СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
27 мая
#ИБ

Тысячи фейковых сайтов FIFA уже ждут болельщиков ЧМ-2026 и все деньги уходят китайским хакерам

Тысячи фейковых сайтов FIFA уже ждут болельщиков ЧМ-2026 и все деньги уходят китайским хакерам

изображение: recraft

Ещё до старта чемпионата мира по футболу 2026 года в сети сформировалась масштабная мошенническая инфраструктура. Аналитики Group-IB зафиксировали более 4300 доменов, имитирующих официальный сайт FIFA, — большинство из них пока не активированы и ждут пика зрительского интереса. Потенциальный ущерб от всей схемы исследователи оценивают в миллиарды долларов.

С августа 2025 года злоумышленники методично скупали домены с названиями, созвучными fifa.com. Картина очень напоминает то, что происходило перед катарским турниром 2022 года, но масштаб и уровень организации выросли кратно. Group-IB насчитала минимум 4 независимые преступные группы и 6 отдельных схем монетизации внутри одной экосистемы.

Главным оператором всей кампании аналитики называют структуру Ghost Stadium. Группа предположительно связана с китайскоязычной криминальной средой — в исходном коде фишинговых страниц найдены комментарии на китайском языке, интерфейс поддерживает 11 языков, три из которых варианты китайского. Под контролем Ghost Stadium находится более 300 доменов, построенных на едином техническом каркасе.

Поддельные сайты воспроизводят fifa.com с точностью до деталей:

  • полное визуальное копирование интерфейса официального ресурса;
  • работающая форма авторизации через систему PingIdentity;
  • логотипы и изображения продукции, подгружаемые напрямую из CDN FIFA;
  • поддержка 11 языков для охвата глобальной аудитории;
  • продвижение через рекламные объявления в Facebook с общими Meta-пикселями.

Уточняется, что загрузка изображений напрямую с серверов FIFA делает страницы практически неотличимыми от оригинала не только для человека, но и для автоматических систем анализа контента.

Схема работает сразу по нескольким направлениям заработка:

  • продажа фальшивых билетов и VIP-пакетов гостеприимства;
  • сбор учётных данных через фишинговые формы;
  • перепродажа похищенных аккаунтов на теневых площадках;
  • приём оплаты в криптовалюте, которую практически невозможно вернуть;
  • дальнейшее использование угнанных аккаунтов для новых атак.

Параллельно с Ghost Stadium работают операторы PhaaS-платформ — они продают готовые фишинговые комплекты другим мошенникам, снижая порог входа для менее квалифицированных злоумышленников. Инфостилеры Vidar и Lumma уже позволили похитить около 2500 учётных записей FIFA. Сейчас эти аккаунты торгуются на нескольких даркнет-площадках.

Отмечается, что только мошенничество с VIP-билетами и премиальными пакетами способно принести преступникам от 71 до 474 миллионов долларов — диапазон зависит от того, насколько агрессивно будет задействована уже готовая инфраструктура.

Что конкретно рекомендуют аналитики Group-IB болельщикам:

  • покупать билеты строго через официальный сайт FIFA;
  • отказываться от любых предложений с оплатой в криптовалюте;
  • заранее подключать многофакторную аутентификацию для всех связанных аккаунтов;
  • с осторожностью переходить по ссылкам из рекламных объявлений в соцсетях;
  • проверять адресную строку браузера перед вводом любых данных.

Командам по защите брендов аналитики советуют не ждать, пока домены будут активированы. Большинство из 4300 ресурсов пока не запущены, и именно сейчас проще всего работать с ними через регистраторов. После старта турнира удалять сайты по одному будет слишком медленно и дорого.

Ранее исследование Bitdefender показало, что аналогичная инфраструктура уже выросла вокруг Формулы-1. Под ударом там оказались и фанаты гонок, и сами команды — через поддельные стриминговые сервисы, фальшивую атрибутику и заражённые приложения.

Эксперты редакции CISOCLUB уверены, что нынешняя кампания вокруг ЧМ-2026 — один из наиболее структурированных примеров предварительной подготовки к массовой атаке на рядовых пользователей. Инфраструктура в четыре тысячи доменов не строится за неделю — это признак хорошо финансируемой операции с чётким планированием.

Использование CDN FIFA для подгрузки контента говорит о том, что атакующие отлично понимают, как работают современные системы детектирования фишинга, и умеют их обходить. Особое беспокойство вызывает связка PhaaS-платформ с инфостилерами — она позволяет вовлекать в схему всё новых исполнителей без повышения квалификационной планки.

Редакция полагает, что реальный масштаб потерь будет существенно занижен, поскольку многие жертвы не обращаются в правоохранительные органы после оплаты криптовалютой. Осознанная цифровая гигиена и покупка билетов только через верифицированные каналы остаются главной линией защиты для большинства болельщиков.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: