Фишинговые кампании на ЧМ-2026: три схемы кражи данных у болельщиков

Ажиотаж вокруг турнира создаёт уникальные условия для преступников. Проблема заключается в колоссальном дисбалансе спроса и предложения. Из примерно шести миллионов доступных билетов более пяти миллионов уже распределены. Впервые в истории FIFA применяет динамическое ценообразование. Если самый дорогой билет на финал 2022 года в Катаре стоил около 1600 долларов, то аналогичное место на финал 2026 года в Нью-Йорке уже превысило 10 тысяч долларов, а цены на билеты в первые ряды достигают 30 тысяч. В таких условиях болельщики в отчаянии ищут любые каналы для покупки, обращаясь к неофициальным продавцам в соцсетях, мессенджерах и на сомнительных сайтах. Именно этот момент и используют киберпреступники.

Особую опасность ситуация представляет для корпоративной среды. Сотрудники компаний активно пользуются личными смартфонами в рабочее время: проверяют счёт матча, ищут билеты или заказывают атрибутику. Поскольку многие устройства работают по модели BYOD (использование личных устройств для работы), вредоносные ссылки часто открываются вне корпоративных сетей, например, через мобильный интернет. Традиционные системы защиты предприятия, такие как корпоративные файрволы, в этом случае просто не видят угрозы. Если сотрудник повторно использует корпоративный пароль на фишинговом сайте или его скомпрометированный телефон хранит ключи доступа к рабочим системам, обычная афера с билетами может стать первой ступенью к атаке с использованием программ-вымогателей.

Эксперты выделили три основные кампании, каждая из которых отличается высокой степенью организованности и технической проработки. Первая кампания нацелена на покупателей билетов. Аналитики Group-IB ранее исследовали эту активность и дали ей название Ghost Stadium. Отчёт этой компании, а также независимое предупреждение ФБР подтвердили десятки подозрительных доменов. Схема использует опечатки в адресах (тайпсквоттинг) и создание поддельных сайтов, внешне неотличимых от официального портала FIFA. Но это не просто страницы для кражи паролей. Это полноценные веб-приложения, которые копируют весь процесс покупки билета. Жертву проводят через выбор мест, заполнение данных, оплату и даже показывают поддельное подтверждение с электронными билетами. Параллельно система крадёт учётные данные и реквизиты карт, а затем использует похищенные пароли для блокировки настоящего аккаунта болельщика на официальном сайте.

Вторая кампания, которую аналитики назвали RetailPhish, нацелена на болельщиков, решивших приобрести атрибутику. Когда человек понимает, что не может купить билет за десятки тысяч долларов, его внимание переключается на формы и шарфы. Злоумышленники используют поддельные сайты, маскирующиеся под Nike, Adidas, Puma и другие известные бренды. Атака распространяется через сообщения в WhatsApp. Пользователю предлагают пройти короткий опрос и получить ценный приз, например, подарочную карту на 250-300 евро. После прохождения опроса жертву просят переслать ссылку нескольким контактам, превращая её в невольного распространителя мошенничества. Затем собирают личные данные, а под предлогом оплаты символической стоимости доставки в 2 евро выманивают полные данные банковской карты. Вся инфраструктура этих сайтов спрятана за сетью Cloudflare.

Третья кампания использует волну найма персонала. Для обслуживания матчей в трёх странах требуется огромное количество сотрудников: от стюардов до переводчиков. Мошенники создали поддельные порталы вакансий, копирующие официальный сайт FIFA Careers. Наиболее опасным из этих сайтов оказался fifajobs.com. В отличие от простых афер, код этого портала содержит механизм AiTM (посредник для перехвата сессии). Когда жертва нажимает "Войти через Google", система показывает поддельную страницу входа. Она не просто крадёт пароль. Сервер ретранслирует введённые данные на настоящий Google, и когда срабатывает двухфакторная аутентификация, поддельный сайт динамически подгружает соответствующую страницу перехвата. Таким образом, злоумышленники получают полностью аутентифицированную сессию и могут захватить корпоративный аккаунт Google Workspace.

Масштаб и изощрённость этих атак показывают, что перед нами не просто разрозненные случаи мошенничества, а хорошо скоординированная преступная индустрия. Она использует не только человеческие слабости, но и пробелы в современных системах кибербезопасности, ориентированных на защиту корпоративных сетей, а не мобильных устройств. Болельщикам и компаниям стоит проявить предельную бдительность. Любое сообщение о невероятной распродаже или срочном предложении билетов, пришедшее в мессенджер, должно вызывать подозрение. Для корпоративного сектора этот инцидент - напоминание о необходимости контролировать, какие данные находятся на личных устройствах сотрудников, и обучать персонал основам цифровой гигиены в условиях крупных мировых событий.

Domains

• chcn-2026-fifa.com
• dealgo.cc
• dealwa.cc
• d-fifa.shop
• fifa-26-worldcup.com
• fifa-careerpath.com
• fifa-com.bond
• fifa-com.cam
• fifa-com.cc
• fifa-com.co
• fifa-com.com
• fifa-com.icu
• fifa-com.media
• fifa-com.services
• fifa-com.shop
• fifa-com.site
• fifa-com.store
• fifa-com.today
• fifa-com.vip
• fifa-com.website
• fifa-com.xyz
• fifa-com-26.shop
• fifa-da.shop
• fifa-gs.com
• fifa-gs.shop
• fifa-gt.com
• fifa-hiring.com
• fifa-hr.com
• fifa-hth.com
• fifajobs.com
• fifa-li.shop
• fifa-max.com
• fifa-mg.shop
• fifa-min.com
• fifa-mx.com
• fifashop.shop
• fifa-ticket.live
• fifa-tickets.vip
• fifa-us.com
• fifa-web.co
• fifaweb.com
• fifaweb.live
• fifaweb88.com
• linkrdr.cc
• msgdeal.cc
• offerpilot.cc
• offerwa.cc
• op.shop-26fifa.com
• promokit.cc
• rewardpillar.cc
• soxhf-fifa.site
• wc26-fifa.com
• wvvw-fifa.com
• ww-fifa.com
• www.fifa.cash
• www.fifa.city
• www.fifa.enterprises
• www.fifa.market
• www.fifa.red
• www.fifa.sale
• www.fifa-26-worldcup.com
• www.fifa-com.icu
• www.fifa-com.media
• www.fifa-com.services
• www.fifa-com.site
• www.fifa-com.store
• www.fifa-max.com
• www.fifa-min.com
• www.fifaweb.live
• www.fifaweb88.com
• www.wc26-fifa.com
• www.ww-fifa.com
• www.ww-wfifa.com
• www-fifa.co
• ww-wfifa.com
• www-fifa.com.co
• www-fifa.me
• www-fifa-com.com
• www-fifa-com.website
• www-fifaworldcup.com