(Adnkronos) –
A partire dall’11 giugno, la Coppa del Mondo Fifa 2026 riunirà tifosi, squadre, sponsor, broadcaster, operatori del settore hospitality e aziende in uno dei più grandi eventi sportivi del mondo, che rappresenta anche una significativa opportunità per i cybercriminali. I grandi eventi sportivi internazionali, infatti, generano forte attesa, attirano elevati volumi di ricerche online, suscitano intense emozioni e alimentano un numero considerevole di transazioni digitali. I tifosi sono alla ricerca di biglietti, offerte di viaggio, merchandising, streaming live, siti di scommesse, opportunità di lavoro e aggiornamenti sull’evento. Parallelamente, le organizzazioni sono impegnate nella gestione della logistica, del personale, degli spostamenti, dell’assistenza clienti, delle attività media e del coordinamento con soggetti terzi. Gli attori delle minacce hanno già previsto questi scenari e hanno iniziato a sfruttarli.
Una nuova ricerca di FortiGuard Labs rivela che l’infrastruttura cybercriminale collegata alla Coppa del Mondo Fifa 2026 è già operativa. Tra gennaio e maggio 2026 sono stati registrati oltre 13.000 nuovi domini a tema Fifa World Cup 2026. Circa l’8,8% di questi domini è stato identificato come malevolo o sospetto attraverso attività di analisi dei pattern e rilevazione di truffe. Questi numeri dimostrano che gli attori delle minacce non stanno aspettando la partita inaugurale: sono già all’opera.
Un panorama delle minacce in rapida espansione
La ricerca ha evidenziato un aumento significativo delle registrazioni di domini a tema Fifa tra marzo e maggio 2026, con numerosi domini che abusano del brand Fifa e incorporano termini collegati alla vendita di biglietti, ai servizi di streaming, alle piattaforme di scommesse e al settore hospitality. Sono stati creati centinaia di siti web fraudolenti sufficientemente credibili da conquistare la fiducia dei tifosi per quei pochi secondi cruciali durante la ricerca di biglietti, opzioni di rivendita, streaming delle partite, pacchetti di viaggio e merchandising ufficiale. Spesso quei pochi secondi sono tutto ciò di cui hanno bisogno.
Il report identifica diverse categorie principali di minacce a tema Fifa: Siti di phishing e false piattaforme di ticketing; Truffe legate alla rivendita di biglietti promosse tramite Telegram e altri canali; Falsi negozi online di merchandising; Applicazioni malevole per scommesse e streaming; Download di file APK (Android Package Kit) da fonti terze che comportano potenziali rischi malware; Account di impersonificazione sui social media; False offerte di lavoro e campagne di reclutamento fraudolente; Truffe in criptovalute e falsi airdrop; Esposizione di credenziali associata a stealer malware e da precedenti data breach. Questi risultati suggeriscono la nascita di un ampio ecosistema cybercriminale costruito attorno al torneo. La minaccia va ben oltre una singola tipologia di truffa, piattaforma o categoria di vittime.
I falsi siti di ticketing restano tra le esche più rischiose
Le truffe legate ai biglietti rappresentano una delle minacce più visibili perché sfruttano il principio della scarsità. I tifosi che non riescono ad acquistare i biglietti attraverso i canali ufficiali si rivolgono spesso a siti di rivendita, gruppi social, canali Telegram, annunci nei motori di ricerca o marketplace peer-to-peer. Gli attaccanti sfruttano questa urgenza promuovendo falsi sconti a tempo limitato per spingere le vittime a prendere decisioni rapide.
FortiGuard Labs ha individuato numerosi siti di ticketing contraffatti che imitavano le pagine ufficiali della Fifa e raccoglievano informazioni personali, credenziali di accesso, dati di fatturazione e informazioni di pagamento. In un caso specifico, un dominio registrato nel maggio 2026 replicava contenuti FIFA e utilizzava un falso processo di checkout per sottrarre informazioni sensibili alle vittime.
Il report documenta inoltre truffe sui biglietti pubblicizzate su forum underground e canali Telegram. Alcune campagne combinavano biglietti fraudolenti per le partite con falsi pacchetti comprendenti voli e hotel, al fine di rendere le offerte più complete e credibili. Queste truffe funzionano perché anticipano il comportamento tipico dei tifosi. Chi sta cercando di acquistare un biglietto non ragiona come un analista di sicurezza: il suo obiettivo è assicurarsi un posto prima che sparisca.
L’impersonificazione sui social media amplia la superficie di attacco
FortiGuard Labs ha identificato oltre 1.700 account e canali sospetti collegati alla Fifa su piattaforme social e di messaggistica. Quasi il 90% dei casi è stato rilevato su Facebook e Instagram. Questi account possono essere utilizzati per promuovere false offerte, truffe sui biglietti, link fraudolenti a live stream, campagne di phishing, disinformazione e distribuzione di malware. Inoltre, rappresentano per gli attaccanti un metodo economico per contattare direttamente i tifosi, che spesso discutono online di squadre, partite, viaggi e disponibilità di biglietti.
Le truffe sui social media risultano particolarmente convincenti perché si inseriscono spesso all’interno di conversazioni legittime. Un falso venditore di biglietti in un gruppo di tifosi, un link a uno streaming condiviso poco prima di una partita o un account che utilizza il branding FIFA possono apparire sufficientemente credibili da indurre l’utente a cliccare.
Anche il malware fa parte del panorama delle minacce legate al torneo
Il report evidenzia la presenza di applicazioni malevole collegate ad attività associate alla Coppa del Mondo. Un eseguibile identificato come “1xbet.exe” mostra caratteristiche riconducibili a meccanismi di persistenza, comunicazioni cifrate e possibili comportamenti tipici del ransomware. FortiGuard Labs ha inoltre individuato file APK sospetti a tema Fifa distribuiti tramite siti di download di terze parti.
Si tratta di un aspetto particolarmente rilevante perché i grandi eventi sportivi aumentano spesso la domanda di applicazioni per scommesse, strumenti di live streaming, tracker dei risultati e app promozionali. Gli attaccanti sfruttano questa domanda distribuendo software falsi o trojanizzati che sembrano legittimi.
L’installazione di applicazioni provenienti da fonti non ufficiali può esporre i dispositivi a spyware, furto di credenziali, strumenti di accesso remoto e altre forme di malware. Il rischio aumenta ulteriormente quando gli utenti ignorano gli avvisi di sicurezza pur di accedere a streaming, promozioni o piattaforme di scommesse.
Le false offerte di lavoro prendono di mira chi cerca opportunità
La Coppa del Mondo genera inoltre una forte domanda di lavoratori temporanei, contractor, personale per l’hospitality, addetti alla logistica, supporto media e altre figure professionali specifiche per l’evento. Questa domanda rappresenta un ulteriore bersaglio per gli attaccanti.
FortiGuard Labs ha identificato, ad esempio, uno schema di furto di credenziali che utilizzava false offerte di lavoro collegate alla Fifae annunci di reclutamento apparentemente associati agli sponsor. Gli attaccanti inviavano inviti tramite calendario e indirizzavano le vittime verso siti di phishing contenenti una falsa pagina di accesso Google. Dopo l’inserimento delle credenziali, la vittima riceveva un messaggio di errore generico, mentre gli attaccanti acquisivano le informazioni inserite.
Diversi domini che impersonavano FIFA, sponsor e organizzazioni affiliate condividevano lo stesso identificativo di monitoraggio Google Analytics, suggerendo una campagna coordinata. Il processo di furto delle credenziali utilizzava API ospitate sulla piattaforma Render, dimostrando come gli attaccanti possano sfruttare servizi cloud legittimi per distribuire infrastrutture malevole in modo più semplice e rendere più difficile distinguerle dal normale traffico web.
L’esposizione delle credenziali aumenta ulteriormente il rischio
Il report ha inoltre individuato prove di attività correlate alla Fifa all’interno della telemetria proveniente dagli stealer malware. FortiGuard Labs ha rilevato oltre 4.600 URL associati alla Fifa presenti nei log degli stealer, collegati a famiglie malware come Vidar, LummaC2 e RedLine.
La ricerca ha inoltre individuato oltre 260 credenziali appartenenti a dipendenti FIFA e più di 270.000 credenziali relative a utenti e tifosi che avevano visitato siti collegati alla Fifa, rinvenute in dati di stealer log basati su delimitatori. In aggiunta, FortiGuard Labs ha identificato oltre 1.500 record relativi ad account di dipendenti Fifa e organizzazioni collegate all’interno di dataset derivanti da precedenti violazioni.
Ciò non significa necessariamente che tutti gli account esposti siano ancora attivi o attualmente sfruttati. Tuttavia, gli attori delle minacce dispongono ora di dati che potrebbero facilitare attacchi di credential stuffing, compromissione degli account, phishing mirato, impersonificazione e frodi. Durante eventi globali ad alta visibilità, anche credenziali obsolete possono essere sfruttate se combinate con nuove tecniche di social engineering ed esche contestuali.
Cosa fare fin da ora
Il panorama delle minacce associato alla Coppa del Mondo Fifa 2026 ricorda che gli eventi di grande rilevanza generano rischi cyber molto prima del loro inizio. Di conseguenza, le organizzazioni che operano nei settori sportivo, turistico, hospitality, media, retail, finanziario, governativo, dei trasporti e delle infrastrutture critiche devono avviare tempestivamente le proprie attività di preparazione difensiva.
I team di sicurezza dovrebbero monitorare domini lookalike, fenomeni di impersonificazione del brand, annunci malevoli, falsi profili social e fughe di credenziali che coinvolgano dipendenti, partner e clienti. È inoltre necessario valutare e rafforzare le protezioni contro phishing, malware, furto di credenziali e compromissione degli account.
La formazione degli utenti riveste un ruolo fondamentale. Tifosi e dipendenti dovrebbero essere incoraggiati a utilizzare esclusivamente canali ufficiali per l’acquisto dei biglietti, evitare APK provenienti da fonti terze, prestare attenzione ai link per gli streaming live, verificare le offerte di lavoro sui siti ufficiali e diffidare di richieste di pagamento urgenti o sospette.
Per i difensori, la lezione più importante è semplice: gli attaccanti sfruttano l’attenzione. Con la Coppa del Mondo FIFA 2026 destinata ad attirare l’interesse globale, i cybercriminali stanno già predisponendo l’infrastruttura necessaria per trarne vantaggio. È quindi essenziale prepararsi di conseguenza.
—
sport
webinfo@adnkronos.com (Web Info)
