Мошенничество с Кубком мира по футболу 2026 года в разгаре: поддельные сайты и вредоносное ПО

      TL;DROver 4,300 поддельных доменов FIFA, банковское вредоносное ПО в пиратских стриминговых приложениях и фишинговые операции по сбору учетных данных уже нацелены на фанатов Кубка мира 2026 года перед стартом 11 июня. ФБР, Group-IB, Fortinet и Kaspersky уже опубликовали предупреждения.

      Самое переполненное спортивное событие в истории также является самым фишинговым. С более чем 150 миллионами запросов на билеты за первые 15 дней и всего шестью миллионами мест в 16 городах США, Канады и Мексики, Кубок мира FIFA 2026 года создал именно те условия, на которых процветает мошенничество: нехватка, срочность и быстрое движение денег.

      Исследователи безопасности, ФБР и несколько компаний в области кибербезопасности опубликовали предупреждения на прошлой неделе, описывающие инфраструктуру мошенничества, которая уже функционирует, хорошо обеспечена и масштабируется. Появляющаяся картина — это не несколько случайных фишинговых страниц. Это многослойная экосистема поддельных доменов, банковского вредоносного ПО, кражи учетных данных и подделки в социальных сетях, все сходящееся в одном окне.

      Один оператор, 300 клонированных сайтов FIFA

      Самые подробные данные предоставила Group-IB, которая отслеживала более 4,300 мошеннических доменов FIFA, зарегистрированных с августа 2025 года. В центре находится группа, которую она называет Ghost Stadium, китайскоязычная, финансово мотивированная операция, использующая один фишинговый комплект на более чем 300 из этих сайтов.

      Подделка хороша. Страница является почти идеальной копией fifa.com, имитируя реальный вход в систему FIFA с единой авторизацией, управляемый PingIdentity, вплоть до подлинного идентификатора клиента, скопированного с живого сайта. Она загружает изображения непосредственно с серверов FIFA, так что страница выглядит аутентично и проходит мимо инструментов, которые отмечают скопированные активы.

      Ущерб заключается в деталях: поддельный вход также запрашивает сброс пароля. Как только жертва вводит учетные данные, злоумышленник блокирует ее доступ к реальной учетной записи FIFA и перепродает любые билеты, связанные с ней. Большая часть трафика поступает из рекламных объявлений на Facebook с повторно используемыми кодами отслеживания, а также из ссылок в Telegram, WhatsApp и в результатах поиска. Способы оплаты включают ввод карты, приложения для перевода денег, такие как Chime и Nequi, процессоры только для Мексики и крипто-опцию, которая конвертирует платежи по картам в криптовалюту. Последний вариант является надежным признаком, поскольку официальная продажа билетов FIFA никогда не принимает криптовалюту.

      13,000 доменов и продолжается

      FortiGuard Labs насчитали более 13,000 доменов, связанных с Кубком мира, зарегистрированных с января по май, примерно 8,8% из них классифицированы как вредоносные или подозрительные. Публичное заявление ФБР перечисляет десятки поддельных доменов FIFA, от неправильно написанных аналогов до фальшивых страниц вакансий, и предупреждает, что их будет больше.

      Мошенничество с билетами — это лишь одна часть. Group-IB также обнаружила магазины поддельной продукции, фальшивые стриминговые сайты, которые берут плату за подписку, а затем устанавливают вредоносное ПО, и поддельные букмекерские платформы, которые собирают сканы паспортов и селфи для кражи личных данных. Bitdefender отдельно отслеживал электронные письма лотереи FIFA, обещающие выплаты до 2 миллионов долларов.

      Group-IB оценивает убытки от мошенничества с премиум и гостиничными билетами только в 71 миллион до 474 миллионов долларов, при этом более широкая кампания может достигнуть миллиардов. Это прогнозы, основанные на видимой инфраструктуре, а не подтвержденных убытках.

      Банковское вредоносное ПО в стриминговых приложениях

      Для фанатов, стремящихся к бесплатным матчевым трансляциям, большая опасность заключается в телефоне. ThreatFabric наблюдала всплеск вредоносных неофициальных стриминговых приложений, многие из которых выдают себя за популярный RojaDirecta, около недавнего финала Лиги чемпионов и ожидает повторения на Кубке мира в большем масштабе.

      Kaspersky связал эти приложения с двумя семействами банковских троянов для Android: Massiv и Perseus. Ни одно из них не распространяется через Google Play, поэтому установка одного требует нажатия на предупреждения, встроенные в Android. После установки вредоносное ПО использует инструменты доступности, чтобы накладывать поддельные экраны входа в банк на реальные приложения, записывать нажатия клавиш, перехватывать одноразовые коды из SMS и приложений-аутентификаторов, а также управлять экраном удаленно.

      Perseus, построенный на утекшем коде более старого трояна Cerberus, даже читает приложения для заметок для сохраненных паролей и фраз восстановления криптовалюты. Самый простой красный флаг, по словам ThreatFabric, — это стриминговое приложение, запрашивающее доступ к доступности. Ни одно законное стриминговое приложение не нуждается в этом.

      Социальные сети, украденные учетные данные и открытый Wi-Fi

      Fortinet насчитала более 1,700 поддельных аккаунтов FIFA, почти 90% из которых на Facebook и Instagram, плюс схема, использующая поддельные объявления о вакансиях FIFA и приглашения в календарь, чтобы перенаправить заявителей на похожий вход в Google. Bitdefender обнаружил более 55 рекламных кампаний на футбольную тематику на Facebook и Instagram, продвигающих поддельные комплекты, фальшивые наклейки Panini и фишинговые страницы.

      Украденные логины FIFA уже циркулируют. Fortinet обнаружила сотни тысяч учетных данных пользователей, а также более 4,600 URL-адресов, связанных с FIFA, в данных, собранных семействами вредоносного ПО, крадущими учетные данные, включая Vidar, LummaC2 и RedLine.

      Wi-Fi в городах-хозяевах — это отдельная проблема. Опрос Kaspersky, проведенный в Мехико, Монтеррее и Гвадалахаре, показал, что 10% до 12% сетей открыты и без пароля, при этом функция сопряжения WPS все еще активна почти на половине из них. Оба оставляют возможности для злонамеренных "злых близнецов", которые копируют реальную сеть и тихо перехватывают трафик.

      На что обратить внимание

      Мошенничества оставляют четкие признаки. Покупайте билеты только через fifa.com, вводя адрес напрямую, а не через рекламу или результаты поиска. Включите многофакторную аутентификацию и рассматривайте любого продавца, запрашивающего криптовалюту, как мошенника. На Android отказывайтесь от разрешений на доступность для стриминговых приложений. На открытом Wi-Fi в городах-хозяевах используйте мобильные данные для банковских операций и электронной почты.

      Meta сообщает, что теперь она показывает всплывающие предупреждения, когда люди ищут на Facebook билеты FIFA, и она сотрудничает с Visa, чтобы закрыть сеть Facebook, связанную с поддельными сайтами азартных игр на Кубке мира. ФБР просит жертв сообщать об этом на IC3.

      Более серьезная проблема заключается в том, что еще не было активировано. Group-IB насчитала примерно 3,800 мошеннических доменов FIFA, которые находятся в ожидании и не используются, готовые к активации. С готовыми комплектами мошенничества и ботами для покупки билетов, уже выставленными на продажу, пик активности легко предсказать: с 11 июня по 19 июля, когда поиски билетов, трансляций и поездок будут наивысшими.