Het FIFA Wereldkampioenschap voetbal 2026 ging op 11 juni van start. Volgens Check Point Research was de fraude-infrastructuur die zich daarop richtte op die datum al gebouwd, geënsceneerd en gedeeltelijk ingezet. De activiteit van bedreigingsactoren was vooraf gepland, maanden van tevoren, in drie sectoren en in ten minste tien talen.
Check Point Exposure Management publiceerde deze maand het FIFA World Cup 2026 Cyber Threat Report, waarin financiële diensten, transport, horeca en gokken aan bod komen. Hier zijn drie bevindingen die de moeite waard zijn om aandachtig te lezen.
1 op de 3 FIFA-partners kan nabootsing van e-mail niet blokkeren
Uit pre-toernooionderzoek door Proofpoint is gebleken dat meer dan een derde van de officiële FIFA World Cup 2026-partners onvoldoende DMARC-handhaving heeft om domeinspoofing te voorkomen. Dat betekent dat aanvallers een e-mail kunnen sturen die afkomstig lijkt te zijn van een sponsor, een leverancier of een logistieke partner, zonder dat er technische barrières zijn die dit tegenhouden.
De toeleveringsketen van het WK is enorm. Luchtvaartmaatschappijen, hotels, uitzendpartners, merchandise-aannemers en cateringbedrijven. Elke inkoop-e-mail die door die keten reist, is een potentieel onderscheppingspunt. Hoge transactievolumes, strakke deadlines en de operationele chaos van een mondiale gebeurtenis creëren precies de omstandigheden die de nauwkeurigheid van de betalingsverificatie onderdrukken.
Het aanvalsoppervlakbeheer en de digitale merkbeschermingsmogelijkheden van Check Point zijn gebouwd voor dit soort externe blootstelling, waarbij partnerecosystemen voortdurend worden gecontroleerd op authenticatielacunes en imitatie-infrastructuur voordat aanvallers deze kunnen gebruiken.
Valse Sportsbook-apps stegen 60x boven de basislijn
Uit een gecontroleerde vergelijking tussen acht grote sportsbook-merken, die 60 dagen in 2025 en 2026 besloeg met behulp van identieke methodologie, werden nul imitator-app-detecties gevonden in de niet-toernooibasislijn. In de pre-toernooiperiode waren er 64. Dat is ruwweg 60 maal het basispercentage, geconcentreerd in april en mei 2026, en geconcentreerd op Google Play.
Ten minste vijf verschillende ontwikkelaarsaccounts publiceerden binnen enkele uren of dagen na elkaar apps die twee of meer verschillende sportsbook-merken spoofden. Dit is een gecoördineerde operatie met meerdere merken, getimed tot activering van het toernooi.
Het aanvalsoppervlak reikt hier veel verder dan de appstores. Check Point Exposure Management identificeerde ook actieve Russischtalige Telegram-kanalen die fungeerden als valse tipsterdiensten, waarbij volgers via verwijzingslinks werden geleid om partnercommissies te genereren voor frauduleuze stortingen. De kanalen verdelen hun keuzes over het publiek, zodat ongeveer de helft van de abonnees altijd genoeg ‘wint’ om te blijven storten. Het sportsbook betaalt de aangesloten commissie over elke conversie.
De dark web-monitoring van Check Point bestrijkt Telegram-kanalen op deze diepte, waardoor beveiligings- en fraudeteams inzicht krijgen in de activiteiten voordat de inhoud van het toernooivenster volledig wordt geactiveerd.
Het nephotel en de reissites zijn twee maanden voor de aftrap gebouwd
Check Point Exposure Management hield van november 2025 tot en met mei 2026 maandelijkse registraties bij van lookalike domeinen met FIFA-thema, gericht op reis- en horecadiensten. Alleen al april 2026 was goed voor 21,9% van de gehele steekproef van twaalf maanden, acht weken voor de aftrap. Maart en april vertegenwoordigen samen 34%.
Hotel- en accommodatiemerken zijn goed voor 56% van het totaal. Reis- en tourmerken zijn goed voor nog eens 27%. De sites zijn gebouwd om fans te onderscheppen op het moment van aankoop, wanneer de urgentie het hoogst is en de verificatiegewoonten het zwakst zijn.
Een klein aantal registrars beheert het grootste deel van de infrastructuur. GoDaddy, Hostinger, Namecheap, Porkbun en IONOS hosten samen 56% van de frauduleuze domeinen. Een interessante bevinding die het vermelden waard is, is dat .top TLD verantwoordelijk is voor 28% van de registraties. .top is een door phishing geprefereerde generieke TLD met lage drempels voor misbruikreacties en goedkope registratiekosten. Actoren die een infrastructuur willen die overeind blijft, kiezen daar bewust voor.
Voor een subset van de domeinen zijn ook MX-records geconfigureerd. Dat betekent dat ze e-mail kunnen ontvangen, imitatie van antwoordpaden kunnen uitvoeren en wachtwoordherstelstromen van slachtofferaccounts kunnen onderscheppen. Dit zijn actieve phishing-infrastructuren, geregistreerd en geënsceneerd voordat het toernooi begon.
De phishing- en merkbeschermingsmogelijkheden van Check Point houden voortdurend toezicht op dit soort vooraf gepositioneerde infrastructuur, met een slagingspercentage van 99% en een gemiddelde hersteltijd van 12 uur. Voor organisaties waarvan de merken voorafgaand aan een mondiale gebeurtenis op grote schaal worden gekloond, zijn detectiesnelheid en herstelsnelheid de enige variabelen die er toe doen.
Wat dit betekent
Beveiligingsteams die organisaties in de financiële, reis-, horeca- of goksector ondersteunen, moeten de huidige periode als hoog beschouwen, niet omdat het dreigingslandschap veranderde tijdens de openingswedstrijd, maar omdat de dreigingsactoren al waren gepositioneerd voordat deze begon.
Lees het volledige FIFA World Cup 2026 Cyber Threat Report of neem contact op met Check Point Exposure Management als u een escalatie waarneemt.
