Geçtiğimiz Ağustos ayından bu yana, FIFA'nın resmi web varlığını taklit eden 4300'den fazla sahte alan adı tescil edildi ve bu, doğrudan 2026 FIFA Dünya Kupası hayranlarını hedef alan bir dolandırıcılık operasyonu oluşturdu.
Group-IB'nin yeni analizine göre, faaliyet altı dolandırıcılık planını ve aynı olayda aynı anda çalışan dört bağımsız tehdit aktörünü kapsıyor.
Alan adlarının çoğu hareketsiz durumda ve başlangıç yaklaştıkça açılmaya hazır durumda. Firma, 2022 Katar Dünya Kupası öncesinde dolandırıcılık sitelerinde benzer bir artış olduğunu belirtti.
Sonuç ve Değerlendirme
Klonlanmış Site Facebook Reklamları Aracılığıyla Aktarıldı
Operasyonun merkezinde şirketin Çince konuşan ve kâr amaçlı olarak tanımladığı Hayalet Stadyum olarak takip ettiği bir aktör var. Fifa.com'u neredeyse kusursuz bir kopya olarak yeniden üreten, sitenin PingIdentity tek oturum açma (SSO) akışına kadar tek bir kit üzerinde oluşturulmuş 300'den fazla kimlik avı alanını çalıştırıyor.
Önemli Gelişmeler
Sayfalar, FIFA logolarını ve ürün görsellerini markanın resmi içerik ağından alıyor, böylece görsel eşleştirme tespitinden kaçınırken orijinal görünmelerini sağlıyor.
Kaynak kodunda bırakılan Çince notlar ve üç Çince varyant da dahil olmak üzere 11 dil arasında geçiş yapan bir arayüz, araştırmacıları Çince konuşan bir geliştiriciye yönlendirdi.
Teknik Analiz
Ücretli Facebook reklamları kampanyanın ana motorudur ve paylaşılan Meta izleme kodları yüzlerce alanı aynı reklam hesaplarına bağlar.
Daha Geniş Bir Dolandırıcılık Ekonomisi
Detaylar ve Etkileri
Hayalet Stadyum, Group-IB'nin belirlediği dört operatörden biridir. Diğerleri arasında toplu alan adı işgalcisi, hazır kitler satan bir hizmet olarak kimlik avı (PhaaS) tedarik zinciri ve kimlik bilgisi hırsızlığı için oluşturulmuş geniş bilgi hırsızlığı kampanyaları yer alıyor.
Sistem Güvenliği
Vidar ve Lumma bilgi hırsızı ailelerinin hakim olduğu bu enfeksiyonlar, şu anda karanlık ağ pazarlarında işlem gören yaklaşık 2500 FIFA girişini silip süpürdü.
Kimlik bilgisi hırsızlığını körükleyen bilgi hırsızları hakkında daha fazlasını okuyun: Lumma Stealer Vakumu Yükseltilmiş Vidar 2.0 Infostealer ile Dolduruldu
Para, toparlanmanın ötesinde fonları yerleştiren bir kripto para birimi de dahil olmak üzere çeşitli kanallardan geçiyor.
Gelecekte Ne Bekleniyor?
Group-IB, prim ve konaklama bileti dolandırıcılığının mağdurlara 71 milyon ila 474 milyon dolar arasında bir maliyete neden olabileceğini tahmin ediyor ve kampanyanın tamamındaki kayıpların milyarlara ulaşabileceği konusunda uyarıyor.
Taraftarlar için en güvenli yol, yalnızca fifa.com üzerinden satın almak, kripto para birimi gerektiren herhangi bir bilet teklifini dolandırıcılık olarak değerlendirmek ve telaş başlamadan çok faktörlü kimlik doğrulamayı (MFA) açmaktır.
Uzmanların Görüşleri
Marka koruma ve dolandırıcılık ekipleri için firma, siteleri tek tek takip etmek yerine, aktif olmayan alan adlarını etkinleştirme işaretleri açısından izlemenizi ve kayıt şirketi düzeyinde yayından kaldırma işlemlerini takip etmenizi tavsiye ediyor.