Билеты на ЧМ-2026 стали приманкой для кибермошенников

По оценке компании, у операторов схемы есть признаки связи с китайскоязычной киберкриминальной средой: в исходном коде фишинговых страниц найдены комментарии на китайском языке, а при создании фишингового набора использовалась китайская open source UI-библиотека Layui.

Злоумышленники подготовили более 300 доменов с почти точной копией официального сайта FIFA. Через эти ресурсы они пытаются красть учетные данные и платежную информацию болельщиков, которые ищут билеты на чемпионат мира 2026 года. Поддельные сайты воспроизводят сайт FIFA почти «пиксель в пиксель», и Group-IB называет эту операцию не грубой фишинговой страницей, а тщательно собранной имитацией официального ресурса.

Чемпионат мира 2026 года пройдет с 11 июня по 19 июля в США, Канаде и Мексике и станет крупнейшим в истории турнира: 48 сборных и 104 матча. Масштаб соревнования делает его привлекательной целью для мошенников. По данным Group-IB, с августа 2025 года преступники зарегистрировали более 4,3 тыс. доменов, имитирующих официальные ресурсы FIFA. Более 300 из них уже используются в мошеннической инфраструктуре, еще около 3,8 тыс. остаются «припаркованными» и могут быть активированы ближе к турниру.

Схема построена вокруг поддельной покупки билетов. Пользователь попадает на сайт, внешне похожий на fifa.com, выбирает матч и категорию билета, а затем проходит через фальшивую авторизацию. Фишинговый набор имитирует вход через систему FIFA и после этого перенаправляет жертву на настоящий сайт, чтобы создать впечатление успешной авторизации. В отдельных сценариях страница запрашивает параметр для сброса пароля, что позволяет злоумышленникам быстро заблокировать владельца аккаунта. Если в аккаунте уже были настоящие билеты, их могут перепродать.

Для новых пользователей схема работает как фальшивая продажа билетов. После выбора матча жертву переводят на страницу покупки и оплаты, где собираются персональные и платежные данные. По данным Group-IB, мошенники используют несколько способов приема средств, включая банковские карты, сторонние платежные шлюзы, P2P-переводы, региональные платежные сервисы и криптовалюту. Покупатель при этом не получает реальных билетов.

Особый интерес для GHOST STADIUM представляют премиальные билеты и hospitality-пакеты. Среди более чем 300 фишинговых доменов 79 были связаны именно с продажей таких предложений. Стоимость премиальных билетов может достигать от $1,5 тыс. до $10 тыс. и выше. Group-IB оценивает потенциальный ущерб только от мошенничества с премиальными билетами в $71–474 млн. Эта оценка покрывает примерно четверть активной кампании GHOST STADIUM; с учетом других уровней билетов, кражи аккаунтов и дальнейшей монетизации общие потери могут исчисляться миллиардами долларов.

GHOST STADIUM — не единственная группа, использующая интерес к турниру. Group-IB описывает четыре независимые преступные группы и шесть схем монетизации: фишинг учетных данных FIFA, продажу фальшивых билетов, поддельные магазины атрибутики, мошеннические стриминговые сервисы, нелегальные ставки и казино, а также кражу данных через инфостилеры. В даркнете уже обнаружены 2513 пары учетных данных FIFA, связанные с fifa.com и fifa.org.

Для привлечения жертв злоумышленники используют платную рекламу, в том числе в социальных сетях. В объявлениях обещают билеты по резко заниженным ценам — например, от $60 за места, официальная стоимость которых может исчисляться тысячами долларов. Формулировки вроде «first come, first served» подталкивают пользователя к быстрой покупке без проверки сайта.

Group-IB рекомендует покупать билеты только через официальный сайт FIFA, набирая адрес вручную в браузере, а не переходя по ссылкам из рекламы, мессенджеров или социальных сетей. Отдельный тревожный признак — домены с дефисами и вариациями названия FIFA, а также предложения оплатить билет криптовалютой: официальный портал FIFA такие платежи не принимает.