2026年國際足總世界盃騙局

安全研究人員和聯邦調查局警告說，儘管世界盃足球賽要到 6 月 11 日才開始，但大規模的以 FIFA 為主題的詐騙浪潮已經開始針對 2026 年世界盃的球迷。

此次賽事為網路犯罪分子提供了絕佳的機會。預計將有超過600萬觀眾前往美國、加拿大和墨西哥的16個城市觀看比賽。國際足總報告稱，在開售後的前15天內，他們收到了超過1.5億張門票申請，需求量約為供應量的30倍。門票稀缺、球迷焦急等待以及快速的交易，為大規模詐騙創造了理想的條件。

最近的調查發現，存在數千個以 FIFA 為主題的詐欺域名、隱藏在未經授權的串流媒體應用程式中的惡意軟體，以及能夠劫持合法 FIFA 帳戶的複雜網路釣魚活動。

幽靈體育場網路釣魚網路的崛起

研究人員發現，自 2025 年 8 月以來，已註冊了 4300 多個與 FIFA 相關的詐欺域名。這項活動的核心是一個名為「幽靈體育場」（GHOST STADIUM）的以經濟利益為目的的中文組織，該組織經營著一個涵蓋 300 多個網站的釣魚網路基礎設施。

該行動依賴一個高度逼真的國際足總官方網站仿製品。這些假頁面高度模仿了國際足總基於 PingIdentity 的單一登入系統，甚至使用了從真實平台複製的合法用戶端 ID。為了增加可信度，圖片直接從國際足總伺服器加載，這有助於網站繞過一些檢測複製內容的機制。

最具破壞性的功能是詐騙的密碼重置功能。受害者在不知情的情況下輸入憑證，將帳戶控制權拱手讓給攻擊者，攻擊者隨後可以鎖定合法帳戶所有者，並轉售所有相關門票。

流量主要來自 Facebook 廣告，釣魚網路中使用了相同的追蹤識別碼。此外，還有部分訪客透過 Telegram 頻道、WhatsApp 訊息和被竄改的搜尋結果進入網站。

該詐騙網路接受多種管道的付款，包括直接信用卡交易、第三方支付網關、Chime 和 Nequi 等匯款服務、墨西哥地區支付處理商以及加密貨幣兌換系統。使用加密貨幣付款尤其危險，因為追回被盜資金的難度將大大增加。

一個明顯的警訊是：國際足總官方票務平台不接受加密貨幣。任何要求使用加密貨幣支付的賣家都應被視為詐欺行為。

研究人員估計，光是高級艙位和貴賓艙位門票詐欺就可能造成7,100萬美元至4.74億美元的損失。根據已發現的詐欺基礎設施規模，總損失可能高達數十億美元，但這些數字仍為預測值，而非已確認的損失。

日益壯大的詐欺生態系統

僅在 1 月至 5 月期間，就有超過 13,000 個世界盃主題域名被註冊，其中約 8.8% 被認定為惡意或可疑域名。

美國聯邦調查局（FBI）已發佈公告，列出了大量與國際足總（FIFA）相關的欺詐性域名，包括拼寫錯誤的仿冒網站和虛假的FIFA招聘網站。調查人員預計，隨著賽事臨近，還會出現更多惡意網域。其他安全團隊也已發現數千個仿冒網站和一千多個虛假社群媒體帳號。

票務詐騙只是龐大犯罪生態系統中的一小部分。詐騙分子還經營假冒商品商店、虛假體育博彩平台和欺詐性串流媒體服務，這些服務不僅收取訂閱費，還會散佈惡意軟體，使攻擊者能夠遠端控制受害者的裝置。

其他詐騙手段還包括偽造國際足總彩券通知，承諾高達200萬美元的獎金。研究人員還發現，網路釣魚即服務市場正在不斷擴大，犯罪分子可以購買現成的詐騙工具包和自動購票機器人，這使得新的詐騙分子更容易進入詐騙領域。

這些操作之間聯繫緊密。虛假網域會攔截與票務相關的搜索，廣告和篡改的搜索結果會產生流量，被盜的憑證資料庫會導致帳戶被盜用，惡意行動應用程式則會將免費串流媒體搜尋轉化為銀行詐騙。

那些竊取注意力的串流應用

對於想要觀看免費世界盃直播的球迷來說，行動裝置可能帶來最大的風險。

研究人員最近發現，在歐冠決賽前後，大量惡意非官方串流應用程式偽裝成RojaDirecta等熱門服務出現。預計世界盃期間類似的攻擊活動將會加劇。

這些應用大多與安卓銀行木馬程式有關，包括名為 Massiv 和 Perseus 的惡意軟體家族。由於這些應用程式無法透過 Google Play 下載，用戶必須繞過安卓系統內建的安全警告才能安裝它們。

一旦安裝，該惡意軟體會濫用安卓系統的輔助功能服務，從而獲得對設備的廣泛控制權。攻擊者可以偽裝成銀行登錄頁面覆蓋合法應用程序，記錄鍵盤輸入，攔截短信和身份驗證器應用程式中的一次性驗證碼，並遠端操控設備。

Perseus 是利用從 Cerberus 銀行木馬洩露的源代碼開發的，它更進一步，會搜尋筆記應用程式以查找儲存的密碼和加密貨幣恢復短語。

串流媒體應用程式在沒有正當理由的情況下請求輔助功能權限，應被視為重大安全警告。

社群媒體淪為狩獵場

社群媒體平台已成為世界盃詐騙活動的主要傳播管道。

研究人員在Facebook和Instagram上發現了超過55個以足球為主題的廣告活動，這些廣告推廣假球衣、仿冒帕尼尼收藏品和釣魚網站。對廣告基礎設施的分析表明，其中一些活動與中國運營商有關。

調查人員還查獲了超過1700個虛假的國際足總社群媒體帳戶，其中近90%活躍於Facebook和Instagram。一個值得注意的案例是，有人利用虛假的國際足總招募廣告和日曆邀請，將求職者重新導向到偽造的Google登入頁面。

同時，被盜的國際足總帳號資訊已經在犯罪市場上流通。安全研究人員已將數十萬個被盜用的用戶帳戶和超過4600個與國際足總相關的網址與Vidar、LummaC2和RedLine等竊取帳號資訊的惡意軟體家族聯繫起來。

主辦城市的公共 Wi-Fi 風險

世界盃舉辦城市的無線網路又帶來了一層風險。

一項在墨西哥城、蒙特雷和瓜達拉哈拉進行的調查發現，偵測到的Wi-Fi網路中，有10%到12%完全開放且不安全。近一半的網路仍然啟用了Wi-Fi保護設定（WPS），這增加了網路攻擊的風險。

這些弱點使得犯罪分子更容易部署「邪惡雙胞胎」熱點——惡意網路旨在模仿合法的 Wi-Fi 接入點並秘密攔截用戶流量。

粉絲和組織如何保護自身安全

在造成損失之前，可以透過一些預警訊號來識別與世界盃相關的詐騙行為：

• 僅透過國際足總官方網站購票，並手動輸入網址，切勿依賴廣告或搜尋引擎連結。請在國際足總帳戶上啟用多重身份驗證，並避免任何要求使用加密貨幣付款的賣家。
• 避免安裝非官方的串流應用程序，尤其是那些請求輔助功能權限的應用程式。在旅遊城市使用公共 Wi-Fi 時，盡可能使用行動數據，並避免存取銀行、電子郵件或其他敏感帳戶。

各組織機構也扮演重要角色。安全團隊應監控新註冊的FIFA主題域名，檢測欺詐性登錄頁面，識別在Vidar、LummaC2或RedLine憑證洩露事件中暴露的員工或客戶，並做好準備，應對賽事期間可能出現的票務糾紛和拒付情況，確保欺詐應對團隊能夠及時響應。

尚未啟動的威脅

最令人擔憂的發現或許是，大約有 3800 個已知的與 FIFA 相關的詐欺性網域仍然處於不活躍和停放狀態，隨時準備投入使用。

由於網路釣魚工具包、自動化機器人和被盜憑證已經廣泛傳播，研究人員預計風險最高的時期將是6月11日至7月19日。在此期間，對機票、旅行安排和串流媒體服務的搜尋量將達到高峰，這將為網路犯罪分子擴大其活動創造理想條件。