11 Haziran ile 19 Temmuz arasında olacağını tahmin ediyor. Bu süre zarfında, bilet, seyahat düzenlemeleri ve yayın hizmetleri aramaları zirveye ulaşacak ve siber suçluların faaliyetlerini genişletmeleri için ideal koşullar yaratacaktır.
