Vụ lừa đảo World Cup FIFA 2026

Các nhà nghiên cứu an ninh và FBI cảnh báo rằng một làn sóng lừa đảo quy mô lớn liên quan đến FIFA đang nhắm vào người hâm mộ World Cup 2026, mặc dù giải đấu chưa bắt đầu cho đến ngày 11 tháng 6.

Sự kiện này tạo ra cơ hội hấp dẫn cho tội phạm mạng. Hơn sáu triệu khán giả dự kiến sẽ tham dự các trận đấu tại 16 thành phố ở Hoa Kỳ, Canada và Mexico. FIFA báo cáo đã nhận được hơn 150 triệu yêu cầu mua vé trong 15 ngày đầu tiên mở bán, cho thấy nhu cầu cao gấp khoảng 30 lần so với nguồn cung hiện có. Vé khan hiếm, người hâm mộ sốt ruột và các giao dịch diễn ra nhanh chóng đã tạo điều kiện lý tưởng cho các vụ gian lận quy mô lớn.

Các cuộc điều tra gần đây đã phát hiện ra hàng ngàn tên miền giả mạo FIFA, phần mềm độc hại ẩn giấu bên trong các ứng dụng phát trực tuyến trái phép và các chiến dịch lừa đảo tinh vi có khả năng chiếm đoạt các tài khoản FIFA hợp lệ.

Sự trỗi dậy của mạng lưới lừa đảo GHOST STADIUM

Các nhà nghiên cứu đã xác định được hơn 4.300 tên miền giả mạo liên quan đến FIFA được đăng ký kể từ tháng 8 năm 2025. Trung tâm của hoạt động này là một nhóm người nói tiếng Trung Quốc có động cơ tài chính, được biết đến với tên gọi GHOST STADIUM, nhóm này vận hành một hệ thống lừa đảo trực tuyến trải rộng trên hơn 300 trang web.

Chiêu trò này dựa trên một bản sao cực kỳ thuyết phục của trang web chính thức của FIFA. Các trang giả mạo bắt chước rất sát hệ thống đăng nhập một lần (single sign-on) dựa trên PingIdentity của FIFA và thậm chí còn sử dụng ID khách hàng hợp lệ được sao chép từ nền tảng thật. Để tăng độ tin cậy, hình ảnh được tải trực tiếp từ máy chủ của FIFA, giúp các trang web này tránh được một số phương pháp phát hiện nội dung sao chép.

Tính năng nguy hiểm nhất là chức năng đặt lại mật khẩu giả mạo. Nạn nhân nhập thông tin đăng nhập của mình mà không hề hay biết đã giao quyền kiểm soát tài khoản cho kẻ tấn công, những kẻ này sau đó có thể khóa tài khoản của chủ sở hữu hợp pháp và bán lại bất kỳ vé nào liên quan.

Lưu lượng truy cập chủ yếu đến từ quảng cáo trên Facebook, với các mã định danh theo dõi giống hệt nhau xuất hiện trên toàn bộ mạng lưới lừa đảo. Khách truy cập khác đến từ các kênh Telegram, tin nhắn WhatsApp và kết quả tìm kiếm bị thao túng.

Hệ thống lừa đảo chấp nhận thanh toán qua nhiều kênh, bao gồm giao dịch thẻ trực tiếp, cổng thanh toán của bên thứ ba, dịch vụ chuyển tiền như Chime và Nequi, các bộ xử lý thanh toán khu vực của Mexico và hệ thống chuyển đổi tiền điện tử. Tùy chọn tiền điện tử đặc biệt nguy hiểm vì việc thu hồi tiền bị đánh cắp trở nên khó khăn hơn đáng kể.

Một dấu hiệu cảnh báo rõ ràng nổi bật: Nền tảng bán vé chính thức của FIFA không chấp nhận tiền điện tử. Bất kỳ người bán nào yêu cầu thanh toán bằng tiền điện tử đều nên được coi là lừa đảo.

Các nhà nghiên cứu ước tính rằng chỉ riêng gian lận vé hạng sang và vé dịch vụ khách sạn có thể gây thiệt hại từ 71 triệu đến 474 triệu đô la. Dựa trên quy mô của cơ sở hạ tầng được phát hiện, tổng thiệt hại tiềm tàng có thể lên tới hàng tỷ đô la, mặc dù những con số này vẫn chỉ là dự báo chứ chưa phải là thiệt hại được xác nhận.

Một hệ sinh thái gian lận ngày càng phát triển

Chỉ riêng trong khoảng thời gian từ tháng 1 đến tháng 5, đã có hơn 13.000 tên miền liên quan đến World Cup được đăng ký, trong đó khoảng 8,8% được xác định là độc hại hoặc đáng ngờ.

Cục Điều tra Liên bang (FBI) đã công bố các cảnh báo liệt kê nhiều tên miền giả mạo liên quan đến FIFA, bao gồm các trang web bắt chước sai chính tả và các cổng thông tin tuyển dụng giả mạo của FIFA. Các nhà điều tra dự đoán sẽ có thêm nhiều tên miền độc hại xuất hiện khi giải đấu đến gần. Các nhóm an ninh khác cũng đã xác định được hàng nghìn trang web giả mạo và hơn một nghìn hồ sơ mạng xã hội giả mạo.

Các vụ lừa đảo vé chỉ là một phần nhỏ trong hệ sinh thái tội phạm rộng lớn hơn nhiều. Bọn tội phạm cũng đang điều hành các cửa hàng bán hàng giả, các nền tảng cá cược thể thao giả mạo và các dịch vụ phát trực tuyến gian lận, không chỉ thu phí đăng ký mà còn phát tán phần mềm độc hại có khả năng cho phép kẻ tấn công điều khiển từ xa các thiết bị của nạn nhân.

Các thủ đoạn khác bao gồm các thông báo xổ số FIFA giả mạo hứa hẹn giải thưởng lên đến 2 triệu đô la. Các nhà nghiên cứu cũng đã xác định được một thị trường dịch vụ lừa đảo trực tuyến (phishing-as-a-service) đang mở rộng, nơi tội phạm có thể mua các bộ công cụ lừa đảo làm sẵn và các bot mua vé tự động, giúp các đối tượng mới dễ dàng tham gia vào lĩnh vực lừa đảo.

Các hoạt động này có mối liên hệ mật thiết với nhau. Tên miền giả mạo thu hút các tìm kiếm liên quan đến vé, quảng cáo và kết quả tìm kiếm bị thao túng tạo ra lưu lượng truy cập, cơ sở dữ liệu thông tin đăng nhập bị đánh cắp cho phép chiếm đoạt tài khoản, và các ứng dụng di động độc hại biến việc tìm kiếm các luồng phát trực tuyến miễn phí thành hành vi gian lận ngân hàng.

Các ứng dụng phát trực tuyến thu hút nhiều hơn cả sự chú ý

Đối với người hâm mộ đang tìm kiếm các kênh phát sóng World Cup miễn phí, thiết bị di động có thể tiềm ẩn rủi ro lớn nhất.

Các nhà nghiên cứu gần đây đã quan sát thấy sự gia tăng đột biến của các ứng dụng phát trực tuyến không chính thức độc hại, giả mạo các dịch vụ phổ biến như RojaDirecta, xung quanh trận chung kết UEFA Champions League. Các chiến dịch tương tự dự kiến sẽ gia tăng mạnh mẽ trong thời gian diễn ra World Cup.

Nhiều ứng dụng trong số này có liên quan đến các phần mềm độc hại đánh cắp thông tin ngân hàng trên Android, bao gồm các họ phần mềm độc hại như Massiv và Perseus. Vì các ứng dụng này không có sẵn trên Google Play, người dùng phải bỏ qua các cảnh báo bảo mật tích hợp sẵn của Android để cài đặt chúng.

Sau khi được cài đặt, phần mềm độc hại này sẽ lợi dụng các dịch vụ hỗ trợ tiếp cận của Android để giành quyền kiểm soát rộng rãi thiết bị. Kẻ tấn công có thể hiển thị các trang đăng nhập ngân hàng giả mạo trên các ứng dụng hợp pháp, ghi lại các thao tác gõ phím, chặn mã xác thực một lần từ tin nhắn SMS và ứng dụng xác thực, và điều khiển thiết bị từ xa.

Perseus, được phát triển bằng cách sử dụng mã nguồn bị rò rỉ từ phần mềm độc hại ngân hàng Cerberus, thậm chí còn tiến xa hơn bằng cách tìm kiếm các ứng dụng ghi chú mật khẩu đã lưu và các cụm từ khôi phục tiền điện tử.

Một ứng dụng phát trực tuyến yêu cầu quyền truy cập mà không có lý do chính đáng nên được xem là một cảnh báo an ninh nghiêm trọng.

Mạng xã hội trở thành bãi săn.

Các nền tảng mạng xã hội đã trở thành kênh phân phối chính cho các vụ lừa đảo liên quan đến World Cup.

Các nhà nghiên cứu đã phát hiện hơn 55 chiến dịch quảng cáo liên quan đến bóng đá trên Facebook và Instagram, quảng bá áo đấu giả, đồ sưu tầm Panini giả và các trang web lừa đảo. Phân tích cơ sở hạ tầng quảng cáo đã liên kết một số hoạt động này với các nhà điều hành Trung Quốc.

Các nhà điều tra cũng đã lập danh mục hơn 1.700 tài khoản mạng xã hội giả mạo của FIFA, gần 90% trong số đó hoạt động trên Facebook và Instagram. Một chiến dịch đáng chú ý đã sử dụng các quảng cáo tuyển dụng và lời mời tham dự sự kiện giả mạo của FIFA để chuyển hướng người đăng ký đến các trang đăng nhập Google giả mạo.

Trong khi đó, thông tin đăng nhập FIFA bị đánh cắp đã và đang được lan truyền trên các chợ đen tội phạm. Các nhà nghiên cứu bảo mật đã liên kết hàng trăm nghìn tài khoản người dùng bị xâm phạm và hơn 4.600 địa chỉ web liên quan đến FIFA với các họ phần mềm độc hại đánh cắp thông tin đăng nhập như Vidar, LummaC2 và RedLine.

Rủi ro của Wi-Fi công cộng tại các thành phố đăng cai

Mạng không dây tại các thành phố đăng cai World Cup tạo ra thêm một lớp rủi ro nữa.

Một cuộc khảo sát được thực hiện tại Thành phố Mexico, Monterrey và Guadalajara cho thấy rằng từ 10% đến 12% mạng Wi-Fi được phát hiện hoàn toàn mở và không được bảo mật. Gần một nửa vẫn bật tính năng Wi-Fi Protected Setup (WPS), tạo ra thêm nhiều cơ hội tấn công.

Những điểm yếu này tạo điều kiện thuận lợi cho tội phạm triển khai các điểm truy cập "bản sao độc ác" - các mạng lưới nguy hiểm được thiết kế để bắt chước các điểm truy cập Wi-Fi hợp pháp và bí mật chặn bắt lưu lượng truy cập của người dùng.

Cách người hâm mộ và các tổ chức có thể tự bảo vệ mình

Có một số dấu hiệu cảnh báo có thể giúp nhận diện các vụ lừa đảo liên quan đến World Cup trước khi thiệt hại xảy ra:

• Chỉ mua vé thông qua trang web chính thức của FIFA và nhập địa chỉ web thủ công thay vì dựa vào quảng cáo hoặc liên kết từ công cụ tìm kiếm. Kích hoạt xác thực đa yếu tố trên tài khoản FIFA và tránh bất kỳ người bán nào yêu cầu thanh toán bằng tiền điện tử.
• Tránh cài đặt các ứng dụng phát trực tuyến không chính thức, đặc biệt là những ứng dụng yêu cầu quyền truy cập trợ năng. Khi sử dụng Wi-Fi công cộng tại các thành phố đăng cai, hãy sử dụng dữ liệu di động bất cứ khi nào có thể và tránh truy cập vào tài khoản ngân hàng, email hoặc các tài khoản nhạy cảm khác.

Các tổ chức cũng đóng một vai trò quan trọng. Các đội ngũ an ninh nên giám sát các tên miền mới đăng ký có chủ đề FIFA, phát hiện các trang đăng nhập gian lận, xác định nhân viên hoặc khách hàng bị lộ thông tin đăng nhập trong các vụ rò rỉ dữ liệu từ Vidar, LummaC2 hoặc RedLine, và chuẩn bị các đội ứng phó gian lận cho việc gia tăng tranh chấp vé và hoạt động hoàn tiền trong suốt giải đấu.

Những mối đe dọa vẫn đang chờ được kích hoạt

Có lẽ phát hiện đáng lo ngại nhất là khoảng 3.800 tên miền giả mạo liên quan đến FIFA vẫn đang ở trạng thái không hoạt động và chờ được sử dụng bất cứ lúc nào.

Với các bộ công cụ lừa đảo, bot tự động và thông tin đăng nhập bị đánh cắp đã lan rộng, các nhà nghiên cứu dự đoán giai đoạn rủi ro cao nhất sẽ diễn ra từ ngày 11 tháng 6 đến ngày 19 tháng 7. Trong khoảng thời gian đó, các tìm kiếm về vé, đặt vé du lịch và dịch vụ phát trực tuyến sẽ đạt đỉnh điểm, tạo điều kiện lý tưởng cho tội phạm mạng mở rộng hoạt động của chúng.