Мошенничество с Кубком мира по футболу 2026 года в разгаре: фальшивые сайты и вредоносное ПО

      TL;DROver 4,300 фальшивых доменов FIFA, банковское вредоносное ПО в пиратских стриминговых приложениях и фишинговые операции по сбору учетных данных уже нацелены на фанатов Кубка мира 2026 года перед стартом 11 июня. ФБР, Group-IB, Fortinet и Kaspersky уже опубликовали предупреждения.

      Самое переполненное спортивное событие в истории также является самым фишинговым. С более чем 150 миллионами запросов на билеты за первые 15 дней и всего шестью миллионами мест в 16 городах США, Канады и Мексики, Кубок мира FIFA 2026 создал именно те условия, на которых процветает мошенничество: нехватка, срочность и быстрое движение денег.

      Исследователи безопасности, ФБР и несколько компаний по кибербезопасности опубликовали предупреждения на прошлой неделе, описывающие инфраструктуру мошенничества, которая уже функционирует, хорошо финансируется и масштабируется. Ситуация, которая возникает, — это не несколько случайных фишинговых страниц. Это многослойная экосистема фальшивых доменов, банковского вредоносного ПО, кражи учетных данных и подделки в социальных сетях, все сосредоточено на одном окне.

      Один оператор, 300 клонированных сайтов FIFA

      Самые подробные данные поступают от Group-IB, которая отслеживала более 4,300 мошеннических доменов FIFA, зарегистрированных с августа 2025 года. В центре находится группа, которую она называет Ghost Stadium, китайскоговорящая, финансово мотивированная операция, использующая один фишинговый комплект на более чем 300 из этих сайтов.

      Фальшивка хороша. Страница является почти идеальной копией fifa.com, имитируя реальный вход в систему FIFA с единой авторизацией, управляемой PingIdentity, вплоть до подлинного идентификатора клиента, скопированного с живого сайта. Она загружает изображения непосредственно с серверов FIFA, так что страница выглядит аутентично и проходит мимо инструментов, которые отмечают скопированные активы.

      Ущерб заключается в деталях: фальшивый вход также запрашивает сброс пароля. Как только жертва вводит учетные данные, злоумышленник блокирует ее доступ к реальной учетной записи FIFA и перепродает любые билеты, связанные с ней. Большая часть трафика поступает из рекламы на Facebook с повторно используемыми кодами отслеживания, а также из ссылок в Telegram, WhatsApp и в результатах поиска. Способы оплаты включают ввод карты, приложения для перевода денег, такие как Chime и Nequi, процессоры только для Мексики и крипто-опцию, которая конвертирует платежи по картам в криптовалюту. Последний вариант является надежным признаком, поскольку официальная продажа билетов FIFA никогда не принимает криптовалюту.

      13,000 доменов и продолжается

      FortiGuard Labs насчитали более 13,000 доменов на тему Кубка мира, зарегистрированных с января по май, примерно 8,8% из которых классифицируются как вредоносные или подозрительные. Публичное заявление ФБР перечисляет десятки фальшивых доменов FIFA, от неправильно написанных аналогов до поддельных страниц вакансий, и предупреждает, что их будет больше.

      Мошенничество с билетами — это лишь одна часть. Group-IB также обнаружила магазины поддельной продукции, фальшивые стриминговые сайты, которые берут плату за подписку, а затем устанавливают вредоносное ПО, и поддельные букмекерские платформы, которые собирают сканы паспортов и селфи для кражи личных данных. Bitdefender отдельно отслеживал электронные письма лотереи FIFA, обещающие выплаты до 2 миллионов долларов.

      Group-IB оценивает убытки от мошенничества с премиум и гостиничными билетами только в 71 миллион до 474 миллионов долларов, при этом более широкая кампания может достигать миллиардов. Это прогнозы, основанные на видимой инфраструктуре, а не подтвержденных убытках.

      Банковское вредоносное ПО в стриминговых приложениях

      Для фанатов, стремящихся к бесплатным матчевым трансляциям, большая опасность заключается в телефоне. ThreatFabric наблюдала всплеск вредоносных неофициальных стриминговых приложений, многие из которых маскируются под популярный RojaDirecta, вокруг недавнего финала Лиги чемпионов и ожидает повторения на Кубке мира в большем масштабе.

      Kaspersky связал эти приложения с двумя семействами банковских троянов для Android: Massiv и Perseus. Ни одно из них не распространяется через Google Play, поэтому установка одного требует нажатия на предупреждения, встроенные в Android. После установки вредоносное ПО использует инструменты доступности, чтобы накладывать фальшивые экраны входа в банк на реальные приложения, записывать нажатия клавиш, перехватывать одноразовые коды из SMS и приложений-аутентификаторов, а также управлять экраном удаленно.

      Perseus, созданный на основе утекшего кода более старого трояна Cerberus, даже читает приложения для заметок для сохраненных паролей и фраз восстановления криптовалюты. Самый простой красный флаг, по словам ThreatFabric, — это стриминговое приложение, запрашивающее доступ к доступности. Ни одно законное стриминговое приложение не нуждается в этом.

      Социальные сети, украденные учетные данные и открытый Wi-Fi

      Fortinet насчитала более 1,700 поддельных аккаунтов FIFA, почти 90% из которых на Facebook и Instagram, плюс схема, использующая фальшивые вакансии FIFA и приглашения в календаре, чтобы перенаправить заявителей на похожий вход в Google. Bitdefender обнаружил более 55 рекламных кампаний на тему футбола на Facebook и Instagram, продвигающих поддельные комплекты, фальшивые наклейки Panini и фишинговые страницы.

      Украденные логины FIFA уже циркулируют. Fortinet обнаружила сотни тысяч учетных данных пользователей, а также более 4,600 URL, связанных с FIFA, в данных, собранных семействами вредоносного ПО для кражи учетных данных, включая Vidar, LummaC2 и RedLine.

      Wi-Fi в городах-хозяевах — это отдельная проблема. Опрос Kaspersky, проведенный по Мехико, Монтеррею и Гвадалахаре, показал, что 10% до 12% сетей открыты и без пароля, при этом функция WPS-сопряжения все еще активна почти на половине. Оба оставляют возможности для злонамеренных «злых близнецов», которые копируют реальную сеть и тихо перехватывают трафик.

      На что обратить внимание

      Мошенничества оставляют четкие признаки. Покупайте билеты только через fifa.com, вводя адрес напрямую, а не через рекламу или результат поиска. Включите многофакторную аутентификацию и рассматривайте любого продавца, запрашивающего криптовалюту, как мошенника. На Android отказывайтесь от разрешений на доступность для стриминговых приложений. На открытом Wi-Fi в городах-хозяевах используйте мобильные данные для банковских операций и электронной почты.

      Meta сообщает, что теперь показывает всплывающие предупреждения, когда люди ищут на Facebook билеты FIFA, и она сотрудничает с Visa, чтобы закрыть сеть Facebook, связанную с фальшивыми сайтами азартных игр на Кубке мира. ФБР просит жертв сообщать об этом на IC3.

      Более серьезная проблема заключается в том, что еще не было активировано. Group-IB насчитала примерно 3,800 мошеннических доменов FIFA, которые находятся в ожидании и не используются, готовые к активации. С готовыми комплектами мошенничества и ботами для покупки билетов, уже выставленными на продажу, пик активности легко предсказать: с 11 июня по 19 июля, когда поиски билетов, трансляций и поездок будут на своем пике.