A sei giorni dal calcio d'inizio del Mondiale FIFA 2026 (11 giugno), l'ecosistema criminale costruito attorno al torneo ha già raggiunto dimensioni industriali. Group-IB ha tracciato oltre 4.300 domini fraudolenti dal settembre 2025, con 300 attivi e 3.800 parcheggiati. Parallelamente, FortiGuard Labs di Fortinet ha monitorato più di 13.000 domini a tema World Cup registrati tra gennaio e maggio 2026, con circa l'8,8% classificato come malevolo o sospetto. Questo articolo si basa sulla sintesi giornalistica di The Hacker News di ricerche multiple; i numeri provengono da vendor diversi con metodologie non omogenee.
- Group-IB: 4.300+ domini FIFA fraudolenti dal settembre 2025; 300+ attivi con kit phishing React/Layui, 3.800 dormienti
- GHOST STADIUM replica il flusso SSO PingIdentity di fifa.com usando il vero client_id dal sito live, con scope di reset password
- Fortinet: 260 credenziali dipendenti FIFA e oltre 270.000 credenziali utente da siti correlati al torneo nei log di infostealer; Group-IB: 2.513 coppie fifa.com/fifa.org sui mercati dark web
- ThreatFabric: trojan bancari Android (Massiv, Perseus) in app streaming false che sfruttano i servizi di accessibilità
- Stime Group-IB: 71-474 milioni di dollari di potenziale frode su ticket premium; l'intera campagna potrebbe raggiungere cifre miliardarie. Sono stime basate su infrastruttura osservabile, non perdite confermate
Il kit che inganna anche gli strumenti di sicurezza
La sofisticazione tecnica di GHOST STADIUM sta nella fedeltà del clone. I ricercatori di Group-IB hanno analizzato un kit phishing basato su React e sul framework Layui 2.7.6 — libreria open-source cinese — che duplica il flusso di autenticazione single sign-on di fifa.com gestito da PingIdentity. Il kit utilizza il vero client_id prelevato dal sito live, replicando redirect e parametri OAuth.
Il campo scope include _p1:reset:userPassword_, che permette di forzare il reset della password subito dopo il furto delle credenziali, bloccando l'accesso all'utente legittimo. Il kit supporta undici lingue più tre varianti cinese (semplificato, tradizionale, Hong Kong), con rilevamento automatico della lingua del browser.
Le immagini dei prodotti — biglietti, hospitality package, merchandise — non vengono hostate su server compromessi, ma caricate direttamente dalla CDN ufficiale di FIFA. Questo bypassa i filtri basati su similarità d'immagine. Il footer della pagina falsificata punta ai veri account social di FIFA; è incorporato il widget Google Translate. Come riporta The Hacker News sintetizzando i dati Group-IB: "The fake is good. The page is a near-perfect copy of fifa.com".
Fortinet: 13.000 domini, 1.700 account social e credenziali in circolazione
La ricerca FortiGuard Labs fornisce la misura della proliferazione globale: oltre 13.000 domini a tema World Cup registrati tra gennaio e maggio 2026, con circa l'8,8% — oltre 1.100 — attivi per phishing, malware o traffico fraudolento. Questo conteggio è distinto e non sovrapposto a quello di Group-IB: periodi di osservazione e metodologie differiscono.
Fortinet ha identificato più di 1.700 account social media a tema FIFA, quasi il 90% su Facebook e Instagram, usati per indirizzare traffico verso pagine di phishing o vendere biglietti contraffatti.
I log di infostealer analizzati da Fortinet contengono 260 credenziali di dipendenti FIFA e oltre 270.000 credenziali di utenti di siti correlati al torneo. Group-IB, con monitoraggio dedicato ai mercati dark web, ne ha isolate 2.513 coppie relative esplicitamente a fifa.com o fifa.org. I malware coinvolti — Vidar, LummaC2, RedLine — sono commodity infostealer diffusi tramite phishing e download drive-by.
"Group-IB puts the losses from premium and hospitality ticket fraud alone at $71 million to $474 million, and says the whole campaign could add up to billions. Those are estimates based on the infrastructure it can see, not confirmed losses."
Banking trojan nelle app streaming: l'inganno del tifoso disperato
ThreatFabric ha documentato un picco di app streaming non ufficiali — molte impersonanti RojaDirecta — diffuse nei giorni della finale di Champions League, pattern atteso anche per il Mondiale. Queste app distribuiscono trojan bancari Android, in particolare Massiv e Perseus. Quest'ultimo è costruito su codice Cerberus trafugato in leak pubblici.
Il meccanismo sfrutta i servizi di accessibilità di Android. Una volta concessi i permessi — spesso richiesti sotto falsa etichetta — il trojan può sovrapporre schermate di login bancario false, registrare digitazioni, intercettare SMS e codici 2FA, leggere note con password e recuperare seed phrase di wallet crypto.
Come sottolinea The Hacker News citando ThreatFabric: "The simplest red flag... is a streaming app asking for accessibility access. It has no honest reason to need it."
Cosa cambia
Il brief non specifica misure preventive aggiuntive da parte di FIFA o delle nazioni ospitanti. Tuttavia, i dati raccolti dai vendor indicano alcuni punti di frizione strutturali nel panorama difensivo attuale.
Collin Hogue-Spears di Black Duck, citato da Security Magazine, ha rilevato che oltre un terzo dei sponsor e fornitori ufficiali FIFA non ha record DMARC sui propri domini di posta. Questo consente lo spoofing di identità aziendali credibili senza compromissione di server.
Anne Cutler di Keeper Security, sempre via Security Magazine, ha osservato: "The old advice about looking for bad spelling and awkward phrasing is obsolete." La qualità visiva dei clone GHOST STADIUM conferma questa diagnosi: l'errore ortografico non è più indicatore affidabile.
Kaspersky ha rilevato che il 10-12% delle reti Wi-Fi nelle città ospiti messicane (Città del Messico, Monterrey, Guadalajara) è aperto e senza password, con WPS pairing abilitato su circa la metà. Questo espone a attacchi evil twin in aree ad alta affluenza di tifosi.
Meta ora mostra avvisi pop-up per ricerche di ticket FIFA su Facebook e ha collaborato con Visa a rimuovere una rete legata a siti di gioco d'azzardo falsi. L'FBI ha emesso un advisory elencando decine di domini FIFA falsi e indirizza le segnalazioni a IC3.
Il quadro d'insieme
Il dato che distingue questo ciclo di frodi è la pre-posizione: 3.800 domini dormienti pronti per l'attivazione nel momento di picco di domanda. GHOST STADIUM opera con undici lingue e tre varianti cinese, indicando targeting ampio anche se la distribuzione geografica precisa delle vittime non è documentata.
Le stime finanziarie di Group-IB — 71-474 milioni su ticket premium, potenzialmente miliardi per l'intera campagna — restano stime basate su infrastruttura osservabile, non perdite confermate. Non è noto se domini specifici abbiano già generato frodi verificate con vittime identificate.
Il torneo entrerà nel vivo tra pochi giorni. L'ecosistema criminale documentato da Group-IB, Fortinet, ThreatFabric e Bitdefender è già operativo; la domanda è quale porzione dell'infrastruttura parcheggiata verrà attivata, e con quale rapidità le difese — quelle esistenti — riusciranno a scalare.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/fifa-world-cup-2026-scams-are-already.html
- https://www.group-ib.com/blog/ghost-stadium-football-fraud/
- https://www.securitymagazine.com/articles/102341-security-experts-discuss-threats-to-fifa-world-cup-2026
- https://www.welivesecurity.com/en/cybersecurity/foul-play-fake-fifa-world-cup-websites-tickets/
- https://www.welivesecurity.com/en/eset-research/fake-call-logs-real-payments-how-callphantom-tricks-android-users/
- https://www.darkreading.com/cyberattacks-data-breaches/drivesurge-hijacks-thousands-sites-clickfix-fakeupdate-attacks
- https://support.google.com/googleplay/android-developer/answer/10281818?hl=en
- https://support.google.com/googleplay/answer/15574897?hl=en
- https://support.google.com/googleplay/answer/7018481
- https://www.eset.com/int/business/services/threat-intelligence/?utm\_source=welivesecurity.com&utm\_medium=referral&utm\_campaign=wls-research&utm\_content=fake-call-logs-real-payments-how-callphantom-tricks-android-users&sfdccampaignid=7011n0000017htTAAQ
- https://www.welivesecurity.com/2022/05/12/10-reasons-why-we-fall-scams/