FanTrap: кибермошенничество вокруг ЧМ-2026

Операция FanTrap выявила сложную и организованную схему киберкриминала, использующую повышенный мировой интерес к Чемпионату мира по футболу 2026 года. По данным Cyble Research and Intelligence Labs, с мая 2026 года аналитики обнаружили почти 4000 мошеннических доменов, созданных для имитации брендов, связанных с FIFA, платформ для продажи билетов и сервисов потокового вещания.

Мошенничество как целая экосистема

FanTrap — это не набор разрозненных инцидентов, а всеобъемлющая экосистема мошенничества, в которой злоумышленники комбинируют несколько тактик, чтобы максимально расширить охват и увеличить конверсию жертв. Основной упор сделан на футбольных болельщиков, которых привлекают поддельными предложениями билетов, обещаниями VIP-level доступа и контрафактной продукцией.

В ряде случаев пользователей перенаправляют на платформы обмена сообщениями, такие как Telegram и WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta). Именно там жертвы сталкиваются с мошенничеством с платежами и кражей учетных записей. Такой подход позволяет злоумышленникам переводить коммуникацию в частные каналы, снижая уровень контроля и повышая уязвимость пользователей.

Пиратские стримы как канал заражения

Отдельную роль в операции играет вредоносная инфраструктура, связанная с пиратскими платформами потокового вещания. Эти ресурсы не только заманивают пользователей обещанием бесплатного просмотра футбольных матчей, но и используются как каналы для распространения malware и сбора учетных данных.

Для этого мошенники применяют вводящие в заблуждение механизмы, включая:

  • поддельные видеоплееры;
  • обманные запросы на загрузку;
  • формы для сбора личных данных;
  • страницы для выманивания платежной информации.

Таргетинг на конкретные аудитории

Особого внимания заслуживает фокус злоумышленников на конкретных демографических группах, в частности на аудиториях, говорящих на Mandarin. Использование этикеток на китайском языке указывает на стратегическую ориентацию на регионы с высокой вовлеченностью футбольных болельщиков и расширение потенциального охвата кампании.

Таким образом, операция демонстрирует не только массовость, но и точечную адаптацию под языковые и региональные особенности целевой аудитории.

Darknet и слухи об утечках

По данным отчета, darknet стал площадкой для обсуждений возможных утечек данных, связанных с Чемпионатом мира по футболу. В этих обсуждениях фигурируют заявления о компрометации более 150 000 учетных записей, связанных с футболом.

При этом подлинность таких утечек требует дополнительного подтверждения. Однако сам факт появления подобных сообщений указывает на более широкий тренд: злоумышленники все чаще объединяют схемы, нацеленные на болельщиков, с кражей личных данных и финансовыми преступлениями.

Жизненный цикл атаки, выстроенный этими злоумышленниками, включает несколько этапов — от подготовки инфраструктуры через регистрацию доменов до монетизации собранных данных.

От разрозненного мошенничества к взаимосвязанной системе

FanTrap показывает, что современные киберпреступники уходят от изолированных мошеннических схем в сторону взаимосвязанных экосистем. Каждый элемент операции — домены, поддельные ticket-сервисы, пиратские стримы, мессенджеры и dark web-обсуждения — встроен в единую цепочку, рассчитанную на максимизацию ущерба и извлечение прибыли.

Именно эта связность делает FanTrap особенно опасной: злоумышленники не просто имитируют отдельные сервисы, а создают полноценную инфраструктуру, способную обслуживать сбор данных, кражу учетных записей, мошенничество с платежами и дальнейшую монетизацию компрометированной информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: