До старта чемпионата мира по футболу в США, Канаде и Мексике остаются считанные недели - и активность злоумышленников, нацеленных на болельщиков, не только не снижается, но и нарастает. Специалисты компании Flare, занимающейся мониторингом угроз, представили результаты расширенного исследования фишинговой инфраструктуры, которая имитирует официальный сайт FIFA. Изначально в поле зрения аналитиков попали 79 доменов, зарегистрированных на 14 IP-адресах. Однако дальнейшая проверка показала, что масштаб кампании значительно больше и сложнее, чем предполагалось.
Описание
Используя пассивный DNS, логи сертификационной прозрачности и обогащённые данные WHOIS, эксперты выявили по меньшей мере 222 домена, которые работают на 203 уникальных IP-адресах. Это почти в три раза больше доменов и более чем в четырнадцать раз больше хостинговой инфраструктуры, чем в первоначальном отчёте. При этом 206 из этих доменов продолжают оставаться активными. Большая часть трафика - 80,6 процента - проходит через Cloudflare, что позволяет операторам скрывать свои настоящие серверы за обратным прокси.
Ключевой вывод исследования: перед нами не единая централизованная операция, а как минимум четыре независимых кластера злоумышленников. Они используют схожие заготовки фишинговых страниц, но отличаются по способам регистрации доменов, выбору хостинга и шаблонам в WHOIS.
Первый и самый заметный кластер - это ядро из примерно 86 доменов, которые напрямую искажают написание fifa.com (например, fifa-com.vip, ww-fifa.com, www-fifa-com.vip). Они регистрировались в основном через регистратора GNAME.COM в марте - апреле 2026 года и обслуживают типовую страницу продажи билетов на ЧМ-2026.
Второй кластер использует совершенно другой подход. Четырнадцать доменов в зоне .shop не содержат в имени "fifa". Все они зарегистрированы на один и тот же электронный адрес cc17lou@hotmail.com, контактное лицо "Bill John" и город Newark. Регистратор - WebNIC. Одиннадцать доменов появились одновременно 15 мая 2025 года, а остальные - в сентябре. Сейчас эти страницы, которые изначально, вероятно, были заготовками для дропшиппинга, показывают ту же самую фишинговую страницу чемпионата. Особый интерес вызывает домен dustdigitalsw.shop, зарегистрированный ещё в июле 2015 года. Этот приём - использование "возрастных" доменов с устоявшейся репутацией - усложняет обнаружение, потому что стандартные системы не смотрят на недавно созданные адреса.
Третий кластер - три домена в зоне .cn: https-fifa.cn, ww-fifaweb.cn и fifawebsite.cn. Они зарегистрированы 28 марта 2026 года через регистратора Web Commerce Communications Limited на одну и ту же учётную запись Gmail yhzuk58@gmail.com. Это указывает на китайского оператора, действующего параллельно.
Четвёртый кластер - домены www-fifaworldcup.one, www-fifaworldcup.vip и fifa-com.one, зарегистрированные на организацию "888 ши цзе бэй гуань ли ю сянь гун сы" (псевдоним "888 World Cup Management Co Ltd"). Операторы даже не скрывают, что мишенью является чемпионат мира.
Эксперты Flare обнаружили важную особенность: кампания не затихает после публикации отчётов. За первые 17 дней апреля 2026 года было зарегистрировано 52 новых домена. Три даты - 27 и 28 марта, а также 17 ноября 2025 года - дают 36,5 процента всех регистраций в расширенном наборе. Наибольший всплеск пришёлся на 27 марта (34 домена) и 28 марта (23 домена). Активность ускоряется, несмотря на приближение турнира.
Интересно, что Cloudflare уже пометил три домена из набора как подозрительные и выводит предупреждение о фишинге. Это независимое подтверждение вредоносности инфраструктуры. Однако остальные 176 доменов, обслуживаемых через тот же CDN, продолжают функционировать нормально. Разница наглядно демонстрирует, что для эффективного противодействия нужен автоматизированный анализ на уровне целых кампаний, а не отдельных адресов.
Из 222 доменов примерно 10 процентов (21 домен) содержат данные об операторах - либо из‑за ошибок в настройках конфиденциальности WHOIS, либо из‑за её отсутствия. Это даёт исследователям конкретные зацепки для дальнейшего мониторинга.
Ключевой регистратор - GNAME.COM PTE. LTD. - фигурирует в 42,3 процента всех записей (94 домена). Следом идут GoDaddy (42 домена), Spaceship и WebNIC (по 15), Alibaba Cloud (14) и Metaregistrar (12). Специалисты отмечают, что GNAME.COM принимает оплату в криптовалюте, что привлекает злоумышленников. Направление одной качественной жалобы на массовое злоупотребление именно к этому регистратору могло бы закрыть почти половину известной инфраструктуры.
В ближайшие недели стоит ожидать новых всплесков регистрации фишинговых доменов - синхронизированных с окнами официальной продажи билетов. Часть уже зарегистрированных, но пока неактивных адресов может быть активирована в любой момент. Операторы будут менять IP и домены по мере блокировок. Параллельно исследователи мониторят связанные с этим угрозы: нелегальные стриминговые сервисы, поддельные товары и мошеннические букмекерские платформы.
Таким образом, фишинговая угроза вокруг ЧМ-2026 оказалась значительно масштабнее и сложнее, чем предполагалось. Вместо одной организованной группы на поле действуют как минимум четыре независимых игрока, использующих общие шаблоны. Болельщикам и службам безопасности следует проявлять максимальную бдительность при переходе по ссылкам, якобы ведущим на официальный сайт FIFA, - и помнить, что поддельные страницы выглядят почти неотличимо от настоящих.
Индикаторы компрометации
- cc17lou@hotmail.com (14 domains)
- yhzuk58@gmail.com (3 domains)
Registrant organization
- 888 shi jie bei guan li you xian gong si (3 domains)
Registrant contact placeholder
- Bill John / Newark (14 domains, Cluster B)
Shared IPs
- 38.246.249.74
- 154.39.81.213
- 148.178.16.48
- 154.86.0.33
- 104.225.235.49
Shared TLS certificate hashes
- 1b02595c66a13a4a5a523a76de25803bdb950623 (3 domains)
- fc1db8def38bb08010bb8f8ac14d5e498ff8ff43 (2)
- 3b8bb7631b39f455d31544b55ba97b49ab1888c1 (2)
- fb0498ab592232747a4d90aa150ee4e0506869ca (2)
