Peste 13.000 de domenii cu temă FIFA au fost înregistrate ȋn 2026, iar aproximativ 10% dintre acestea au fost identificate drept malițioase sau suspecte, potrivit unei analize realizate de FortiGuard Labs.
Aceeași cercetare a identificat peste 1.700 de conturi și canale care imitau FIFA pe rețelele sociale și platformele de mesagerie, precum și peste 270.000 de date de autentificare ale unor utilizatori și fani, descoperite în baze de date asociate programelor malware. Separat, compania de securitate Hoxhunt a raportat o creștere de aproape 500% a atacurilor de phishing cu temă FIFA între aprilie și iunie 2026.
Cu trei zile înaintea finalei din 19 iulie, specialiștii cyber_Folks România avertizează că aceste atacuri nu îi vizează doar pe fanii care caută bilete sau transmisiuni online, ci și pe companii, prin conturile, dispozitivele și infrastructura digitală utilizate de angajați.
„Fiecare eveniment global generează o economie paralelă a fraudei, dar dimensiunea din acest an este fără precedent. Greșeala pe care o fac multe firme românești este să creadă că subiectul nu le privește, pentru că nu vând bilete la fotbal. În realitate, angajații lor deschid aceste e-mailuri de pe laptopurile de serviciu, iar un cont Microsoft compromis al unui angajat poate deveni o poartă de acces către întreaga companie”, declară Ionuț Ariton, co-CEO cyber_Folks.
O analiză realizată de cyber_Folks pe aproape 500.000 de domenii arată că 61,6% dintre domeniile companiilor românești nu au protecția DMARC configurată. În lipsa acestei setări, atacatorii pot falsifica mai ușor adresa expeditorului și pot trimite mesaje în numele companiei, ceea ce crește riscul de email spoofing, phishing și fraude care exploatează încrederea în brand.
Directoratul Național de Securitate Cibernetică (DNSC) a avertizat, la rândul său, asupra amenințărilor asociate Cupei Mondiale FIFA 2026, de la site-uri și concursuri false până la tentative de furt al datelor personale și financiare. Instituția recomandă verificarea atentă a sursei mesajelor și raportarea incidentelor la numărul unic 1911.
Campaniile identificate în ultimele săptămâni folosesc site-uri care imită platformele oficiale FIFA, aplicații false de streaming, coduri QR malițioase și mesaje care promit bilete, rambursări, premii sau acces gratuit la meciuri. FBI a emis în luna mai un avertisment privind site-urile care clonează platforma oficială prin modificări minore ale denumirii domeniului, precum introducerea sau schimbarea unei singure litere, pentru a colecta date personale și bancare.
Un singur grup de atacatori, denumit „Ghost Stadium” de cercetătorii în securitate, ar opera peste 300 de pagini de phishing care reproduc ecranul de autentificare FIFA. Odată introduse pe aceste pagini, datele de acces pot fi folosite și pentru compromiterea altor conturi, mai ales în situațiile în care utilizatorii folosesc aceeași parolă pentru serviciile personale și cele profesionale.
Firmele, ținta mai puțin vizibilă a fraudelor tematice
Una dintre campaniile identificate în jurul turneului imită anunțuri de recrutare FIFA și îi vizează în special pe profesioniștii din marketing. Victimele sunt direcționate către pagini false de autentificare Google sau Microsoft, care colectează datele conturilor utilizate inclusiv pentru e-mailul, documentele și aplicațiile interne ale companiilor.
În astfel de situații, compromiterea unui singur cont poate permite atacatorilor să acceseze conversații, fișiere și liste de contacte sau să trimită mesaje frauduloase în numele angajatului. Atacatorii pot folosi apoi credibilitatea contului compromis pentru a solicita plăți, pentru a modifica datele bancare din facturi sau pentru a distribui alte linkuri malițioase către colegi și parteneri.
Metodele s-au diversificat și dincolo de e-mailul clasic. Frauda prin coduri QR, cunoscută sub denumirea de „quishing”, exploatează sistemul digital de bilete al turneului. Utilizatorul scanează ceea ce pare a fi un bilet, un formular de check-in sau un link pentru rambursare, iar codul deschide o pagină falsă care solicită date de autentificare sau de plată.
În paralel, unele aplicații pirat care promit acces gratuit la transmisiunile meciurilor ascund programe malițioase pentru dispozitive Android. Acestea pot copia interfața aplicațiilor bancare legitime și pot intercepta parole, coduri de autentificare sau alte informații financiare. Potrivit unei cercetări citate de compania de securitate Flare, aproximativ 40% dintre utilizatorii platformelor ilegale de streaming sportiv ajung să piardă bani sau să își compromită datele bancare.
Inteligența artificială face fraudele mai rapide și mai convingătoare
Inteligența artificială le permite atacatorilor să creeze, în doar câteva minute, pagini false, mesaje, confirmări de plată și materiale vizuale care imită comunicarea unor organizații cunoscute. Textele sunt corecte gramatical, pot fi adaptate în limba română și pot include informații publice despre victimă sau compania în care aceasta lucrează.
Tehnologiile deepfake sunt folosite și pentru clipuri în care jucători sau prezentatori cunoscuți par să promoveze tombole, platforme de pariuri sau câștiguri garantate, distribuite apoi prin reclame pe rețelele sociale.
Aceste instrumente reduc semnificativ timpul și nivelul de pregătire tehnică necesare pentru lansarea unei campanii de fraudă. În locul mesajelor generale și ușor de recunoscut, atacatorii pot genera rapid comunicări personalizate pentru anumite industrii, departamente sau categorii profesionale.
„Echipa noastră de cybersecurity monitorizează activ vulnerabilitățile și intervine proactiv la nivelul infrastructurii, de la filtrarea traficului malițios până la izolarea site-urilor compromise. Dar phishingul nu exploatează doar serverele, ci mai ales oamenii. Niciun furnizor de hosting nu poate opri un utilizator să își introducă parola pe o pagină clonată. În acel moment, vigilența utilizatorului rămâne prima linie de apărare”, explică Horațiu Șimon, Chief Technology Officer cyber_Folks România.
Subiectul a fost semnalat și de FBI, care a inclus în informările din ultima lună amenințările asociate turneului, de la fraude online și furtul datelor până la operațiuni de dezinformare.
Avertismentele publice s-au concentrat în principal asupra fanilor și infrastructurii orașelor gazdă, însă specialiștii atrag atenția că firmele pot fi afectate inclusiv atunci când nu au nicio legătură directă cu industria sportului, turismului sau vânzarea de bilete.
Atacurile sunt mai eficiente în contextul evenimentelor globale
Campaniile de phishing asociate evenimentelor importante profită de interesul public ridicat, de presiunea timpului și de teama utilizatorilor că ar putea pierde o ofertă sau o oportunitate. Mesajele care anunță ultimele bilete disponibile, acces limitat la o transmisie sau câștigarea unui premiu pot determina utilizatorii să reacționeze înainte de a verifica sursa.
Turneul se încheie pe 19 iulie, iar specialiștii anticipează o intensificare a activității frauduloase în perioada finalei. Printre cele mai utilizate pretexte se numără transmisiunile pirat, biletele revândute, pariurile, tombolele, concursurile și falsele oferte de călătorie.
Pentru a răspunde riscurilor tot mai complexe, cyber_Folks a lansat la finalul lunii iunie robo_Folks, primul asistent AI integrat într-un panou de hosting din România. Acesta poate efectua, la cererea utilizatorului, un audit al securității site-ului, care include verificarea certificatelor SSL, a configurărilor DNS și a sistemelor SPF, DKIM și DMARC utilizate pentru protecția e-mailului împotriva uzurpării identității.
Ce pot face companiile în această perioadă
Potrivit specialiștilor cyber_Folks, companiile ar trebui să ȋși instruiască echipele să:
• Verifice domeniul literă cu literă înaintea oricărei plăți sau autentificări. Diferența dintre site-ul real și o clonă poate fi un singur caracter sau o extensie neobișnuită.
• Nu scaneze coduri QR primite prin e-mail, chat sau din surse neverificate. Verifică adresa afișată de telefon înainte de a introduce date personale, parole sau informații de plată.
• Folosesească numai aplicațiile și platformele oficiale pentru bilete și transmisiuni. Biletele FIFA legitime sunt disponibile în aplicația oficială, sub forma unui cod QR dinamic.
• Afle despre principalele tipuri de mesaje frauduloase. Un avertisment intern transmis la timp poate preveni accesarea unor linkuri malițioase de pe dispozitivele companiei.
• Evită aplicațiile și site-urile de streaming pirat, mai ales pe dispozitivele conectate la conturile, rețelele sau aplicațiile firmei.
• Activeze autentificarea în doi pași pentru conturile Google, Microsoft, e-mail, hosting și pentru toate aplicațiile care permit accesul la datele companiei.
• Configureze SPF, DKIM și DMARC pentru domeniul companiei, astfel încât atacatorii să nu poată trimite cu ușurință mesaje frauduloase în numele brandului.
• Folosească parole diferite pentru conturile personale și profesionale și schimbă imediat datele de acces dacă acestea au fost introduse pe un site suspect.
Ce faci dacă ai introdus deja datele
• Schimbă imediat parola contului afectat și a tuturor conturilor pentru care ai folosit aceeași parolă, începând cu adresa de e-mail.
• Sună banca și solicită blocarea cardului dacă ai introdus date de plată.
• Anunță departamentul IT pentru verificarea activității și izolarea contului sau a dispozitivului afectat.
• Raportează incidentul către DNSC, la numărul unic 1911.



