Sự kiện thể thao được đăng ký nhiều nhất trong lịch sử cũng là sự kiện bị lừa đảo nhiều nhất. Với hơn 150 triệu yêu cầu vé trong 15 ngày đầu tiên và chỉ có sáu triệu chỗ ngồi trên 16 thành phố ở Mỹ, Canada và Mexico, FIFA World Cup 2026 đã tạo ra chính xác những điều kiện mà gian lận phát triển mạnh: khan hiếm, cấp bách và dòng tiền luân chuyển nhanh chóng.
Các nhà nghiên cứu bảo mật, FBI và nhiều công ty an ninh mạng đã công bố các cảnh báo trong tuần qua mô tả cơ sở hạ tầng gian lận đã hoạt động, có nguồn lực tốt và có quy mô lớn. Hình ảnh hiện lên không phải là một số trang lừa đảo cơ hội. Đó là một hệ sinh thái nhiều lớp bao gồm các tên miền giả, phần mềm độc hại ngân hàng, đánh cắp thông tin xác thực và mạo danh trên mạng xã hội, tất cả đều hội tụ trên cùng một cửa sổ.
Một nhà điều hành, 300 trang FIFA nhân bản
Những phát hiện chi tiết nhất đến từ Nhóm-IBđã theo dõi hơn 4.300 tên miền FIFA lừa đảo được đăng ký kể từ tháng 8 năm 2025. Ở trung tâm là một nhóm mà nó gọi là Ghost Stadium, một hoạt động nói tiếng Trung Quốc, có động cơ tài chính đang điều hành một bộ công cụ lừa đảo duy nhất trên hơn 300 trang web đó.
Hàng giả là tốt. Trang này là một bản sao gần như hoàn hảo của fifa.com, bắt chước đăng nhập một lần thực sự của FIFA, do PingIdentity điều hành, với ID khách hàng chính hãng được sao chép từ trang web trực tiếp. Nó tải hình ảnh trực tiếp từ máy chủ của FIFA, vì vậy trang này trông chân thực và vượt qua các công cụ gắn cờ nội dung được sao chép.
TNW City Coworking Space – Nơi công việc tốt nhất của bạn diễn ra
Một không gian làm việc được thiết kế để phát triển, hợp tác và có cơ hội kết nối vô tận ở trung tâm công nghệ.
Thiệt hại nằm ở chi tiết: đăng nhập giả mạo còn yêu cầu đặt lại mật khẩu. Sau khi nạn nhân nhập thông tin đăng nhập, kẻ tấn công sẽ khóa họ khỏi tài khoản FIFA thực của họ và bán lại bất kỳ vé nào liên quan đến tài khoản đó. Hầu hết lưu lượng truy cập đến từ quảng cáo trên Facebook với mã theo dõi được sử dụng lại, cùng với các liên kết trên Telegram, WhatsApp và trong kết quả tìm kiếm. Các tùy chọn thanh toán bao gồm nhập thẻ, các ứng dụng chuyển tiền như Chime và Nequi, bộ xử lý chỉ có ở Mexico và tùy chọn tiền điện tử chuyển đổi thanh toán thẻ thành tiền điện tử. Điều cuối cùng đó là một thông tin đáng tin cậy, vì việc bán vé chính thức của FIFA không bao giờ chấp nhận tiền điện tử.
13.000 tên miền và đang tiếp tục tăng
Phòng thí nghiệm FortiGuard đã thống kê hơn 13.000 tên miền theo chủ đề World Cup được đăng ký từ tháng 1 đến tháng 5, khoảng 8,8% trong số đó được phân loại là độc hại hoặc đáng ngờ. các Thông báo dịch vụ công của FBI liệt kê hàng chục tên miền FIFA giả mạo, từ những tên miền sai chính tả cho đến các trang việc làm giả mạo và cảnh báo sẽ còn nhiều tên miền khác nữa.
Gian lận vé chỉ là một phần. Group-IB cũng tìm thấy các cửa hàng bán hàng giả, các trang web phát trực tuyến không có thật thu phí đăng ký rồi cài đặt phần mềm độc hại cũng như các nền tảng cá cược giả mạo thu thập bản quét hộ chiếu và ảnh tự chụp để đánh cắp danh tính. Bitdefender được theo dõi riêng Email xổ số FIFA hứa hẹn khoản thanh toán lên tới 2 triệu USD
Group-IB ước tính thiệt hại chỉ riêng từ gian lận vé cao cấp và khách sạn là từ 71 triệu đến 474 triệu USD, với chiến dịch rộng hơn có khả năng lên tới hàng tỷ USD. Đó là những dự đoán dựa trên cơ sở hạ tầng có thể nhìn thấy được, chưa xác nhận tổn thất.
Phần mềm độc hại ngân hàng trong các ứng dụng phát trực tuyến
Đối với những người hâm mộ theo đuổi các trận đấu trực tuyến miễn phí, mối nguy hiểm lớn hơn nằm ở điện thoại. Đe dọaVải đã quan sát thấy sự gia tăng đột biến của các ứng dụng phát trực tuyến độc hại không chính thức, nhiều ứng dụng giả dạng RojaDirecta nổi tiếng, xung quanh trận chung kết Champions League gần đây và mong đợi sự lặp lại ở World Cup trên quy mô lớn hơn.
Kaspersky đã gắn những ứng dụng đó với hai họ trojan ngân hàng Android: Massiv và Perseus. Cả hai đều không được phân phối qua Google Play, vì vậy việc cài đặt một ứng dụng yêu cầu phải nhấp qua các cảnh báo tích hợp của Android. Sau khi được cài đặt, phần mềm độc hại sử dụng các công cụ trợ năng để phủ màn hình đăng nhập ngân hàng giả lên các ứng dụng thực, ghi lại các lần gõ phím, chặn mã một lần từ SMS và ứng dụng xác thực cũng như điều khiển màn hình từ xa.
Perseus, được xây dựng dựa trên mã bị rò rỉ từ trojan Cerberus cũ, thậm chí còn đọc các ứng dụng ghi chú để tìm mật khẩu đã lưu và cụm từ khôi phục mật mã. Cờ đỏ đơn giản nhất, theo ThreatFabric, là một ứng dụng phát trực tuyến yêu cầu quyền truy cập khả năng truy cập. Không có ứng dụng phát trực tuyến hợp pháp nào cần nó.
Phương tiện truyền thông xã hội, thông tin đăng nhập bị đánh cắp và Wi-Fi mở
Fortinet đã thống kê được hơn 1.700 tài khoản FIFA giả mạo, gần 90% trên Facebook và Instagram, cùng với một kế hoạch sử dụng quảng cáo việc làm FIFA giả mạo và lời mời trên lịch để chuyển hướng người đăng ký đến một thông tin đăng nhập giống như Google. Bitdefender đã tìm thấy hơn 55 chiến dịch quảng cáo có chủ đề bóng đá trên Facebook và Instagram nhằm quảng bá bộ dụng cụ giả, nhãn dán Panini giả và các trang lừa đảo.
Thông tin đăng nhập FIFA bị đánh cắp đã được lưu hành. Fortinet đã tìm thấy hàng trăm nghìn thông tin xác thực của người dùng, cùng với hơn 4.600 URL liên quan đến FIFA, trong dữ liệu được thu thập bởi các dòng phần mềm độc hại đánh cắp thông tin xác thực bao gồm Vidar, LummaC2 và RedLine.
Wi-Fi của thành phố chủ nhà là vấn đề riêng của nó. MỘT Khảo sát của Kaspersky đã lái xe quanh Thành phố Mexico, Monterrey và Guadalajara nhận thấy 10% đến 12% mạng mở và không có mật khẩu, với gần một nửa tính năng ghép nối WPS vẫn hoạt động. Cả hai đều để lại sơ hở cho các điểm nóng “song sinh ác quỷ” lừa đảo sao chép một mạng thực và lặng lẽ chặn lưu lượng truy cập.
Những gì cần xem
Những trò gian lận để lại lời kể rõ ràng. Chỉ mua vé qua fifa.com, nhập trực tiếp, không qua quảng cáo hoặc kết quả tìm kiếm. Kích hoạt xác thực đa yếu tố và coi bất kỳ người bán nào yêu cầu tiền điện tử là lừa đảo. Trên Android, từ chối quyền truy cập đối với các ứng dụng phát trực tuyến. Trên Wi-Fi mở ở các thành phố chủ nhà, hãy sử dụng dữ liệu di động cho ngân hàng và email.
Meta cho biết họ hiện đang hiển thị các cửa sổ bật lên cảnh báo khi mọi người tìm kiếm vé FIFA trên Facebook và họ hợp tác với Visa để gỡ bỏ mạng Facebook được liên kết với các trang web cờ bạc World Cup giả mạo. FBI đang yêu cầu nạn nhân trình báo tại IC3.
Mối quan tâm lớn hơn là những gì chưa được kích hoạt. Group-IB đếm được khoảng 3.800 tên miền FIFA lừa đảo đang chờ sử dụng và chưa được sử dụng, sẵn sàng bật lên. Với các bộ lừa đảo làm sẵn và các chương trình mua vé đã được bán, rất dễ dự đoán khoảng thời gian cao điểm: từ ngày 11 tháng 6 đến ngày 19 tháng 7, khi số lượt tìm kiếm vé, chương trình phát sóng và du lịch sẽ ở mức cao nhất.
Nguồn The Next Web