Cupa Mondială a fraudelor online: peste 13.000 de domenii cu temă FIFA și phishing în creștere cu aproape 500%

Cupa Mondială a fraudelor online: peste 13.000 de domenii cu temă FIFA și phishing în creștere cu aproape 500%
Imagine Cupa Mondială a fraudelor online: peste 13.000 de domenii cu temă FIFA și phishing în creștere cu aproape 500% (sursa foto: Pixabay)
Peste 13.000 de domenii cu temă FIFA au fost înregistrate în 2026, potrivit unei analize realizate de FortiGuard Labs. Aproximativ 10% dintre acestea au fost identificate drept malițioase sau suspecte, confirmând amploarea fraudelor dezvoltate în jurul competiției mondiale. Aceeași cercetare a identificat peste 1.700 de conturi și canale care imitau FIFA pe rețele sociale și platforme de mesagerie. Totodată, peste 270.000 de date de autentificare au fost descoperite în baze asociate programelor malware, afectând utilizatori și fani.

Separat, compania de securitate Hoxhunt a raportat o creștere de aproape 500% a atacurilor tematice între aprilie și iunie 2026. Cu trei zile înaintea finalei din 19 iulie, specialiștii cyber_Folks România avertizează că atacurile nu îi vizează doar pe fani. Ele pot afecta și companiile, prin conturile, dispozitivele și infrastructura digitală folosite zilnic de angajați în activitatea lor profesională.

„Fiecare eveniment global generează o economie paralelă a fraudei, dar dimensiunea din acest an este fără precedent. Greșeala pe care o fac multe firme românești este să creadă că subiectul nu le privește, pentru că nu vând bilete la fotbal. În realitate, angajații lor deschid aceste e-mailuri de pe laptopurile de serviciu, iar un cont Microsoft compromis al unui angajat poate deveni o poartă de acces către întreaga companie”, declară Ionuț Ariton, co-CEO cyber_Folks.

Majoritatea domeniilor companiilor românești nu folosesc DMARC

O analiză realizată de cyber_Folks asupra a aproape 500.000 de domenii arată că 61,6% nu au protecția DMARC configurată. Fără această protecție, atacatorii pot falsifica expeditorul și pot trimite mesaje în numele companiei, exploatând încrederea acordată brandului respectiv. Riscurile includ email spoofing, phishing și fraude financiare, devenite mai credibile când mesajele par transmise de o companie cunoscută destinatarului.

Directoratul Național de Securitate Cibernetică a avertizat asupra amenințărilor asociate Cupei Mondiale FIFA 2026, inclusiv site-uri și concursuri false. Instituția atrage atenția și asupra tentativelor de furt al datelor personale sau financiare, promovate prin mesaje și pagini frauduloase. DNSC recomandă verificarea atentă a sursei fiecărui mesaj suspect și raportarea incidentelor cibernetice la numărul unic național 1911.

Site-uri, bilete și aplicații false

Campaniile recente folosesc site-uri care imită platformele oficiale FIFA, aplicații false de streaming, coduri QR malițioase și mesaje despre bilete. Alte comunicări promit rambursări, premii sau acces gratuit la meciuri, folosind interesul public pentru a grăbi reacția utilizatorilor înaintea verificărilor. FBI a avertizat în luna mai asupra site-urilor care clonează platforma oficială prin modificarea discretă a denumirii domeniului original.

Introducerea sau schimbarea unei singure litere poate direcționa utilizatorii către pagini create pentru colectarea datelor personale și informațiilor bancare. Un grup denumit „Ghost Stadium” ar opera peste 300 de pagini de phishing care reproduc ecranul oficial de autentificare FIFA. Datele introduse acolo pot compromite și alte conturi, mai ales când utilizatorii repetă parolele pentru serviciile personale și cele profesionale.

Firmele, ținta mai puțin vizibilă a fraudelor tematice

Una dintre campaniile asociate turneului imită anunțuri de recrutare FIFA și îi vizează în special pe profesioniștii din marketing. Victimele ajung pe pagini false de autentificare Google sau Microsoft, care colectează datele conturilor folosite pentru e-mail și documente. Aceleași conturi sunt utilizate frecvent pentru aplicațiile interne, platformele colaborative și alte servicii importante din infrastructura digitală a companiilor.

Compromiterea unui singur cont poate oferi acces la conversații, fișiere și contacte sau permite trimiterea mesajelor frauduloase către alte persoane. Atacatorii pot folosi credibilitatea contului compromis pentru solicitarea plăților, schimbarea datelor bancare sau distribuirea linkurilor malițioase către colegi. În acest mod, o tentativă adresată inițial unui angajat se poate transforma rapid într-un incident care afectează întreaga organizație.

Codurile QR și streamingul pirat extind riscurile

Frauda prin coduri QR, cunoscută drept „quishing”, exploatează sistemul digital de bilete și depășește tot mai frecvent e-mailul clasic. Utilizatorul scanează ceea ce pare un bilet, formular de check-in sau link pentru rambursare, apoi ajunge pe o pagină falsă. Aceasta solicită parole, date personale sau informații de plată, transformând un gest rapid într-o compromitere financiară ori profesională serioasă.

Unele aplicații pirat care promit transmisiuni gratuite ascund programe malițioase destinate dispozitivelor Android și pot copia interfețele aplicațiilor bancare legitime. Programele pot intercepta parole, coduri de autentificare și alte informații financiare, fără ca utilizatorul să observe imediat activitatea desfășurată. Potrivit unei cercetări citate de Flare, aproximativ 40% dintre utilizatorii platformelor ilegale pierd bani sau își compromit datele bancare.

Inteligența artificială face fraudele mai convingătoare

Inteligența artificială permite crearea rapidă a paginilor false, mesajelor, confirmărilor de plată și materialelor vizuale care imită organizații publice cunoscute. Textele pot fi corecte gramatical, adaptate în limba română și personalizate cu informații publice despre victimă sau compania acesteia. În acest fel, mesajele devin mai greu de identificat și pot părea relevante pentru activitatea profesională a persoanei vizate.

Tehnologiile deepfake creează clipuri în care jucători sau prezentatori cunoscuți par să promoveze tombole, pariuri ori câștiguri financiare garantate. Materialele sunt distribuite prin reclame pe rețelele sociale, iar aparența profesionistă poate convinge utilizatorii să acceseze platforme frauduloase. Aceste instrumente reduc timpul și pregătirea tehnică necesare atacatorilor, permițând lansarea rapidă a campaniilor personalizate pentru industrii sau departamente.

În locul mesajelor generale și ușor de recunoscut, atacatorii pot genera comunicări adaptate unor categorii profesionale sau unor anumite companii. Ei folosesc informații disponibile public, contexte credibile și elemente vizuale familiare, pentru a câștiga rapid încrederea persoanelor vizate. Atacurile devin astfel mai eficiente, deoarece mesajele par create special pentru destinatar și pentru activitatea sa profesională.

„Echipa noastră de cybersecurity monitorizează activ vulnerabilitățile și intervine proactiv la nivelul infrastructurii, de la filtrarea traficului malițios până la izolarea site-urilor compromise. Dar phishingul nu exploatează doar serverele, ci mai ales oamenii. Niciun furnizor de hosting nu poate opri un utilizator să își introducă parola pe o pagină clonată. În acel moment, vigilența utilizatorului rămâne prima linie de apărare”, explică Horațiu Șimon, Chief Technology Officer cyber_Folks România.

Companiile pot fi afectate indiferent de domeniul lor

FBI a inclus în informările recente amenințările asociate turneului, de la fraude online și furtul datelor până la operațiuni de dezinformare. Avertismentele publice vizează în principal fanii și infrastructura orașelor gazdă, însă firmele fără legături sportive pot fi afectate. Riscurile există inclusiv pentru companiile care nu activează în turism, vânzarea biletelor, pariuri sau organizarea evenimentelor sportive.

Campaniile asociate evenimentelor globale exploatează interesul public, presiunea timpului și teama utilizatorilor că ar putea pierde o oportunitate importantă. Mesajele despre ultimele bilete disponibile, acces limitat sau câștigarea unui premiu îi pot determina să reacționeze înaintea verificării sursei. Această combinație face atacurile mai eficiente și reduce timpul acordat unei evaluări atente a mesajului primit.

Turneul se încheie pe 19 iulie, iar specialiștii anticipează intensificarea activității frauduloase în perioada finalei și imediat după aceasta. Printre pretextele frecvente se numără transmisiunile pirat, biletele revândute, pariurile, tombolele, concursurile și falsele oferte de călătorie. Atacatorii pot adapta rapid aceste teme în funcție de rezultatele meciurilor, echipele calificate și interesul manifestat de public.

robo_Folks verifică securitatea site-urilor și e-mailurilor

Pentru a răspunde riscurilor tot mai complexe, cyber_Folks a lansat la finalul lunii iunie asistentul AI robo_Folks. Acesta este primul asistent bazat pe inteligență artificială integrat într-un panou de hosting din România și disponibil direct utilizatorilor. Instrumentul poate realiza, la cererea clientului, un audit al securității site-ului și al principalelor configurări tehnice asociate domeniului.

Auditul include verificarea certificatelor SSL, configurărilor DNS și sistemelor SPF, DKIM și DMARC utilizate pentru protecția e-mailului. Aceste sisteme limitează posibilitatea ca atacatorii să trimită mesaje frauduloase în numele companiei sau să imite identitatea brandului. Configurarea lor corectă poate reduce riscul de spoofing, phishing și fraude bazate pe compromiterea comunicării electronice a organizației.

Ce pot face companiile în această perioadă

Potrivit specialiștilor cyber_Folks, angajații trebuie să verifice domeniul literă cu literă înaintea oricărei plăți sau autentificări. Diferența dintre site-ul real și o clonă poate consta într-un singur caracter, într-o cratimă sau într-o extensie neobișnuită. Adresele trebuie analizate înaintea introducerii parolelor, informațiilor personale sau datelor bancare solicitate printr-un mesaj primit.

Angajații nu trebuie să scaneze coduri QR primite prin e-mail, chat sau din alte surse care nu pot fi verificate. Adresa afișată de telefon trebuie verificată înaintea introducerii datelor personale, parolelor sau informațiilor de plată pe pagina deschisă. Pentru bilete și transmisiuni trebuie folosite numai aplicațiile și platformele oficiale, accesate direct, nu prin linkuri primite.

Biletele FIFA legitime sunt disponibile prin aplicația oficială și sunt prezentate sub forma unui cod QR dinamic. Companiile trebuie să își informeze angajații despre principalele mesaje frauduloase identificate în jurul turneului și despre metodele utilizate. Un avertisment intern transmis la timp poate preveni accesarea linkurilor malițioase de pe dispozitivele sau rețelele companiei.

Angajații trebuie să evite aplicațiile și site-urile de streaming pirat, mai ales pe dispozitive conectate la conturile organizației. Companiile trebuie să activeze autentificarea în doi pași pentru Google, Microsoft, e-mail, hosting și celelalte aplicații importante. De asemenea, trebuie configurate sistemele SPF, DKIM și DMARC pentru domeniul companiei, limitând trimiterea mesajelor frauduloase în numele brandului.

Parolele conturilor personale și profesionale trebuie să fie diferite, pentru a limita efectele compromiterii unei singure platforme sau aplicații. Datele de acces trebuie schimbate imediat atunci când au fost introduse pe un site suspect sau transmise printr-un formular fals. Angajații trebuie să anunțe departamentul IT, chiar dacă nu observă imediat activități neobișnuite în contul sau dispozitivul utilizat.

Ce faci dacă ai introdus deja datele

Parola contului afectat trebuie schimbată imediat, împreună cu parolele tuturor conturilor unde au fost utilizate aceleași date de acces. Prima schimbată trebuie să fie parola adresei de e-mail, deoarece aceasta permite resetarea accesului pentru celelalte platforme utilizate. Sesiunile active trebuie închise, iar autentificarea în doi pași trebuie activată acolo unde această opțiune este disponibilă.

Dacă au fost introduse informații de plată, utilizatorul trebuie să contacteze banca și să solicite blocarea imediată a cardului. Departamentul IT trebuie informat pentru verificarea activității, izolarea contului și analiza dispozitivului de pe care au fost accesate paginile suspecte. Incidentul poate fi raportat către Directoratul Național de Securitate Cibernetică, prin apelarea numărului unic 1911.

0 comentarii Comentarii