В преддверии чемпионата мира по футболу 2026 года злоумышленники активизировали фишинговые атаки, используя бренд FIFA в качестве приманки. Однако, как выяснили исследователи, под угрозой оказались и многие другие крупные компании. Вместо традиционных поддельных магазинов билетов атакующие сделали ставку на страницы, имитирующие процесс трудоустройства. Такой подход оказался эффективнее, поскольку вызывает больше доверия у потенциальных жертв.
Описание
Схема выглядит обманчиво привычной. Пользователю предлагают страницу с логотипом компании, профилем рекрутера, записью на 30-минутную встречу и кнопкой для входа через Google или Facebook*. Никаких вложений для открытия или программ для установки здесь нет. Кража учётных данных происходит на том этапе, который многие соискатели считают естественным - во время входа в систему для назначения звонка. Именно эта обыденность и делает атаку опасной.
Особый интерес для преступников представляют учётные записи, которые открывают доступ к корпоративной инфраструктуре. Фальшивая страница найма FIFA под названием fifahiring[.]com не просто предлагала войти через Google - она отклоняла личные адреса Gmail и требовала указать корпоративную почту. Так атакующие отсеивали менее ценные аккаунты и нацеливались на те, что могут обеспечить доступ к внутренним системам компании.
При ближайшем рассмотрении подделка выдаёт себя множеством признаков. Реальные карьерные порталы FIFA находятся по адресам jobs.fifa.com и fifa.pinpointhq.com. Мошеннический домен не имел к ним отношения, хотя и загружал фавикон (иконку сайта) с легитимного ресурса pinpointhq.com, чтобы создать иллюзию подлинности. Домен и сертификат были созданы 23 мая, а сайт размещался на дешёвом хостинге Vercel и Render, а не на корпоративной инфраструктуре. Как отмечается в анализе специалистов, самым явным признаком стал процесс входа: учётные данные отправлялись на адрес fifeq2026eqbackeq[.]onrender[.]com/api/login, а окно входа через Google было полностью подделкой. Настоящий Google не участвовал в аутентификации - страница просто имитировала его интерфейс, загрузив лишь фавикон в качестве визуального элемента.
Исследователи также обнаружили домены careers-fifahiring[.]com и fifajobs[.]com с аналогичным содержимым. Последний даже индексировался поисковой системой Google, что повышало его заметность.
Примечательно, что атака не ограничилась брендом FIFA. Специалисты нашли похожие поддельные страницы для Heineken, Hilton, Coca-Cola, Netflix, PepsiCo, Delta и Spotify. В случае с Heineken мошенники использовали имя реального сотрудника, который, судя по профилю в LinkedIn, действительно работает рекрутером в компании. Также были выявлены два набора инструментов для фишинга, нацеленных на соискателей через бренды Aquent и Hays. В версии для Hays вместо Google запрашивались учётные данные Facebook*. Все эти страницы, несмотря на разные логотипы, объединяет одна и та же логика: профиль рекрутера, предложение о встрече, требование корпоративной почты и поддельный вход.
Процесс найма даёт атакующим удобное оправдание для запросов, которые в других ситуациях вызвали бы подозрения. Кандидат привык кликать на ссылки для записи, видеть профиль рекрутера, заполнять календарь. Иногда от него действительно ожидают использования рабочей почты, особенно при найме на корпоративные или партнёрские роли. Поддельное окно входа превращает этот привычный сценарий в кражу учётных данных. Пользователи доверяют кнопкам "Войти через Google" или "Войти через Facebook"*, но сама кнопка не гарантирует ничего. Настоящий процесс аутентификации должен уводить пользователя на домен провайдера, где тот контролирует все элементы. Поддельная страница может нарисовать убедительную копию, не передавая управление Google или Facebook*.
Также настораживает требование указать корпоративный адрес вместо личного. Если страница отклоняет личную почту, значит, злоумышленники хотят получить аккаунт с более высокими привилегиями. Такой учётной записью можно воспользоваться для проникновения во внутренние сети компании, кражи данных или развёртывания вредоносного ПО.
Что делать соискателям? Прежде всего, начинать поиск вакансии с официального карьерного портала компании, а не переходить по ссылкам из сообщений, рекламы или результатов поиска. Для FIFA это jobs.fifa.com или fifa.pinpointhq.com. Домен, содержащий слова "fifa", "career" или "jobs", не гарантирует подлинности. Перед вводом учётных данных стоит проверить, действительно ли окно входа открывается на странице самого провайдера (Google или Facebook*). Если внутри подозрительного сайта появляется якобы окно Google, но ссылки не работают, элементы управления неактивны, а логотип используется просто как украшение, это явный признак подделки. Защитное программное обеспечение с функциями веб-фильтрации и антифишинга может блокировать такие страницы ещё до их загрузки, что особенно полезно при короткоживущих мошеннических сайтах, работающих всего несколько часов или дней.
Организациям также стоит принять меры. Поскольку страницы найма по своей природе публичны, их легко копировать. Службы безопасности должны отслеживать вновь регистрируемые домены, содержащие названия бренда и слова, связанные с наймом. Кроме того, следует обращать внимание на сайты, которые заимствуют фавиконы, фотографии рекрутеров, описания вакансий и формулировки записи на собеседование с легитимных страниц. Отделы кадров и HR-команды могут упростить для кандидатов проверку официального пути найма: чёткая карьерная страница, понятная коммуникация от рекрутеров и предупреждения о неофициальных ссылках помогут снизить неопределённость, которой пользуются атакующие.
Поддельная страница найма FIFA сработала именно потому, что не выглядела необычно. Она казалась нормальным этапом процесса трудоустройства. Злоумышленникам не нужно изобретать новое поведение, когда можно скопировать то, чему люди уже доверяют. Брендированная страница записи, профиль рекрутера, знакомая кнопка входа - этого достаточно, чтобы провести жертву от интереса к вводу пароля. Решающий момент наступает перед вводом учётных данных: стоит проверить домен, убедиться, что аутентификация действительно передаётся провайдеру, и подтвердить вакансию через официальный сайт компании. Антифишинговые решения добавляют дополнительный уровень защиты, особенно против краткосрочных мошеннических страниц, которые могут исчезнуть через несколько часов.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Индикаторы компрометации
URLs
- fifeq2026eqbackeq.onrender.com/api/login
- https://aquent-talent-jobs.com
- https://careers-fifahiring.com
- https://fifahiring.com
- https://fifajobs.com
- https://fifa-mg.shop
- https://hays-talent-opportunities.com
- https://heineken-careers.com