FIFA 2026 Dünya Kupası'na aylar kala, siber güvenlik firması Group-IB, taraftarları hedef alan dev bir dolandırıcılık ağı ortaya çıkardı. Geçtiğimiz Ağustos ayından bu yana 4.300'den fazla sahte domain kaydedildi. Bu domainler, FIFA'nın resmi web sitesini birebir taklit ederek kullanıcıların kişisel ve finansal bilgilerini çalmayı amaçlıyor. Group-IB analizine göre, operasyon altı farklı dolandırıcılık şeması ve dört bağımsız tehdit aktörü tarafından yürütülüyor. Domainlerin çoğu şu an için pasif durumda, ancak turnuva yaklaştıkça aktif hale gelmeleri bekleniyor.
Operasyonun merkezinde, Group-IB'in Ghost Stadium olarak takip ettiği bir tehdit aktörü bulunuyor. Çin kökenli olduğu düşünülen ve kâr odaklı çalışan bu grup, 300'den fazla phishing domaini yönetiyor. Bu domainler, fifa.com'un neredeyse kusursuz bir kopyasını sunuyor. Hatta FIFA'nın PingIdentity tek oturum açma (SSO) akışını bile taklit ediyor. Sahte sayfalar, FIFA'nın resmi içerik ağından logo ve ürün görselleri çekerek hem otantik görünüyor hem de görsel eşleştirme tabanlı tespitleri atlatıyor. Kaynak kodunda bulunan Çince notlar ve 11 dil desteği (3 Çince varyantı dahil), araştırmacıları Çinli bir geliştiriciye yönlendirdi.
Ghost Stadium'ın ana dağıtım kanalı ise Facebook reklamları. Paylaşılan Meta takip kodları sayesinde yüzlerce domain aynı reklam hesaplarına bağlanıyor. Diğer tehdit aktörleri arasında toplu domain iskâncıları, phishing-as-a-service (PhaaS) tedarikçileri ve Vidar ile Lumma infostealer ailelerini kullanan geniş çaplı bilgi çalma kampanyaları yer alıyor. Bu kampanyalar şimdiden 2.500 FIFA giriş bilgisini ele geçirerek dark web pazarlarında satışa sundu. Group-IB, sadece premium ve hospitality bilet dolandırıcılığının 71 milyon dolar ile 474 milyon dolar arasında zarara yol açabileceğini, tüm kampanyanın maliyetinin ise milyarları bulabileceğini tahmin ediyor.
Uzmanlar, taraftarların yalnızca fifa.com üzerinden bilet almalarını, kripto para talep eden tekliflere şüpheyle yaklaşmalarını ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmelerini öneriyor. Marka koruma ve dolandırıcılık ekipleri için ise pasif domainlerin aktivasyon belirtilerini izlemek ve tek tek kovalamak yerine kayıt şirketi düzeyinde kapatma işlemleri yapmak kritik önem taşıyor.