Само седмици преди началото на 2026 FIFA World Cup експерти по киберсигурност предупреждават за мащабна вълна от измами, фишинг кампании и кражба на акаунти, насочени към футболните фенове по целия свят.

Изследователи от Group-IB са идентифицирали шест различни схеми за измама, четири независими групи и над 4300 злонамерени домейна, имитиращи официалното онлайн присъствие на FIFA.

GHOST STADIUM – мащабна фишинг операция с потенциални загуби за милиарди

В центъра на кампанията стои  GHOST STADIUM – китайскоезичен финансово мотивиран оператор, който според анализаторите провежда изключително добре организирана фишинг операция чрез над 300 домейна.

Атакуващите са създали почти перфектно копие на официалния  сайт на FIFA , включително:

• идентична система за Single Sign-On (SSO);
• многоезична поддръжка на 11 езика;
• фалшиви страници за hospitality пакети и продажба на билети;
• агресивни pop-up прозорци с бутони „BUY NOW“.

Според Group-IB само измамите с premium билети могат да доведат до финансови щети между 71 и 474 милиона долара, а общите загуби от всички схеми потенциално могат да достигнат милиарди.

Социалните мрежи се използват за разпространение на фишинг страници

Разследването показва, че основният канал за привличане на жертви са реклами във Meta платформите, включително Facebook.

В инфраструктурата на кампанията са открити няколко Meta Pixel идентификатора, което показва активно използване на рекламната екосистема за насочване към фалшиви FIFA страници.

Това позволява на атакуващите:

• да таргетират фенове по държави и интереси;
• да оптимизират рекламните кампании;
• да проследяват поведението на жертвите;
• да увеличават конверсията на измамните операции.

Над 2500 FIFA акаунта вече се продават в dark web

Само две седмици преди началото на турнира над 2500 комплекта с FIFA потребителски имена и пароли вече циркулират в underground пазари и dark web форуми.

Изследователите предупреждават, че компрометираните акаунти могат да бъдат използвани за:

• кражба на закупени билети;
• измами с hospitality пакети;
• препродажба на достъп;
• кражба на лични и платежни данни.

Шест паралелни измамни схеми

Според анализа на Group-IB киберпрестъпниците действат координирано чрез шест основни типа измами:

Фишинг за акаунти

Кражба на FIFA идентификационни данни чрез фалшиви login страници.

Фалшиви продажби на билети

Измамни сайтове, предлагащи несъществуващи билети или VIP пакети.

Фалшиви магазини за фен артикули

Онлайн магазини за counterfeit продукти и мърчандайз.

Фалшиви стрийминг платформи

Сайтове, предлагащи „безплатно“ гледане на мачове срещу регистрация или плащане.

Измамни бетинг и казино сайтове

Нелегитимни gambling платформи, използващи World Cup брандинга.

Infostealer кампании

Зловреден софтуер, който краде браузърни сесии, пароли, криптопортфейли и payment данни.

Typosquatting и phishing-as-a-service екосистема

Освен GHOST STADIUM, други групи активно използват:

• typosquatting домейни с имена, подобни на FIFA;
• автоматизирани infostealer операции;
• phishing-as-a-service (PhaaS) платформи, които позволяват дори на нискоквалифицирани престъпници да стартират фишинг кампании.

Това значително намалява бариерата за навлизане в киберизмамите около глобални спортни събития.

Как феновете могат да се защитят

Експертите препоръчват:

• закупуване на билети само през официални FIFA канали;
• внимателна проверка на URL адресите;
• избягване на реклами в социалните мрежи за „последни налични билети“;
• активиране на многофакторна автентикация;
• използване на уникални пароли;
• избягване на непознати стрийминг сайтове.

Световното първенство традиционно привлича огромен интерес, а мащабът на тазгодишните кампании показва, че спортните събития продължават да бъдат една от най-печелившите възможности за киберпрестъпните групи.