FanTrap: кибермошенничество вокруг ЧМ-2026
Операция FanTrap выявила сложную и организованную схему киберкриминала, использующую повышенный мировой интерес к Чемпионату мира по футболу 2026 года. По данным Cyble Research and Intelligence Labs, с мая 2026 года аналитики обнаружили почти 4000 мошеннических доменов, созданных для имитации брендов, связанных с FIFA, платформ для продажи билетов и сервисов потокового вещания.
Мошенничество как целая экосистема
FanTrap — это не набор разрозненных инцидентов, а всеобъемлющая экосистема мошенничества, в которой злоумышленники комбинируют несколько тактик, чтобы максимально расширить охват и увеличить конверсию жертв. Основной упор сделан на футбольных болельщиков, которых привлекают поддельными предложениями билетов, обещаниями VIP-level доступа и контрафактной продукцией.
В ряде случаев пользователей перенаправляют на платформы обмена сообщениями, такие как Telegram и WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta). Именно там жертвы сталкиваются с мошенничеством с платежами и кражей учетных записей. Такой подход позволяет злоумышленникам переводить коммуникацию в частные каналы, снижая уровень контроля и повышая уязвимость пользователей.
Пиратские стримы как канал заражения
Отдельную роль в операции играет вредоносная инфраструктура, связанная с пиратскими платформами потокового вещания. Эти ресурсы не только заманивают пользователей обещанием бесплатного просмотра футбольных матчей, но и используются как каналы для распространения malware и сбора учетных данных.
Для этого мошенники применяют вводящие в заблуждение механизмы, включая:
- поддельные видеоплееры;
- обманные запросы на загрузку;
- формы для сбора личных данных;
- страницы для выманивания платежной информации.
Таргетинг на конкретные аудитории
Особого внимания заслуживает фокус злоумышленников на конкретных демографических группах, в частности на аудиториях, говорящих на Mandarin. Использование этикеток на китайском языке указывает на стратегическую ориентацию на регионы с высокой вовлеченностью футбольных болельщиков и расширение потенциального охвата кампании.
Таким образом, операция демонстрирует не только массовость, но и точечную адаптацию под языковые и региональные особенности целевой аудитории.
Darknet и слухи об утечках
По данным отчета, darknet стал площадкой для обсуждений возможных утечек данных, связанных с Чемпионатом мира по футболу. В этих обсуждениях фигурируют заявления о компрометации более 150 000 учетных записей, связанных с футболом.
При этом подлинность таких утечек требует дополнительного подтверждения. Однако сам факт появления подобных сообщений указывает на более широкий тренд: злоумышленники все чаще объединяют схемы, нацеленные на болельщиков, с кражей личных данных и финансовыми преступлениями.
Жизненный цикл атаки, выстроенный этими злоумышленниками, включает несколько этапов — от подготовки инфраструктуры через регистрацию доменов до монетизации собранных данных.
От разрозненного мошенничества к взаимосвязанной системе
FanTrap показывает, что современные киберпреступники уходят от изолированных мошеннических схем в сторону взаимосвязанных экосистем. Каждый элемент операции — домены, поддельные ticket-сервисы, пиратские стримы, мессенджеры и dark web-обсуждения — встроен в единую цепочку, рассчитанную на максимизацию ущерба и извлечение прибыли.
Именно эта связность делает FanTrap особенно опасной: злоумышленники не просто имитируют отдельные сервисы, а создают полноценную инфраструктуру, способную обслуживать сбор данных, кражу учетных записей, мошенничество с платежами и дальнейшую монетизацию компрометированной информации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



