Мошенничество с Кубком мира ФИФА 2026 в разгаре: фальшивые сайты и вредоносное ПО

      TL;DROver 4,300 поддельных доменов FIFA, банковское вредоносное ПО в пиратских стриминговых приложениях и фишинговые операции по сбору учетных данных уже нацелены на фанатов Кубка мира 2026 года перед стартом 11 июня. ФБР, Group-IB, Fortinet и Kaspersky уже опубликовали предупреждения.

      Самое переполненное спортивное событие в истории также является самым фишинговым. С более чем 150 миллионами запросов на билеты за первые 15 дней и всего шестью миллионами мест в 16 городах США, Канады и Мексики, Кубок мира FIFA 2026 создал именно те условия, на которых процветает мошенничество: нехватка, срочность и быстрое движение денег.

      Исследователи безопасности, ФБР и несколько компаний в области кибербезопасности опубликовали предупреждения на прошлой неделе, описывающие инфраструктуру мошенничества, которая уже работает, хорошо обеспечена и масштабируется. Появляющаяся картина — это не несколько случайных фишинговых страниц. Это многослойная экосистема поддельных доменов, банковского вредоносного ПО, кражи учетных данных и подделки в социальных сетях, все сосредоточено на одном окне.

      Один оператор, 300 клонированных сайтов FIFA

      Самые подробные данные поступают от Group-IB, которая отслеживала более 4,300 мошеннических доменов FIFA, зарегистрированных с августа 2025 года. В центре находится группа, которую она называет Ghost Stadium, китайскоязычная, финансово мотивированная операция, использующая один фишинговый комплект на более чем 300 из этих сайтов.

      Подделка хороша. Страница — почти идеальная копия fifa.com, имитирующая реальный вход в систему FIFA с единой авторизацией, управляемой PingIdentity, вплоть до подлинного идентификатора клиента, скопированного с живого сайта. Она загружает изображения непосредственно с серверов FIFA, так что страница выглядит аутентично и проходит мимо инструментов, которые отмечают скопированные активы.

      Ущерб заключается в деталях: поддельный вход также запрашивает сброс пароля. Как только жертва вводит учетные данные, злоумышленник блокирует ее доступ к реальной учетной записи FIFA и перепродает любые билеты, связанные с ней. Большая часть трафика поступает из рекламы на Facebook с повторно используемыми кодами отслеживания, а также из ссылок в Telegram, WhatsApp и в результатах поиска. Способы оплаты включают ввод карты, приложения для перевода денег, такие как Chime и Nequi, процессоры только для Мексики и крипто-опцию, которая конвертирует платежи по картам в криптовалюту. Последний вариант является надежным признаком, поскольку официальная продажа билетов FIFA никогда не принимает криптовалюту.

      13,000 доменов и продолжается

      FortiGuard Labs насчитали более 13,000 доменов, связанных с Кубком мира, зарегистрированных с января по май, примерно 8,8% из них классифицированы как вредоносные или подозрительные. Публичное заявление ФБР перечисляет десятки поддельных доменов FIFA, от неправильно написанных аналогов до фальшивых страниц с вакансиями, и предупреждает, что их будет больше.

      Мошенничество с билетами — это лишь одна часть. Group-IB также обнаружила магазины поддельной продукции, фальшивые стриминговые сайты, которые берут плату за подписку и затем устанавливают вредоносное ПО, и поддельные букмекерские платформы, которые собирают сканы паспортов и селфи для кражи личных данных. Bitdefender отдельно отслеживал электронные письма лотереи FIFA, обещающие выплаты до 2 миллионов долларов.

      Group-IB оценивает убытки от мошенничества с премиум и гостиничными билетами только в 71 миллион до 474 миллионов долларов, при этом более широкая кампания может достичь миллиардов. Это прогнозы, основанные на видимой инфраструктуре, а не подтвержденных убытках.

      Банковское вредоносное ПО в стриминговых приложениях

      Для фанатов, стремящихся к бесплатным трансляциям матчей, большая опасность заключается в телефоне. ThreatFabric наблюдала всплеск вредоносных неофициальных стриминговых приложений, многие из которых выдавали себя за популярный RojaDirecta, вокруг недавнего финала Лиги чемпионов и ожидает повторения на Кубке мира в большем масштабе.

      Kaspersky связала эти приложения с двумя семействами банковских троянов для Android: Massiv и Perseus. Ни одно из них не распространяется через Google Play, поэтому установка одного требует нажатия на встроенные предупреждения Android. После установки вредоносное ПО использует инструменты доступности, чтобы накладывать поддельные экраны входа в банк на реальные приложения, записывать нажатия клавиш, перехватывать одноразовые коды из SMS и приложений-аутентификаторов и удаленно управлять экраном.

      Perseus, построенный на утекшем коде более старого трояна Cerberus, даже читает приложения для заметок для сохраненных паролей и фраз восстановления криптовалюты. Самый простой красный флаг, по словам ThreatFabric, — это стриминговое приложение, запрашивающее доступ к доступности. Ни одно законное стриминговое приложение не нуждается в этом.

      Социальные сети, украденные учетные данные и открытый Wi-Fi

      Fortinet насчитала более 1,700 поддельных аккаунтов FIFA, почти 90% из них на Facebook и Instagram, плюс схема, использующая поддельные объявления о вакансиях FIFA и приглашения в календаре, чтобы перенаправить заявителей на похожий вход в Google. Bitdefender нашел более 55 рекламных кампаний на тему футбола на Facebook и Instagram, продвигающих поддельные комплекты, фальшивые наклейки Panini и фишинговые страницы.

      Украденные логины FIFA уже циркулируют. Fortinet нашла сотни тысяч учетных данных пользователей, а также более 4,600 URL-адресов, связанных с FIFA, в данных, собранных семействами вредоносного ПО, крадущими учетные данные, включая Vidar, LummaC2 и RedLine.

      Wi-Fi в городах-хозяевах — это отдельная проблема. Опрос Kaspersky, проведенный по Мехико, Монтеррею и Гвадалахаре, показал, что 10% до 12% сетей открыты и без пароля, при этом функция сопряжения WPS все еще активна почти на половине из них. Оба оставляют возможности для злонамеренных «злых близнецов», которые копируют реальную сеть и тихо перехватывают трафик.

      На что обратить внимание

      Мошенничества оставляют четкие признаки. Покупайте билеты только через fifa.com, вводя адрес напрямую, а не через рекламу или результат поиска. Включите многофакторную аутентификацию и рассматривайте любого продавца, запрашивающего криптовалюту, как мошенника. На Android отказывайтесь от разрешений на доступность для стриминговых приложений. На открытом Wi-Fi в городах-хозяевах используйте мобильные данные для банковских операций и электронной почты.

      Meta сообщает, что теперь она показывает предупреждающие всплывающие окна, когда люди ищут в Facebook билеты FIFA, и она сотрудничает с Visa, чтобы закрыть сеть Facebook, связанную с поддельными сайтами азартных игр на Кубке мира. ФБР просит жертв сообщать об этом на IC3.

      Более серьезная проблема заключается в том, что еще не было активировано. Group-IB насчитала примерно 3,800 мошеннических доменов FIFA, которые стоят без дела и не используются, готовые к активации. С готовыми комплектами мошенничества и ботами для покупки билетов, уже выставленными на продажу, пик активности легко предсказать: с 11 июня по 19 июля, когда поиски билетов, трансляций и поездок будут наивысшими.