Крупные международные спортивные события традиционно привлекают внимание киберпреступников, и предстоящий Чемпионат мира по футболу 2026 года не стал исключением. По мере роста ожиданий от турнира злоумышленники все активнее эксплуатируют связанные с ним темы для фишинговых атак (вид мошенничества, при котором жертву заманивают на поддельный сайт для кражи данных) и финансового обмана. В ходе анализа угроз специалисты выявили кластеры доменов и поддоменов, зарегистрированных под видом официальных сервисов продажи билетов FIFA. Эти ресурсы направлены на кражу персональных данных и платежной информации у болельщиков по всему миру.
Описание
Фишинговые кампании, приуроченные к мундиалю, используют такие приманки, как продажа билетов, гостиничные пакеты, регистрация фанатов, расписание матчей и розыгрыши призов. Пользователи, которые активно ищут подобные предложения, становятся основной целью социальной инженерии. Злоумышленники создают убедительные электронные письма и поддельные веб-сайты, копирующие оформление официальных ресурсов FIFA. Вредоносные вложения или ссылки на сайты-подделки служат начальным вектором для заражения инфостилерами (программами, похищающими данные), внедрения программ-вымогателей или компрометации учетных записей.
Технический анализ показал, что несколько групп фишинговых доменов, связанных с темой билетов, разрешаются в IP-адрес 23.225.132[.]245. Кроме того, обнаружены поддомены с префиксами "m." и "wap.", которые характерны для мобильных версий сайтов. Использование "wap." особенно распространено в китайском сегменте мобильного хостинга, что указывает на целевую направленность кампании на пользователей смартфонов. Эти ресурсы пока имеют низкий уровень обнаружения средствами безопасности, что говорит о попытке злоумышленников сохранять низкий профиль, одновременно привлекая посетителей через доверенные темы крупного события.
При детальном изучении одного из таких сайтов выяснилось, что платформа имитирует полноценный портал FIFA по продаже билетов. Страница содержит футбольные изображения, символику чемпионата и функционал выбора билетов. Посетитель проходит через реалистичную процедуру оформления заказа, где требуется ввести имя, адрес электронной почты, номер телефона и платежные реквизиты. После отправки формы генерируется поддельный идентификатор заказа, а на странице оплаты предлагаются стандартные методы - дебетовые и кредитные карты, а также PayPal. Внешний вид страницы максимально приближен к официальному, что повышает доверие жертвы.
Дополнительное исследование выявило, что часть обнаруженных доменов вместо фиктивной продажи билетов перенаправляет пользователей на онлайн-казино и гемблинг-платформы. В таких случаях мошенники собирают личные данные и затем используют их для создания подставных аккаунтов на сайтах азартных игр. Украденные платежные карты могут применяться для пополнения счетов, а скомпрометированные учетные записи электронной почты - для сброса паролей и захвата других аккаунтов жертвы. Таким образом, пользователь сталкивается сразу с несколькими рисками: прямым финансовым ущербом, угоном аккаунтов и возможным использованием его данных для нелегальных операций.
Анализ платежного процесса выявил, что в код сайта встроены JavaScript-скрипты, обращающиеся к сторонним платежным сервисам, в частности KOIpay и EBpay. Это означает, что средства жертвы перечисляются не напрямую мошенникам, а через легитимные платежные шлюзы, что усложняет отслеживание транзакций. Злоумышленники лишь перенаправляют трафик на инфраструктуру этих сервисов, а те, в свою очередь, обрабатывают платеж. Использование таких методов позволяет кампании оставаться незамеченной дольше, так как платежи проходят через официальные провайдеры.
Хотя данный анализ касается технических механизмов конкретной фишинговой схемы вокруг ЧМ-2026, недавние данные Group-IB показывают, что эта операция является частью более обширной экосистемы мошенничества. Злоумышленники объединяют несколько этапов: первоначальный сбор данных через фальшивые билетные сайты, затем их передачу на ресурсы азартных игр и дальнейшее использование для отмывания средств или повторной кражи. Такая многоступенчатость существенно усложняет работу правоохранительных органов и увеличивает общий ущерб для жертв.
Последствия успешных атак для пользователей включают кражу денег со счетов, несанкционированные транзакции, взлом электронной почты и социальных сетей, а также угрозу использования украденных документов для оформления кредитов или других мошеннических действий. Для организаторов турнира и официальных партнеров такие инциденты подрывают доверие к бренду и требуют дополнительных затрат на информирование болельщиков и защиту инфраструктуры.
Специалисты рекомендуют болельщикам приобретать билеты и официальные пакеты услуг исключительно через проверенные каналы, указанные на сайте ФИФА. Любые письма или рекламные объявления с предложениями значительно ниже рыночной цены или с просьбой перейти по ссылке для получения подарка должны восприниматься с подозрением. Дополнительным барьером служит двухфакторная аутентификация для всех аккаунтов, особенно тех, где хранятся платежные данные.
Тенденция использования крупных спортивных мероприятий в качестве приманки для фишинга не нова, но с каждым новым чемпионатом методы злоумышленников становятся изощреннее. Применение мобильных поддоменов, имитация платежных шлюзов и использование элементов официального бренда требуют от пользователей повышенной бдительности. Только сочетание технических средств защиты и осознанного поведения может снизить риски финансовых потерь и компрометации личных данных.
Индикаторы компрометации
IPv4
- 23.225.132.245
Domain
- buy.ticket-fifa.com
- fifa.ticket-26.com
- m.buy.ticket-fifa.com
- wap.buy.ticket-fifa.com
- www.buy.ticket-fifa.com
