Фишинговая инфраструктура ЧМ-2026: клоны сайтов, скимминг карт и обход OTP нацелены на болельщиков

Мошенники зарегистрировали десятки доменов, визуально неотличимых от настоящих. Они используют поддельные адреса вроде sdf-26fifa[.]top и ww-fifa[.]com, которые к тому же динамически зеркалируют реальные новости, расписание матчей и информацию о стадионах. Это делает подделку практически неотличимой для обычного пользователя. В основе системы лежит коммерческая многоарендаторная платформа, развёрнутая на домене admin-zone[.]tbpay[.]uk. Через неё управляется не менее 15 независимых операторов-посредников, каждый из которых продаёт поддельные билеты от своего имени.

Жертвы попадают на фишинговые страницы главным образом через встроенные браузеры в социальных сетях Facebook* и Instagram*. Примерно 60-65 процентов сессий приходят оттуда. Далее система имитирует полный цикл покупки: выбор категории билета, заполнение адреса, ввод платёжных данных. При этом злоумышленники используют легитимный сервис живого чата tawk[.]to, чтобы общаться с жертвами в реальном времени и создавать видимость официальной поддержки.

Самая опасная особенность этой кампании - возможность перехвата одноразовых паролей. Панель управления, обнаруженная исследователями, содержит раздел "OTP-страница проверки". Система отслеживает каждый шаг пользователя: от просмотра товара до ввода кода из SMS. Оператор видит все данные в реальном времени и может ретранслировать пароль на настоящий сайт, завершая транзакцию от имени жертвы. Таким образом, SMS-подтверждение становится бесполезным - атакующий получает доступ к аккаунту и средствам мгновенно.

Технический анализ показал, что инфраструктура не ограничивается сбором номеров карт. В логах платформы зафиксированы записи, где присутствует тестовая карта VISA с BIN 411111 - это стандартный номер для отладки, что доказывает активную проверку системы операторами. Одна из уязвимостей в коде фишингового сайта привела к утечке параметров окружения. В открытом доступе оказались имя базы данных fifa_ming, учётные данные для подключения и секретные ключи приложения. Эта ошибка операционной безопасности прямо указывает на китайскоязычных разработчиков - слово "ming" является распространённым китайским именем, а вся панель управления отображалась на упрощённом китайском языке.

Среди улик также фигурирует IP-адрес 222[.]167[.]244[.]34, зарегистрированный в Китае, с которого осуществлялся административный доступ к системе вплоть до середины мая 2026 года. Дополнительные адреса 27[.]150[.]251[.]195 и 123[.]100[.]137[.]38 также связывают операторов с материковым Китаем. Исследователи CloudSEK документировали не менее шести сессий управления с этого IP за период с января по май, что подтверждает систематический характер атаки.

Фишинговая сеть нацелена прежде всего на жителей США. Второстепенными регионами стали Италия, Румыния, Филиппины, Швеция, Австралия, Литва, Канада, ЮАР, Австрия, Саудовская Аравия, Германия, Южная Корея и Гонконг. Первая волна атак зафиксирована 19 января 2026 года: в течение 45 минут поступил трафик из более чем десяти стран, что указывает на скоординированный запуск рекламных объявлений в социальных сетях.

Платёжный хаб tbpay[.]uk не имеет регистрации в Управлении по финансовому надзору Великобритании. Это означает, что вся деятельность по обработке платежей незаконна. Связанный с ним домен tbpay[.]site ранее отмечался в фишинговых схемах ещё в октябре 2023 года, что позволяет говорить о долгоживущей преступной инфраструктуре. Сама платформа, судя по интерфейсу, специально спроектирована для кражи данных карт и кодов подтверждения - ни один настоящий платёж через неё не проводится.

Атака вышла далеко за рамки простого фишинга. Система представляет собой полноценный механизм "человек посередине" с возможностью обхода двухфакторной аутентификации. Операторы могут не только снять деньги с карт, но и полностью захватить учётные записи жертв на сайтах билетных операторов. Поскольку кампания использует распределённую сеть из полутора десятков арендаторов, а сама платформа постоянно развивается - в марте 2026 года была добавлена роль "сотрудник" для нанятого персонала - остановить её традиционными блокировками доменов крайне сложно. Злоумышленники уже продемонстрировали способность быстро менять адреса и маскироваться под реальные сервисы.

Для болельщиков, планирующих приобрести билеты на чемпионат мира, это означает необходимость крайне внимательно проверять адресную строку браузера и никогда не вводить данные карты на сайтах, открытых через ссылки из социальных сетей. Но главный вывод из этого инцидента - даже двухфакторная аутентификация по SMS больше не является надёжной защитой. Мошенники научились обходить её в реальном времени, а масштаб инфраструктуры позволяет им атаковать тысячи людей одновременно.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

IPv4

• 104.225.150.140
• 123.100.137.38
• 138.199.60.37
• 154.47.30.138
• 156.226.172.223
• 188.253.7.187
• 188.253.7.92
• 197.234.242.86
• 216.126.233.30
• 216.126.233.37
• 222.167.244.34
• 27.150.251.195
• 38.60.195.137
• 45.149.172.35

Domains

• *.sdf-26fifa.top
• *.site-fifa.site
• *.www-fifa.bio
• 1346590.com
• aa-fifa.shop
• admin-zone.tbpay.uk
• fifa.center
• fifa.gold
• fifa.shopping
• fifa.ski
• fifa-online.com
• fifaworldcup26.sale
• gx-fifa26.shop
• sdf-26fifa.top
• site-fifa.site
• tbpay.site
• tbpay.uk
• ww-fifa.com
• www.fifaworldcup.one
• www-fifa.asia
• www-fifa.bar
• www-fifa.bio
• www-fifa.biz.id
• www-fifa.bond
• www-fifa.cfd
• www-fifa.click
• www-fifa.club
• www-fifa.cyou
• www-fifa.digital
• www-fifa.icu
• www-fifa.info
• www-fifa.lol
• www-fifa.monster
• www-fifa.my
• www-fifa.my.id
• www-fifa.one
• www-fifa.qpon
• www-fifa.sbs
• www-fifa.web.id
• www-fifa.work
• www-fifa.xin
• www-fifa.xyz
• wz-fifa26.shop