La Coppa del Mondo FIFA 2026 deve ancora prendere il via, ma sul fronte della cybersicurezza la partita è già cominciata. Secondo una ricerca di FortiGuard Labs, il laboratorio di threat intelligence di Fortinet, gli attori malevoli stanno sfruttando l’interesse crescente per il torneo per mettere in campo campagne fraudolente finalizzate al furto di dati, credenziali e informazioni finanziarie.
Indice degli argomenti
Oltre 13mila domini a tema FIFA già online
L’analisi rileva che tra gennaio e maggio 2026 sono stati registrati oltre 13mila nuovi domini collegati alla FIFA World Cup 2026. Di questi, circa l’8,8% è stato classificato come malevolo o sospetto sulla base delle attività di rilevamento delle truffe e dell’analisi dei pattern di comportamento.
Si tratta di un dato che conferma come i cybercriminali abbiano iniziato da tempo a preparare le proprie infrastrutture, sfruttando l’enorme attenzione che accompagna uno degli eventi sportivi più seguiti a livello globale. L’interesse per biglietti, viaggi, streaming, merchandising e offerte di lavoro crea infatti un contesto ideale per attirare utenti e organizzazioni verso siti e servizi fraudolenti.
Crescono phishing e piattaforme di ticketing contraffatte
Tra le minacce individuate da FortiGuard Labs figurano siti di phishing, false piattaforme di vendita e rivendita di biglietti, negozi online fasulli, applicazioni malevole dedicate a scommesse e streaming, campagne di reclutamento fraudolente e truffe basate su criptovalute.
Particolarmente rilevante il fenomeno dei siti che imitano le pagine ufficiali della FIFA. Gli esperti hanno individuato diversi portali in grado di replicare l’aspetto dei canali autentici e progettati per raccogliere credenziali di accesso, dati personali e informazioni di pagamento. In alcuni casi i domini utilizzavano persino falsi processi di checkout per acquisire informazioni sensibili dagli utenti.
Secondo il report, queste campagne fanno leva sull’urgenza tipica della ricerca di un biglietto per un grande evento sportivo. La pressione ad acquistare rapidamente aumenta infatti la probabilità che gli utenti trascurino i controlli di sicurezza.
Social network terreno fertile per le attività criminali
L’indagine ha inoltre identificato oltre 1.700 account e canali sospetti riconducibili all’universo FIFA su piattaforme social e di messaggistica. Quasi il 90% dei casi è stato rilevato su Facebook e Instagram.
Questi profili vengono utilizzati per diffondere offerte ingannevoli, promuovere falsi servizi di streaming, veicolare campagne di phishing e distribuire malware. La loro efficacia deriva dalla capacità di inserirsi all’interno di conversazioni reali tra tifosi, rendendo più difficile distinguere contenuti legittimi da attività fraudolente.
Malware e applicazioni fasulle sfruttano la domanda di streaming e scommesse
La ricerca mette in evidenza anche la presenza di software dannosi collegati al torneo. Tra i casi documentati compare un eseguibile denominato “1xbet.exe”, caratterizzato da funzionalità compatibili con meccanismi di persistenza, comunicazioni cifrate e comportamenti tipici del ransomware. Gli analisti hanno inoltre rilevato file Apk sospetti distribuiti attraverso siti di download di terze parti.
L’interesse per applicazioni dedicate alle scommesse sportive, al live streaming e al monitoraggio dei risultati rappresenta infatti un’opportunità per gli attaccanti, che possono distribuire software trojanizzati apparentemente legittimi. Una volta installati, questi programmi possono favorire attività di spionaggio, furto di credenziali e accesso remoto ai dispositivi.
Nel mirino anche chi cerca lavoro per l’evento
Un ulteriore vettore di attacco riguarda il mercato del lavoro. La necessità di personale temporaneo nei settori hospitality, logistica, media e supporto operativo viene sfruttata attraverso false campagne di recruiting.
FortiGuard Labs ha individuato schemi di furto di credenziali basati su annunci apparentemente collegati alla FIFA o ai suoi sponsor. Le vittime venivano indirizzate verso pagine di accesso Google contraffatte, con l’obiettivo di acquisire username e password. In alcuni casi, domini differenti condividevano lo stesso identificativo Google Analytics, elemento che suggerisce l’esistenza di operazioni coordinate.
Credenziali esposte e rischio di compromissione degli account
L’analisi evidenzia inoltre un significativo patrimonio informativo già disponibile agli attori delle minacce. I ricercatori hanno rilevato oltre 4.600 Url associati alla FIFA all’interno dei log raccolti da malware specializzati nel furto di informazioni, oltre a centinaia di credenziali riconducibili a dipendenti FIFA e più di 270mila credenziali relative a utenti e tifosi che avevano visitato siti collegati all’organizzazione.
A questo si aggiungono oltre 1.500 record relativi a dipendenti FIFA e organizzazioni collegate emersi da precedenti violazioni di dati. Sebbene ciò non implichi necessariamente che gli account siano ancora utilizzabili, queste informazioni possono alimentare campagne di credential stuffing, phishing mirato, impersonificazione e frodi digitali.
La preparazione alla sicurezza parte prima del fischio d’inizio
Per FortiGuard Labs il principale insegnamento è che gli eventi globali di grande richiamo generano rischi cyber molto prima della loro apertura ufficiale. Le organizzazioni coinvolte nei settori sportivo, turistico, alberghiero, media, retail, finanziario, governativo e infrastrutturale sono chiamate a rafforzare fin da subito le proprie misure di protezione.
Il monitoraggio dei domini sospetti, delle attività di impersonificazione del brand, dei falsi profili social e delle fughe di credenziali rappresenta uno degli elementi chiave della strategia difensiva. Parallelamente, la sensibilizzazione degli utenti rimane fondamentale per limitare l’efficacia delle campagne che fanno leva sull’attenzione e sull’entusiasmo generati da uno degli appuntamenti sportivi più attesi al mondo.
