Шахрайство з Чемпіонатом світу з футболу 2026
Дослідники з безпеки та ФБР попереджають, що масштабна хвиля шахрайства на тему ФІФА вже спрямована на вболівальників Чемпіонату світу з футболу 2026 року, незважаючи на те, що турнір розпочнеться лише 11 червня.
Ця подія надає привабливу можливість кіберзлочинцям. Очікується, що понад шість мільйонів глядачів відвідають матчі у 16 містах Сполучених Штатів, Канади та Мексики. ФІФА повідомила, що отримала понад 150 мільйонів запитів на квитки протягом перших 15 днів продажів, що приблизно в 30 разів перевищує наявну пропозицію. Дефіцит квитків, стурбовані вболівальники та швидкі транзакції створили ідеальні умови для масштабного шахрайства.
Нещодавні розслідування виявили тисячі шахрайських доменів на тему FIFA, шкідливе програмне забезпечення, приховане в неавторизованих стрімінгових додатках, та складні фішингові кампанії, здатні захопити легітимні облікові записи FIFA.
Зміст
Зростання фішингової мережі GHOST STADIUM
Дослідники виявили понад 4300 шахрайських доменів, пов'язаних з FIFA, зареєстрованих з серпня 2025 року. У центрі цієї діяльності знаходиться фінансово мотивована китайськомовна група, відома як GHOST STADIUM, яка керує фішинговою інфраструктурою, що охоплює понад 300 вебсайтів.
Ця операція спирається на дуже переконливу репліку офіційного веб-сайту FIFA. Підроблені сторінки точно імітують систему єдиного входу FIFA на базі PingIdentity та навіть використовують легітимний ідентифікатор клієнта, скопійований зі справжньої платформи. Для підвищення достовірності зображення завантажуються безпосередньо із серверів FIFA, що допомагає сайтам обходити деякі методи виявлення, які позначають скопійований контент.
Найбільш шкідливою функцією є шахрайська функція скидання пароля. Жертви, які вводять свої облікові дані, несвідомо передають контроль над своїми обліковими записами зловмисникам, які потім можуть заблокувати законного власника та перепродати будь-які пов’язані з ним квитки.
Трафік переважно надходить через рекламу у Facebook, причому ідентичні ідентифікатори відстеження з’являються по всій фішинговій мережі. Додаткові відвідувачі приходять через канали Telegram, повідомлення WhatsApp та підроблені результати пошуку.
Шахрайська інфраструктура приймає платежі через різні канали, включаючи прямі транзакції з використанням карток, сторонні платіжні шлюзи, сервіси грошових переказів, такі як Chime та Nequi, регіональні мексиканські процесори та системи конвертації криптовалюти. Варіант з криптовалютою особливо небезпечний, оскільки повернення вкрадених коштів стає значно складнішим.
Один чіткий попереджувальний знак виділяється: офіційна платформа FIFA з продажу квитків не приймає криптовалюту. Будь-якого продавця, який запитує крипто-платежі, слід вважати шахраєм.
Дослідники підрахували, що шахрайство лише з преміальними квитками та квитками на готельні послуги може призвести до збитків від 71 до 474 мільйонів доларів. Виходячи з масштабів виявленої інфраструктури, загальні збитки можуть потенційно сягати мільярдів доларів, хоча ці цифри залишаються прогнозами, а не підтвердженими збитками.
Зростаюча екосистема шахрайства
Тільки з січня по травень було зареєстровано понад 13 000 доменів на тему Чемпіонату світу з футболу, приблизно 8,8% з яких були визначені як шкідливі або підозрілі.
ФБР вже опублікувало рекомендації, в яких перелічено численні шахрайські домени, пов'язані з FIFA, включаючи веб-сайти з помилками та фальшиві портали працевлаштування FIFA. Слідчі очікують появи додаткових шкідливих доменів з наближенням турніру. Інші команди безпеки також виявили тисячі веб-сайтів-підробок та понад тисячу фальшивих профілів у соціальних мережах.
Шахрайство з квитками є лише однією частиною набагато більшої злочинної екосистеми. Шахраї також керують магазинами підроблених товарів, фальшивими платформами для спортивних ставок та шахрайськими потоковими сервісами, які не лише стягують плату за підписку, але й розповсюджують шкідливе програмне забезпечення, здатне надати зловмисникам дистанційний контроль над пристроями жертв.
Додаткові схеми включають фальшиві повідомлення про лотерею FIFA, які обіцяють виграші до 2 мільйонів доларів. Дослідники також виявили зростаючий ринок фішингу як послуги, де злочинці можуть купувати готові шахрайські набори та автоматизованих ботів для купівлі квитків, що полегшує новим учасникам входження в шахрайське середовище.
Ці операції тісно пов'язані між собою. Підроблені домени перехоплюють пошукові запити, пов'язані з квитками, реклама та маніпульовані результати пошуку генерують трафік, викрадені бази даних облікових даних дозволяють захопити облікові записи, а шкідливі мобільні додатки перетворюють пошук безкоштовних потоків на банківське шахрайство.
Стрімінгові програми, які крадуть більше, ніж просто увагу
Для вболівальників, які шукають безкоштовні трансляції Чемпіонату світу, мобільні пристрої можуть становити найбільший ризик.
Нещодавно дослідники спостерігали сплеск поширення шкідливих неофіційних стрімінгових програм, що маскуються під популярні сервіси, такі як RojaDirecta, під час фіналу Ліги чемпіонів УЄФА. Очікується, що подібні кампанії посиляться під час Чемпіонату світу з футболу.
Багато з цих програм пов’язані з банківськими троянами Android, зокрема з сімействами шкідливих програм, відомими як Massiv та Perseus. Оскільки ці програми недоступні в Google Play, користувачам доводиться обходити вбудовані попередження безпеки Android, щоб встановити їх.
Після встановлення шкідливе програмне забезпечення використовує служби спеціальних можливостей Android, щоб отримати широкий контроль над пристроєм. Зловмисники можуть відображати підроблені сторінки входу до банківських рахунків поверх легітимних програм, записувати натискання клавіш, перехоплювати одноразові коди автентифікації з SMS-повідомлень та програм-автентифікаторів, а також дистанційно керувати пристроєм.
Perseus, розроблений з використанням витоку вихідного коду банківського трояна Cerberus, йде ще далі, шукаючи в додатках для створення нотаток збережені паролі та фрази для відновлення криптовалюти.
Запит дозволів на доступ без поважної причини на потокове передавання даних слід розглядати як серйозне попередження безпеки.
Соціальні мережі стають мисливським угіддям
Платформи соціальних мереж стали основним каналом розповсюдження шахрайства, пов'язаного з Чемпіонатом світу.
Дослідники виявили понад 55 рекламних кампаній на футбольну тематику у Facebook та Instagram, що просували підроблені футболки, підроблені колекційні предмети Panini та фішингові веб-сайти. Аналіз рекламної інфраструктури пов'язав деякі з цих операцій з китайськими операторами.
Слідчі також каталогізували понад 1700 фальшивих акаунтів FIFA в соціальних мережах, майже 90% з яких працюють у Facebook та Instagram. Одна помітна кампанія використовувала шахрайські оголошення про роботу FIFA та запрошення з календаря, щоб перенаправляти кандидатів на підроблені сторінки входу в Google.
Тим часом викрадені облікові дані FIFA вже поширюються на злочинних ринках. Дослідники безпеки пов’язали сотні тисяч скомпрометованих облікових записів користувачів та понад 4600 веб-адрес, пов’язаних з FIFA, із сімействами шкідливих програм, що крадуть облікові дані, такими як Vidar, LummaC2 та RedLine.
Ризики громадського Wi-Fi у містах, що приймають
Бездротові мережі в містах, що приймають чемпіонати світу, створюють ще один рівень ризику.
Опитування, проведене в Мехіко, Монтерреї та Гвадалахарі, показало, що від 10% до 12% виявлених мереж Wi-Fi були повністю відкритими та незахищеними. Майже половина з них все ще мала ввімкнений режим захищеного налаштування Wi-Fi (WPS), що створювало додаткові можливості для атак.
Ці слабкі місця полегшують злочинцям розгортання точок доступу «злих двійників» — шкідливих мереж, призначених для імітації легітимних точок доступу Wi-Fi та таємного перехоплення трафіку користувачів.
Як фанати та організації можуть залишатися захищеними
Кілька попереджувальних ознак можуть допомогти виявити шахрайство, пов'язане з Чемпіонатом світу, до того, як буде завдано шкоди:
- Купуйте квитки лише через офіційний веб-сайт FIFA та вводьте веб-адресу вручну, замість того, щоб покладатися на рекламу чи посилання в пошукових системах. Увімкніть багатофакторну автентифікацію в облікових записах FIFA та уникайте запитів продавців на оплату в криптовалюті.
- Уникайте встановлення неофіційних потокових програм, особливо тих, що вимагають дозволів на доступ. Під час використання громадського Wi-Fi у містах перебування покладайтеся на мобільні дані, коли це можливо, та уникайте доступу до банківських рахунків, електронної пошти чи інших конфіденційних облікових записів.
Організації також відіграють важливу роль. Служби безпеки повинні контролювати щойно зареєстровані домени на тему FIFA, виявляти шахрайські сторінки входу, ідентифікувати співробітників або клієнтів, які отримали викриття у дампах облікових даних Vidar, LummaC2 або RedLine, а також готувати групи реагування на шахрайство до збільшення кількості суперечок щодо квитків та повернення платежів протягом усього турніру.
Загрози, які все ще чекають на активацію
Мабуть, найбільш тривожним висновком є те, що приблизно 3800 відомих шахрайських доменів, пов'язаних з FIFA, залишаються неактивними та запаркованими, готовими до розгортання в будь-який час.
Оскільки фішингові комплекти, автоматизовані боти та викрадені облікові дані вже широко доступні, дослідники очікують, що період найвищого ризику триватиме з 11 червня по 19 липня. Протягом цього періоду пошук квитків, туристичних домовленостей та потокових сервісів досягне свого піку, створюючи ідеальні умови для розширення діяльності кіберзлочинців.
