Крупнейшая в истории кампания мошенничества нацелилась на болельщиков чемпионата мира по футболу 2026 года

Центральное место в этой сети занимает угроза, которой исследователи дали название GHOST STADIUM - "Призрачный стадион". Речь идёт о китайскоязычном операторе, который создал почти идеальную копию официального сайта FIFA. Его атака способна нанести ущерб, исчисляемый миллиардами долларов. Чтобы понять масштаб угрозы, достаточно взглянуть на цифры. Чемпионат мира 2026 года, который пройдёт с 11 июня по 19 июля в США, Канаде и Мексике, станет крупнейшим спортивным событием в истории. FIFA ожидает более шести миллионов зрителей на стадионах, а в первые пятнадцать дней продаж на билеты поступило более 150 миллионов заявок. Именно этот колоссальный спрос и отчаянное желание болельщиков попасть на матчи превратили турнир в идеальную мишень для киберпреступников.

Как обнаружили специалисты Group-IB, группировка GHOST STADIUM управляет фишинговой кампанией на базе более чем 300 доменов. Эти сайты представляют собой пиксельно точную копию официального веб-ресурса FIFA. Мошенники скопировали даже процедуру единого входа через систему PingIdentity, которая используется на настоящем портале. Поддельная страница входа выглядит настолько аутентично, что отличить её от оригинала практически невозможно. Жертва, которая вводит свои данные, передаёт их злоумышленникам, после чего её перенаправляют на настоящий сайт FIFA. Пользователь думает, что просто заново вошёл в систему, а его аккаунт уже скомпрометирован.

Хитрость заключается ещё и в том, что мошеннический сайт запрашивает разрешение на сброс пароля. Это означает, что после кражи учётных данных злоумышленник может немедленно заблокировать законного владельца аккаунта. А если у жертвы уже были куплены билеты, преступник получает полный контроль над ними. Для убедительности поддельные страницы загружают официальные изображения и логотипы напрямую с серверов FIFA, используют ссылки на реальные социальные сети организации и даже встроенный переводчик Google.

Сами фишинговые сайты проходят полный цикл ложной покупки: выбор матча, выбор категории мест, оформление заказа и оплата. При этом мошенники принимают платежи через пять различных каналов. Среди них прямое списание средств с банковских карт, сторонние платёжные шлюзы, одноранговые сервисы денежных переводов, региональные платёжные системы для разных стран и даже конвертация в криптовалюту через легальные процессинговые компании. Таким образом, канал оплаты подстраивается под местоположение и привычки жертвы. Например, для пользователей из Колумбии используется местный сервис Nequi, а для мексиканцев - система FIXYD. Криптовалютный шлюз переводит доллары в токены USDT, которые невозможно отозвать после отправки.

Масштаб финансовых потерь от деятельности GHOST STADIUM ошеломляет. Из 300 активных мошеннических сайтов 79 были нацелены исключительно на продажу билетов премиум-класса и hospitality-пакетов, цены на которые варьируются от полутора до десяти тысяч долларов. На одном только таком сайте исследователи зафиксировали более 600 жертв. Экстраполируя эти данные на все 79 сайтов, можно предположить, что общее число пострадавших превышает 47 тысяч человек. Финансовые потери только от этой категории мошенничества оцениваются в сумму от 71 до 474 миллионов долларов. С учётом всех остальных схем - кражи учётных данных, продажи контрафактных товаров, мошеннических стриминговых сервисов и нелегальных букмекерских платформ - общий потенциальный ущерб может достигать миллиардов долларов.

При этом GHOST STADIUM не единственная угроза. Исследователи выделили ещё трёх независимых злоумышленников. Один из них занимается массовой регистрацией доменов, похожих на официальные адреса FIFA. Он зарезервировал около 143 таких адресов, которые могут быть активированы в любой момент. Ещё одна угроза исходит от массовых кампаний по распространению программ-стилеров вроде Vidar и Lumma. Эти вредоносные программы крадут все сохранённые пароли, куки-файлы и данные автозаполнения с заражённых устройств. В результате такой массовой рассылки в тёмных уголках интернета уже появилось 2513 пар учётных данных от аккаунтов FIFA, которые продаются по цене от 5 до 50 долларов за одну пару.

Самый тревожный аспект заключается в том, что мошенники активно используют платные объявления в Facebook* для привлечения жертв. Они запускают рекламу с привлекательными ценами и таймерами обратного отсчёта, заставляя людей действовать импульсивно. Три общих идентификатора рекламных пикселей Meta были найдены на всех поддельных сайтах, что подтверждает единую рекламную кампанию. Это означает, что платформа социальных сетей превратилась в основной канал распространения мошенничества.

Проблема усугубляется тем, что на чёрном рынке уже существует целая инфраструктура по продаже готовых фишинговых наборов. Любой желающий может купить готовый шаблон сайта, который копирует FIFA, и запустить собственную мошенническую схему. Это означает, что даже если удастся закрыть GHOST STADIUM, на его место придут другие операторы. Борьба с такими масштабными угрозами требует скоординированных усилий. Болельщикам следует помнить простое правило: покупать билеты можно только на официальном портале fifa.com. Любое другое предложение, особенно с требованием оплаты в криптовалюте, должно рассматриваться как мошенническое. Включение двухфакторной аутентификации для аккаунта FIFA сейчас становится не рекомендацией, а насущной необходимостью.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

IPv4

• 148.178.18.23
• 148.178.18.60
• 154.86.0.33
• 207.56.1.93
• 66.112.212.25
• 148.178.16.48
• 148.178.16.5
• 104.225.235.49
• 89.208.250.38
• 65.49.223.138
• 148.178.22.16
• 85.121.242.41
• 216.189.149.193
• 137.220.224.67

Domains

• fifa.bio
• fifa.center
• fifa.gold
• fifa.red
• fifa.sale
• fifa.shopping
• fifa.show
• fifa.ski
• fifa.black
• Fifa.cafe
• fifa.fund
• fifa.market
• fifa.tax
• fifa.cash
• fifa.city
• Fifa.house
• fifa-com.co
• fifa-com.com
• fifa-com.shop
• fifa-com.site
• fifa-com.store
• fifa-com.website
• fifa-com.xyz
• fifa-com.vip
• fifa-com.top
• www-fifa.com
• www-fifa.co
• www-fifa.me
• www-fifaworldcup.com
• wc26-fifa.com
• fifa-26-worldcup.com
• fifaweb.com
• www.fifa.show
• testnet.chainugo.com
• mm-fifa.top
• football-ticket.top
• football-ticket.shop
• football-game.shop
• football-tickets.top
• billplz.com
• fifa-tickets.vip

URLs

• fifa-tickets.vip/tickets_shop
• fifa-tickets.vip/authorize.html
• fifa-tickets.vip/pay/FWC20260418A3230F12AC
• www.billplz.com/bills/6e88393d1b82ede9

URL parameter signature

• ?aedda9bb-276d-49d4-92e8-294903503419/Design-ohne-Titel-1

SSL fingerprint

• 3b8bb7631b39f455d31544b55ba97b49ab1888c1
• 84ecdca915f1af822ccc8a04479f5179104f353c
• 9bd164dd3f50d196c7dff4f6c1b0f1345ac96d9a

Facebook Ad ID

• 1874578493179313
• 1214564190491246
• 929714589420716

Meta Pixel ID

• 927432823410218
• 1842358649811605
• 1569148414168343

Tawk.to Property ID

• 6976ccbaba77e8198a866266

Domain Pattern

• fifa-com.{any TLD}
• www-fifa.{any TLD}
• www-fifaworldcup.{any TLD}
• fifa{word}.{any TLD}
• {word}fifa.{any TLD}
• vis-fifa.{any TLD}
• fifa2026tickets{city}.com
• {city}unitycup2026.com