За несколько недель до старта чемпионата мира по футболу 2026 года специалисты по информационной безопасности обнаружили масштабную инфраструктуру нелегальных онлайн-ставок, ориентированную на аудиторию из Китая и стран Азиатско-Тихоокеанского региона. Исследователи насчитали почти девять тысяч доменов, прямо или косвенно использующих бренд FIFA. Речь идёт не о единичных мошеннических сайтах, а о хорошо организованной сети, которая включает тысячи веб-страниц, работающих по единым шаблонам и использующих общие технические ресурсы. Это открытие поднимает вопрос о сращивании нелегального гемблинга с киберпреступностью и организованными криминальными группами.
Описание
Эксперты выделили 8867 доменов, в названии, HTML-коде или метаданных которых встречается сочетание "fifa". На первый взгляд могло показаться, что речь идёт о типичном тайпсквоттинге - регистрации похожих адресов для перехвата трафика англоязычных болельщиков, желающих купить билеты или сувениры. Однако анализ показал иную картину. Почти 90 процентов захваченных заголовков страниц содержат иероглифы, а ключевыми словами в них оказались "чемпионат мира", "платформа", "ставки" и "официальный сайт". Англоязычные индикаторы фишинга встречаются лишь в 17 случаях.
Инфраструктура оказалась централизованной и, судя по всему, автоматизированной. Свыше половины доменных имён зарегистрированы в 2026 году - с марта по апрель появилось более 2700 адресов. Самыми активными днями стали 31 марта и 22 апреля, когда за сутки регистрировалось почти по 500 доменов. Это напоминает не органический рост, а пакетную загрузку, привязанную к календарю турнира. Четыре группы операторов контролируют примерно 53 процента всей сети. Команда Flare в своём исследовании отметила, что за этой активностью стоит не горстка случайных злоумышленников, а скоординированные кластеры, которые используют повторяющиеся технические шаблоны.
Домены отличаются одинаковыми DNS-серверами - share-dns.com и share-dns.net обслуживают почти 4,7 тысячи адресов. Четыре регистратора (Name SRS AB, GMO Internet, Gname и Metaregistrar) оформили 55 процентов всех регистраций. Большая часть серверов расположена в Гонконге: 48 процентов разрешённых IP-адресов приходятся на две гонконгские автономные системы, которые работают по модели "bulletproof" - то есть практически не реагируют на жалобы о нелегальном контенте. Среди хостинговых провайдеров выделяются Yancy Limited, Cloud Innovation и Digital Core Technology.
Содержимое сайтов полностью шаблонизировано. Тысячи страниц имеют почти идентичные заголовки, например "2026 FIFA World Cup (Betting) Co., Ltd." или "2026 World Cup Official Betting Platform". Вероятно, операторы используют одну и ту же заготовку лендинга на сотнях подставных доменов. Среди названий повторяются zh, cn, fifaworldcup, ea, ultimate - последние отсылают к бренду EA Sports FIFA Ultimate Team, что говорит о намерении собирать трафик в том числе от геймеров.
Но самое примечательное - методы маскировки. Специалисты обнаружили сайты, которые внешне выглядят как страницы китайских университетов. В их HTML-коде присутствует метаданные о ставках, но поверх всего контента наложен полноэкранный iframe с безобидной академической картинкой. Скрывающий слой имеет высокий z-index, а в строке браузера виден логотип, напоминающий символы неправительственных организаций и учебных заведений. Такая маскировка призвана обмануть автоматизированные системы репутационного анализа и не вызвать подозрений у случайного посетителя.
Исследователи обращают внимание на распределение TLS-сертификатов. Пятьдесят один сертификат используется более чем на пяти доменах, и 21 процент сайтов с SSL объединены общими сертификатами. Самая крупная связка - сертификат с именем platfrom-jiuyou.com.cn покрывает 97 доменов. Причём в написании допущена ошибка (platform написано как platfrom), что является ещё одним маркером оператора. Шаблон zh-XX-fifaclub, где XX - двухбуквенный код, прослеживается в сотнях адресов.
Нелегальный онлайн-гемблинг давно перестал быть просто проблемой азартных игр. По оценкам экспертов, объём теневого рынка ставок в Юго-Восточной Азии достигает десятков миллиардов долларов в год. Эти деньги часто отмываются через криптовалюты, подпольные платёжные системы и используются для финансирования других видов преступности, включая торговлю людьми и наркотиками. ФБР ранее предупреждало, что нерегулируемые зарубежные букмекерские конторы тесно связаны с киберпреступностью. Они похищают персональные и финансовые данные, распространяют вредоносное ПО через рекламные сети и поддельные приложения, а также служат каналом для отмывания доходов от кибератак.
Выявленная инфраструктура, несмотря на глобальную спортивную направленность, опирается на сравнительно небольшое количество поставщиков услуг. Это означает, что координированное вмешательство со стороны регулирующих органов, хостинг-провайдеров и регистраторов доменов может существенно нарушить работу сети. Пока же, за несколько недель до мундиаля, операторы продолжают наращивать мощности: только за апрель 2026 года зарегистрировано почти 2500 доменов с искомой строкой. Болельщикам, желающим сделать ставку, стоит помнить, что за красивой вывеской "официальной платформы" может скрываться криминальная экосистема, нацеленная на кражу денег и данных.
Индикаторы компрометации
IPv4
- 109.70.26.37
- 182.16.52.26
- 195.20.48.1
- 198.54.117.212
- 203.27.227.29
- 217.70.184.38
- 34.98.99.30
- 68.178.232.99
- 82.98.86.179
Domains
- b.qsywater.com
- china-zh-fifa.com
- platfrom-jiuyou.com.cn
- submit-kaiyun.com
- www.zh-ah-fifaclub.com
- www.zh-as-fifaclub.com
- www.zh-bc-fifa.com
- www.zh-bc-fifaclubcwc.com
- www.zh-bc-fifaclubsjb.com
- www.zh-bc-fifaclubworldcup.com
- www.zh-bc-fifacwc.com
