Beveiligingsonderzoekers en de FBI waarschuwen dat een golf van fraude met FIFA-thema de fans van het WK 2026 al treft, dagen vóór de aftrap van 11 juni.
Recente rapporten beschrijven duizenden op elkaar lijkende FIFA-domeinen, bankmalware verborgen in piratenstreaming-apps en minstens één operatie die de inlogpagina van de FIFA goed genoeg kopieert om echte accounts over te nemen.
Het is een duidelijk doelwit. Er worden meer dan zes miljoen fans verwacht in zestien steden in de Verenigde Staten, Canada en Mexico, en de FIFA zei dat het in de eerste vijftien dagen meer dan 150 miljoen ticketaanvragen heeft ontvangen, waardoor het toernooi ongeveer dertig keer overtekend is. Kaartjes zijn schaars, fans zijn ongerust en het geld gaat snel, en dat is precies wat fraude nodig heeft.
Eén operator, 300 gekloonde FIFA-sites
De meest gedetailleerde bevindingen komen van Group-IB, die meer dan 4.300 frauduleuze FIFA-domeinen heeft gevolgd die sinds augustus 2025 zijn geregistreerd. Centraal staat een groep die zij GEESTSTADIONeen Chineessprekende, geldgestuurde onderneming die één phishing-kit beheert op meer dan 300 van die sites.
De nep is goed. De pagina is een bijna perfecte kopie van fifa.com en bootst FIFA’s echte single sign-on login na, beheerd door PingIdentity, tot aan de echte client-ID die van de live site is gekopieerd. Het laadt de afbeeldingen rechtstreeks vanaf de eigen FIFA-servers, zodat de pagina er authentiek uitziet en langs tools glijdt die gekopieerde afbeeldingen markeren.
Dit is het deel dat de schade aanricht: de valse inlogpagina vraagt ook om het wachtwoord opnieuw in te stellen. Zodra een slachtoffer zijn gegevens invoert, kan de aanvaller hem/haar uitsluiten van zijn/haar eigen FIFA-account en eventuele daaraan gekoppelde tickets doorverkopen.
Het meeste verkeer komt van Facebook-advertenties, waarbij dezelfde trackingcodes in het hele cluster worden hergebruikt, plus links op Telegram, WhatsApp en in zoekresultaten. De site accepteert betalingen op vijf verschillende manieren: directe kaartinvoer, externe betalingsgateways, apps voor geldoverdracht zoals Chime en Nequi, processors die alleen in Mexico werken, en een crypto-optie die een kaartbetaling omzet in cryptocurrency, wat veel moeilijker terug te krijgen is.
Dat laatste is een handig weetje, omdat bij de officiële ticketverkoop van de FIFA nooit crypto wordt gebruikt, dus elke verkoper die erom vraagt is oplichterij.
Group-IB schat de verliezen als gevolg van fraude met premium- en hospitality-tickets alleen al op 71 tot 474 miljoen dollar, en zegt dat de hele campagne kan oplopen tot miljarden. Dit zijn schattingen gebaseerd op de infrastructuur die het kan zien, geen bevestigde verliezen.
Duizenden domeinen, vele soorten oplichting
Het is niet alleen Groep-IB. FortiGuard Labs telde tussen januari en mei ruim 13.000 domeinen met een WK-thema, waarvan ongeveer 8,8% kwaadaardig of verdacht.
Het FBI-advies vermeldt tientallen valse FIFA-domeinen, van verkeerd gespelde lookalikes tot valse FIFA-banenpagina’s, en waarschuwt dat er nog meer zullen komen. Andere onderzoekers hebben nog eens duizenden vergelijkbare sites en meer dan duizend nep-sociale accounts in kaart gebracht.
Ticketfraude is daar maar één onderdeel van. Group-IB vond ook winkels met namaakartikelen, nep-streamingsites die abonnementskosten vragen en vervolgens malware installeren die de controle aan de aanvaller overdraagt, en nep-goksites die paspoortscans en selfies verzamelen voor identiteitsdiefstal.
Bitdefender volgde afzonderlijk e-mails van de FIFA-loterij waarin uitbetalingen tot $ 2 miljoen werden beloofd. Group-IB signaleerde ook een ‘phishing-as-a-service’-markt die kant-en-klare oplichtingskits en bots voor het kopen van kaartjes verkoopt, dus het uitschakelen van één operator helpt nauwelijks.
De stukjes passen in elkaar: nepdomeinen vangen de zoekopdrachten naar tickets op, advertenties en zoekresultaten zorgen voor meer verkeer, dumpen van gestolen wachtwoorden en het overnemen van feed-accounts, en sideloaded apps veranderen het zoeken naar streams in bankfraude.
Banking-malware verborgen in streaming-apps
Voor fans die op zoek zijn naar gratis wedstrijdstreams schuilt het grootste gevaar aan de telefoon. ThreatFabric zag rond de recente Champions League-finale een piek in kwaadaardige, onofficiële streaming-apps, waarvan velen zich voordeden als de populaire RojaDirecta, en verwacht een herhaling op het WK op grotere schaal.
Kaspersky koppelde diezelfde apps aan Android-banktrojans, malware die werd gemaakt om geld uit bank- en crypto-apps te halen, en noemde twee families: Massiv en Perseus. Deze apps staan niet op Google Play, dus als u er één installeert, klikt u voorbij de waarschuwingen die deze normaal gesproken zouden blokkeren.
Eenmaal geïnstalleerd, gebruikt de malware de toegankelijkheidstools van Android om de telefoon over te nemen. Het kan nep-inlogschermen van banken over echte apps heen leggen, vastleggen wat de eigenaar typt, de eenmalige codes uit sms-berichten en inlog-apps onderscheppen die bedoeld zijn om accounts veilig te houden, en het scherm vanop afstand bedienen.
Perseus, gebouwd op de gelekte code van een ouder Trojaans paard genaamd Cerberus, leest zelfs notitie-apps voor opgeslagen wachtwoorden en crypto-herstelzinnen. De eenvoudigste rode vlag, zegt ThreatFabric, is een streaming-app die om toegankelijkheid vraagt. Er is geen eerlijke reden om het nodig te hebben.
Sociale oplichting, gestolen inloggegevens en risicovolle wifi
Sociale media zijn net zo vol met oplichting. Bitdefender vond meer dan 55 advertentiecampagnes met voetbalthema op Facebook en Instagram, waarbij nagemaakte kits, valse Panini-stickers en phishing-pagina’s werden gepromoot; twee van de goederenactiviteiten waren via hun advertentietrackingtags terug te voeren op Chinese operators.
Fortinet telde meer dan 1.700 vervalste FIFA-accounts, waarvan bijna 90% op Facebook en Instagram, plus een programma dat valse FIFA-vacatureadvertenties en agenda-uitnodigingen gebruikte om sollicitanten naar een vergelijkbare Google-login te sturen.
Gestolen FIFA-logins zijn al in omloop. Fortinet vond honderdduizenden logins van gebruikers, plus meer dan 4.600 FIFA-webadressen, in gegevens die werden verzameld door inloggegevens stelende malware zoals Vidar, LummaC2 en RedLine.
Wi-Fi in de gaststad is zijn eigen probleem. Uit een onderzoek van Kaspersky in Mexico-Stad, Monterrey en Guadalajara bleek dat 10% tot 12% van de netwerken open en zonder wachtwoord was, terwijl de WPS-koppelingsfunctie op bijna de helft nog steeds aan stond. Beide laten gemakkelijke openingen open voor malafide ‘evil twin’-hotspots die een echt netwerk kopiëren en stilletjes het verkeer lezen.
Waar u op moet letten
Deze oplichting laat duidelijke aanwijzingen achter. Koop alleen via fifa.com en typ het adres zelf in in plaats van een advertentie of zoekresultaat te vertrouwen. Schakel multi-factor login in en behandel elke verkoper die betaling in cryptocurrency wil als oplichterij, aangezien de FIFA-ticketing er nooit om vraagt.
Op Android is de duidelijkste rode vlag een streaming-app die om toegankelijkheid vraagt en waarvoor geen reden bestaat. Bij open Wi-Fi in de gaststeden moet u zich waar mogelijk beperken tot mobiele data en niet inloggen op bank- of e-mailaccounts.
Voor beveiligingsteams is de taak eenvoudig: let op nieuwe domeinen met FIFA-thema en op elkaar lijkende inlogpagina’s, markeer eventuele logins van personeel of klanten die verschijnen in de stealerlogboeken van Vidar, LummaC2 of RedLine, en bereid fraudeteams voor op ticket- en terugboekingspieken tot medio juli.
Meta zegt dat het ook reageert. Het laat nu waarschuwingspop-ups zien wanneer mensen op Facebook zoeken naar FIFA-tickets, en het werkt samen met Visa om een Facebook-netwerk neer te halen dat gelinkt is aan nep-WK-sites die nep-gokken aanmoedigen. De FBI vraagt iedereen die is opgelicht dit te melden bij IC3.
De grotere zorg is wat er nog wacht. Groep-IB telde ongeveer 3.800 frauduleuze FIFA-domeinen die geparkeerd en ongebruikt stonden, klaar om aan te zetten. Met kant-en-klare oplichtingskits en bots die al te koop zijn, is de drukke periode gemakkelijk te bellen: 11 juni tot 19 juli, wanneer het zoeken naar tickets, streams en reizen op zijn hoogtepunt zal zijn.
