Siber güvenlik firması Group-IB'nin yeni raporuna göre, geçen ağustos ayından bu yana FIFA'nın resmi web sitesini taklit eden 4300'den fazla sahte alan adı kaydedildi. Bu faaliyet, 2026 FIFA Dünya Kupası hayranlarını hedef alan büyük çaplı bir dolandırıcılık operasyonunun parçası. Raporda, altı farklı dolandırıcılık türü ve dört bağımsız tehdit aktörünün aynı anda aynı etkinliği hedeflediği belirtiliyor. Alan adlarının çoğu şu an için pasif durumda, ancak turnuva yaklaştıkça aktif hale gelmeleri bekleniyor. Benzer bir sahte site dalgası, 2022 Katar Dünya Kupası öncesinde de tespit edilmişti.
Operasyonun merkezinde, Group-IB'nin 'Ghost Stadium' (Hayalet Stadyum) olarak izlediği bir tehdit aktörü yer alıyor. Çin kökenli olduğu ve kâr amacı güttüğü belirtilen bu aktör, FIFA'nın resmi sitesi fifa.com'u neredeyse birebir kopyalayan 300'den fazla kimlik avı (phishing) alan adı işletiyor. Sahte siteler, FIFA logoları ve ürün görsellerini resmi içerik ağlarından çekerek otantik görünüyor ve görsel eşleştirme tabanlı tespitleri atlatıyor. Ayrıca, kaynak kodunda bulunan Çince notlar ve 11 dil seçeneği (üç Çince varyantı dahil) araştırmacıları Çin kökenli bir geliştiriciye yönlendiriyor. Ghost Stadium, kampanyasını ağırlıklı olarak Facebook reklamları aracılığıyla yürütüyor; aynı Meta takip kodları yüzlerce alan adını aynı reklam hesaplarına bağlıyor.
Ghost Stadium dışında üç tehdit aktörü daha tespit edildi: toplu alan adı işgalcileri, hazır kimlik avı kitleri satan 'phishing-as-a-service' (PhaaS) tedarikçileri ve kimlik bilgisi hırsızlığı için geniş çaplı bilgi çalıcı (infostealer) kampanyaları. Vidar ve Lumma gibi bilgi çalıcı ailelerinin hakim olduğu bu kampanyalarda, şu ana kadar yaklaşık 2500 FIFA giriş bilgisi çalınarak karanlık ağ pazarlarında satışa sunuldu. Dolandırıcılık gelirleri, kripto para gibi geri alınamaz kanallar aracılığıyla temizleniyor. Group-IB, yalnızca premium ve hospitality bilet dolandırıcılığının 71 milyon ila 474 milyon dolar arasında kayba yol açabileceğini, tüm kampanyanın ise milyarlarca doları bulabileceğini tahmin ediyor.
Nasıl Önlem Alınmalı?
Uzmanlar, taraftarları yalnızca fifa.com üzerinden bilet almaya, kripto para talep eden teklifleri dolandırıcılık olarak değerlendirmeye ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeye çağırıyor. Marka koruma ve siber güvenlik ekiplerine ise pasif alan adlarını izleme ve site bazlı değil, kayıt şirketi düzeyinde kaldırma işlemi yapma önerisinde bulunuyor.