2026年国际足联世界杯骗局

安全研究人员和联邦调查局警告说，尽管世界杯足球赛要到 6 月 11 日才开始，但大规模的以 FIFA 为主题的诈骗浪潮已经开始针对 2026 年世界杯的球迷。

此次赛事为网络犯罪分子提供了绝佳的机会。预计将有超过600万观众前往美国、加拿大和墨西哥的16个城市观看比赛。国际足联报告称，在开售后的前15天内，他们收到了超过1.5亿张门票申请，需求量约为供应量的30倍。门票稀缺、球迷焦急等待以及快速的交易，为大规模诈骗创造了理想的条件。

最近的调查发现，存在数千个以 FIFA 为主题的欺诈域名、隐藏在未经授权的流媒体应用程序中的恶意软件，以及能够劫持合法 FIFA 帐户的复杂网络钓鱼活动。

幽灵体育场网络钓鱼网络的崛起

研究人员发现，自 2025 年 8 月以来，已注册了 4300 多个与 FIFA 相关的欺诈域名。这一活动的核心是一个名为“幽灵体育场”（GHOST STADIUM）的以经济利益为目的的中文组织，该组织运营着一个涵盖 300 多个网站的钓鱼网络基础设施。

该行动依赖于一个高度逼真的国际足联官方网站仿制品。这些虚假页面高度模仿了国际足联基于 PingIdentity 的单点登录系统，甚至使用了从真实平台复制的合法客户端 ID。为了增加可信度，图片直接从国际足联服务器加载，这有助于网站绕过一些检测复制内容的机制。

最具破坏性的功能是欺诈性的密码重置功能。受害者在不知情的情况下输入凭证，将账户控制权拱手让给攻击者，攻击者随后可以锁定合法账户所有者，并转售所有相关门票。

流量主要来自 Facebook 广告，钓鱼网络中使用了相同的追踪标识符。此外，还有部分访问者通过 Telegram 频道、WhatsApp 消息和被篡改的搜索结果进入网站。

该诈骗网络接受多种渠道的付款，包括直接信用卡交易、第三方支付网关、Chime 和 Nequi 等汇款服务、墨西哥地区支付处理商以及加密货币兑换系统。使用加密货币付款尤其危险，因为追回被盗资金的难度会大大增加。

一个明显的警示信号是：国际足联官方票务平台不接受加密货币。任何要求使用加密货币支付的卖家都应被视为欺诈行为。

研究人员估计，仅高级舱位和贵宾舱位门票欺诈就可能造成7100万美元至4.74亿美元的损失。根据已发现的欺诈基础设施规模，总损失可能高达数十亿美元，但这些数字仍为预测值，而非已确认的损失。

日益壮大的欺诈生态系统

仅在 1 月至 5 月期间，就有超过 13,000 个与世界杯相关的域名被注册，其中约 8.8% 被认定为恶意或可疑域名。

美国联邦调查局（FBI）已发布公告，列出了大量与国际足联（FIFA）相关的欺诈性域名，包括拼写错误的仿冒网站和虚假的FIFA招聘网站。调查人员预计，随着赛事临近，还会出现更多恶意域名。其他安全团队也已发现数千个仿冒网站和一千多个虚假社交媒体账号。

票务诈骗只是庞大犯罪生态系统中的一小部分。诈骗分子还经营假冒商品商店、虚假体育博彩平台和欺诈性流媒体服务，这些服务不仅收取订阅费，还会散布恶意软件，使攻击者能够远程控制受害者的设备。

其他诈骗手段还包括伪造国际足联彩票通知，承诺高达200万美元的奖金。研究人员还发现，网络钓鱼即服务市场正在不断扩大，犯罪分子可以购买现成的诈骗工具包和自动购票机器人，这使得新的诈骗分子更容易进入诈骗领域。

这些操作之间联系紧密。虚假域名会拦截与票务相关的搜索，广告和篡改的搜索结果会产生流量，被盗的凭证数据库会导致账户被盗用，恶意移动应用程序则会将免费流媒体搜索转化为银行诈骗。

那些窃取注意力的流媒体应用

对于想要观看免费世界杯直播的球迷来说，移动设备可能带来最大的风险。

研究人员最近发现，在欧冠决赛前后，大量恶意非官方流媒体应用程序伪装成RojaDirecta等热门服务出现。预计世界杯期间类似的攻击活动将会加剧。

这些应用大多与安卓银行木马程序有关，包括名为 Massiv 和 Perseus 的恶意软件家族。由于这些应用无法通过 Google Play 下载，用户必须绕过安卓系统内置的安全警告才能安装它们。

一旦安装，该恶意软件会滥用安卓系统的辅助功能服务，从而获得对设备的广泛控制权。攻击者可以伪装成银行登录页面覆盖合法应用程序，记录键盘输入，拦截短信和身份验证器应用程序中的一次性验证码，并远程操控设备。

Perseus 是利用从 Cerberus 银行木马泄露的源代码开发的，它更进一步，会搜索笔记应用程序以查找存储的密码和加密货币恢复短语。

流媒体应用程序在没有正当理由的情况下请求辅助功能权限，应被视为重大安全警告。

社交媒体沦为狩猎场

社交媒体平台已成为世界杯诈骗活动的主要传播渠道。

研究人员在Facebook和Instagram上发现了超过55个以足球为主题的广告活动，这些广告推广假冒球衣、仿冒帕尼尼收藏品和钓鱼网站。对广告基础设施的分析表明，其中一些活动与中国运营商有关。

调查人员还查获了超过1700个虚假的国际足联社交媒体账户，其中近90%活跃于Facebook和Instagram。一个值得注意的案例是，有人利用虚假的国际足联招聘广告和日历邀请，将求职者重定向到伪造的谷歌登录页面。

与此同时，被盗的国际足联账号信息已经在犯罪市场上流通。安全研究人员已将数十万个被盗用的用户账户和超过4600个与国际足联相关的网址与Vidar、LummaC2和RedLine等窃取账号信息的恶意软件家族联系起来。

主办城市的公共 Wi-Fi 风险

世界杯举办城市的无线网络又带来了一层风险。

一项在墨西哥城、蒙特雷和瓜达拉哈拉进行的调查发现，检测到的Wi-Fi网络中，有10%到12%完全开放且不安全。近一半的网络仍然启用了Wi-Fi保护设置（WPS），这增加了网络攻击的风险。

这些弱点使得犯罪分子更容易部署“邪恶双胞胎”热点——恶意网络旨在模仿合法的 Wi-Fi 接入点并秘密拦截用户流量。

粉丝和组织如何保护自身安全

在造成损失之前，可以通过一些预警信号识别与世界杯相关的诈骗行为：

• 仅通过国际足联官方网站购票，并手动输入网址，切勿依赖广告或搜索引擎链接。请在国际足联账户上启用多重身份验证，并避免任何要求使用加密货币支付的卖家。
• 避免安装非官方的流媒体应用程序，尤其是那些请求辅助功能权限的应用程序。在旅游城市使用公共 Wi-Fi 时，尽可能使用移动数据，并避免访问银行、电子邮件或其他敏感账户。

各组织机构也扮演着重要角色。安全团队应监控新注册的FIFA主题域名，检测欺诈性登录页面，识别在Vidar、LummaC2或RedLine凭证泄露事件中暴露的员工或客户，并做好准备，应对赛事期间可能出现的票务纠纷和拒付情况，确保欺诈应对团队能够及时响应。

尚未激活的威胁

最令人担忧的发现或许是，大约有 3800 个已知的与 FIFA 相关的欺诈性域名仍然处于不活跃和停放状态，随时准备投入使用。

由于网络钓鱼工具包、自动化机器人和被盗凭证已经广泛传播，研究人员预计风险最高的时期将是6月11日至7月19日。在此期间，对机票、旅行安排和流媒体服务的搜索量将达到高峰，这将为网络犯罪分子扩大其活动创造理想条件。