СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12 июня
#ИБ

Фишинг к ЧМ-2026 крадет карты и OTP в реальном времени

В преддверии World Cup 2026 исследователи обнаружили масштабную многопользовательскую fraud operation, ориентированную на покупателей билетов FIFA. Кампания сочетает phishing, card skimming и real-time interception OTP, а её инфраструктура имитирует легитимные сервисы продажи билетов с высокой степенью достоверности.

По данным отчёта, злоумышленники используют typo-squatted domains и административную платформу на домене tbpay.uk, дополненную live chat. Такой набор инструментов создаёт у жертв впечатление подлинного сервиса и повышает вероятность передачи платежных данных и учетных сведений.

Как работает схема

Ключевая особенность кампании — не просто сбор данных банковских карт, а выстроенная в реальном времени схема Man-in-the-Middle (MitM), позволяющая перехватывать и ретранслировать одноразовые пароли (OTP). Это даёт злоумышленникам возможность обходить 2FA на основе SMS и получать доступ к защищённым учетным записям.

Фишинговые страницы детально воспроизводят официальный сайт FIFA. На них отображается динамический контент, связанный с турниром:

  • расписание матчей;
  • информация о стадионах;
  • интерфейсы оплаты, визуально похожие на легитимные.

При этом backend-система позволяет операторам отслеживать сессии жертв в режиме реального времени и извлекать конфиденциальную платёжную информацию во время поддельного процесса покупки.

Источники трафика и возможная география операторов

Основной трафик на мошеннические сайты поступает из социальных сетей, прежде всего из Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) и Instagram (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta). Отдельные локализации указывают на то, что акторы, вероятно, базируются в Китайской Народной Республике.

Дополнительным фактором риска является то, что домен tbpay.uk ранее уже связывался с фишинговой активностью и не имеет соответствующих финансовых регуляторных разрешений. Это усиливает связь кампании с историческими паттернами киберпреступности.

OPSEC-ошибка раскрыла внутреннюю информацию

Несмотря на техническую сложность операции, злоумышленники допустили серьёзную ошибку в области OPSEC. В открытом доступе оказалась PHP debug page, на которой отображались чувствительные сведения об environment сервера.

Утечка включала, в частности, имя базы данных. По оценке исследователей, это потенциально открывает путь к несанкционированному доступу к MySQL database, где могут храниться:

  • данные банковских карт;
  • PII жертв;
  • сведения о сессиях и попытках авторизации.

Такая ошибка повышает общий уровень риска, поскольку позволяет обходить проверки перекрёстной верификации, характерные для легитимных платёжных систем.

Что показывает административная панель

Админ-панель phishing kit указывает на возможность отслеживания ввода OTP в реальном времени. Это подтверждает, что операция построена не вокруг простого кражи данных, а вокруг сложного механизма компрометации аутентификации.

Иными словами, платформа не только собирает платёжные данные, но и управляет процессом обхода защиты, создавая угрозу для учетных записей, привязанных к скомпрометированным телефонным номерам.

Масштаб ущерба пока неясен

Несмотря на заметную техническую зрелость схемы, её реальное финансовое воздействие остаётся неопределённым. Зарегистрированные взаимодействия указывают на большой объём потенциальных жертв, однако подтвердить точное число успешно скомпрометированных карт или учетных записей невозможно без доступа к полной backend database.

Неясен и текущий статус операционной активности. По данным отчёта, административные входы в систему фиксировались вплоть до июня 2026 года, однако признаков живого трафика на момент анализа обнаружено не было.

Вывод

Расследованная операция представляет собой продвинутую phishing campaign, объединяющую card skimming, OTP interception и реализацию MitM-атак. На фоне глобального интереса к World Cup 2026 такая схема классифицируется как киберугроза высокого риска.

Совокупность признаков указывает на скоординированные действия организованных группировок, ориентированных на масштабную финансовую эксплуатацию аудитории в период повышенного спроса на билеты и сопутствующие сервисы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: