Кибератаки на ЧМ-2026: фишинг, AiTM и мобильное ВПО

По мере приближения Чемпионата мира по футболу 2026 года злоумышленники все активнее используют высокий интерес к турниру как прикрытие для масштабных cyber threats. С января 2026 года было зарегистрировано более 10 000 domains, тематически связанных с Чемпионатом мира, причем значительная часть из них создавалась автоматически с помощью generative AI. Это позволяет ускорять подготовку атак и расширять их охват.

Эксперты отмечают, что главной поверхностью атаки стали mobile devices. Злоумышленники все чаще используют social networks, чтобы перенаправлять жертв в WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), Telegram или Discord, где им проще обходить moderation и доставлять malware.

AiTM и обход MFA

Одной из наиболее опасных техник стал real-time phishing с использованием атак типа Adversary-in-the-Middle (AiTM). Такой подход позволяет обходить multi-factor authentication (MFA), что особенно критично для организаций, связанных с турниром.

Суть схемы в том, что злоумышленники развертывают phishing toolkit, который перехватывает authentication codes в момент их генерации. В результате учетные данные могут быть получены практически мгновенно — прямо во время попытки legitimate login.

Этот метод подрывает традиционные механизмы MFA, делая их неэффективными для защиты организаций, связанных с турниром.

Отдельно отмечаются потенциальные риски для учетных записей Google Workspace.

Фишинг против организаторов и персонала

Помимо массовых схем, злоумышленники проводят и targeted phishing-кампании против организаторов мероприятий и сотрудников.

Одним из выявленных сценариев стал malicious PDF, замаскированный под Staff Guide. В нем используется QR code phishing, также известный как quishing. Документ оформлен так, чтобы выглядеть как официальный, и побуждает жертв сканировать QR-коды, ведущие на compromised sites.

Поддельные билеты и mobile malware

Отдельная линия угроз связана с покупкой билетов. Здесь злоумышленники распространяют mobile malware, маскируя его под legitimate applications.

В одном из инцидентов фигурировал APK-file, который мог:

• mine cryptocurrency на зараженных устройствах;
• перенаправлять данные на servers, controlled by attackers.

На рабочих станциях также обнаружены info stealers, замаскированные под applications for ticket sales. Такие вредоносные программы похищают sensitive data, включая credentials и session materials, после чего отправляют их в channels управления, такие как Telegram и Discord.

Срочность как оружие

Злоумышленники активно используют чувство срочности как тактический инструмент. Многие атаки синхронизируются с расписанием матчей, а мошеннические сообщения обещают немедленный доступ к бесплатным трансляциям или special offers непосредственно перед началом игр.

Именно в такие моменты болельщики чаще всего теряют критическую бдительность, что делает их более уязвимыми для social engineering.

Что это означает для защиты

Распространение automated tools не только ускорило рост числа угроз, но и заметно усложнило разработку targeted defense strategies для организаций.

Ожидается, что по мере начала турнира атаки будут усиливаться, особенно в периоды матчей, когда количество malicious prompts, вероятно, возрастет.

Защитникам рекомендуется:

• отслеживать emerging domains, связанные с турниром;
• усиливать контроль над timed attacks, нацеленных на болельщиков и персонал;
• проверять фишинговые сценарии с использованием QR codes и malicious PDFs;
• обновлять меры защиты для mobile devices и рабочих станций;
• особое внимание уделять защите учетных записей, включая Google Workspace.

В целом cyber threat, связанная с Чемпионатом мира по футболу, демонстрирует переход к более сложным и повсеместным методологиям атак. Злоумышленники комбинируют social engineering и technical exploitation, чтобы максимизировать вероятность успеха и масштаб ущерба.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.