I-052726-PSA – to numer alertu amerykańskiego Federalnego Biura Śledczego (FBI) ostrzegającego kibiców Mundialu 2026 przed działaniami cyberprzestępców. O wyjątkową ostrożność i czujność w trakcie mistrzostw przyciągających uwagę pasjonatów piłki nożnej na całym świecie apeluje też wiele firm i organizacji zajmujących się cyberbezpieczeństwem. Ostrzeżenia pojawiły się na długo przed rozgrywkami. W zasadzie równolegle z pierwszymi przejawami przygotowań przestępców do tego wielkiego globalnego wydarzenia.
Jak wynika z raportu FortiGuard Labs, zespołu z firmy Fortinet badającego zagrożenia, od stycznia do maja zarejestrowano ponad 13 tys. nowych domen internetowych związanych z turniejem. Z tego 8,8 proc. zidentyfikowano jako witryny stworzone do wyłudzania pieniędzy i danych kibiców. Według informacji Check Point Research tylko w kwietniu zarejestrowano 9741 domen z wyrazami fifa lub world cup. To ponadpięciokrotnie więcej niż w szczytowym momencie mundialu w Katarze w 2022 r.
FBI wymienia w alercie adresy podszywające się pod oficjalny serwis Międzynarodowej Federacji Piłki Nożnej (FIFA). Znajdziemy w nich wyrazy sugerujące, że tam można uzyskać określoną pomoc, kupić bilety, a nawet znaleźć oferty pracy związane z działalnością FIFA czy sponsorów turnieju. Nazwy stron naśladują legalny portal, różniąc się drobną literówką, np. fiffa[.]com. FBI odradza kibicom, by korzystali z wyszukiwarek, chcąc wejść na stronę federacji. Należy wpisać fifa.com w pasku adresowym przeglądarki internetowej.
Podejrzana atrakcyjność
– Sprawdzajmy nie tylko adresy stron pod kątem literówek, ale też nadawców mejli, które wydają się pochodzić od federacji – mówi Kamil Sadkowski, analityk cyberbezpieczeństwa z ESET.
Jednocześnie apeluje o zgłaszanie przypadków oszustwa.
– Jeśli zapłaciliśmy kartą płatniczą, blikiem czy przelewem za nieistniejące bilety, transmisję online meczu, nocleg, złóżmy reklamację w banku. Zawsze, gdy padliśmy ofiarą oszustwa, niezależnie od formy płatności, powinniśmy poinformować o tym policję. Jeśli do takiej sytuacji doszło na stronie z ogłoszeniami lub w mediach społecznościowych, można dodatkowo danej platformie zgłosić użytkownika i ofertę jako oszustwo – radzi analityk.
Podkreśla, że wątpliwości zawsze powinny budzić oferty, które wydają się zbyt atrakcyjne, by mogły być prawdziwe. Niestety, tę czujność osłabia choćby to, że obecnie dzięki sztucznej inteligencji fałszywe strony są tworzone na masową skalę i do złudzenia przypominają oficjalne serwisy, na co zwracają uwagę analitycy Check Point Research. Jak mówią, kopie witryn z gadżetami mundialowymi, kuszące nawet 80-procentowymi rabatami, są przygotowane perfekcyjnie.
Również zdaniem ekspertów FortiGuard Labs e-sklepy podszywające się pod partnerów FIFA i znane marki związane z futbolem wyglądają profesjonalnie. Przyciągając rabatami na koszulki, szaliki, kolekcjonerskie naklejki, stosują też dodatkowe haczyki, np. rzekome oferty ostatnich sztuk gadżetu. Pod wpływem impulsu kibice podają poufne informacje lub instalują niebezpieczne oprogramowanie. W zbiorach wykradzionych przez złośliwe oprogramowanie typu infostealer FortiGuard Labs zidentyfikował ponad 270 tys. zestawów danych uwierzytelniających powiązanych z użytkownikami odwiedzającymi strony związane z federacją.
Ryzyko rośnie w mediach społecznościowych. Analitycy FortiGuard Labs wykryli ponad 1700 fałszywych profili i kanałów powiązanych z FIFA i mundialem, z czego aż 90 proc. funkcjonuje na Facebooku oraz Instagramie. Konta te podszywają się pod dyskusje fanów futbolu, oferując fałszywe odsprzedaże biletów w okazyjnych cenach, pakiety last minute czy natychmiastowe transakcje przez komunikator Telegram.
– Media społecznościowe dają oszustom możliwość wtopienia się w tłum. Użytkownik podający się za kibica, który rzekomo musi pilnie odsprzedać wejściówkę, nie budzi takich podejrzeń jak anonimowa wiadomość mejlowa – wyjaśnia Jolanta Malak, dyrektorka regionalna w Fortinet.
Nie tylko kibic na celowniku
Działania są też wymierzane w firmy z krajów gospodarzy imprez. Hakerzy biorą na celownik podmioty z sektorów kluczowych dla obsługi kibiców – mediów, hotelarstwa, transportu i logistyki, by dotrzeć do danych ich klientów. Przy okazji Mundialu 2026 w Kanadzie w tych branżach odnotowano 48 proc. więcej cyberataków niż w ubiegłym roku – wynika z analiz Check Point Research.
Zdaniem Wojciecha Głażewskiego, dyrektora Check Point Software Technologies w Polsce, dynamiczny wzrost ataków na systemy rezerwacji biletów, noclegów i podróży związanych z Mundialem 2026 pokazuje, że cały cyfrowy ekosystem wokół imprezy jest podatny na nadużycia.
– Niepokoi, że oszuści wykorzystują prawdziwe dane rezerwacyjne i komunikację przypominającą oficjalne powiadomienia, przez co ich działania są coraz trudniejsze do wykrycia. Każdy etap od zakupu biletu po zakwaterowanie może się stać punktem ataku – podkreśla Wojciech Głażewski.
Kamil Sadkowski przypomina rezerwującym noclegi na znanych platformach, aby nie dokonywali płatności, np. zadatku, poza nimi. Przy okazji zwraca uwagę, że żadne z oficjalnych konkursów, które mogą towarzyszyć wydarzeniom sportowym, nie powinny wymagać opłat za odbiór nagrody.
– Jeśli taki warunek się pojawi, powinna się zapalić czerwona lampka. Podobnie gdy sprzedawca jakiegoś produktu oczekuje płatności w kryptowalucie – przestrzega analityk z ESET.
Duża impreza, duży zysk
Takie kampanie przestępcze towarzyszą nie tylko turniejom piłki nożnej. Według danych FortiGuard Labs w 2012 r. podczas igrzysk olimpijskich w Londynie doszło do 212 mln cyberincydentów związanych z zawodami, a w 2021 r. w Tokio do 4,4 mld. Przed niedawną olimpiadą w Paryżu francuska Żandarmeria Narodowa zidentyfikowała 338 stron z fałszywymi biletami na tę imprezę. Z tej puli 51 witryn zamknięto, a 140 otrzymało ostrzeżenia od organów ścigania.
Podobne schematy działania cyberprzestępcy stosują też przy okazji dużych koncertów i festiwali muzycznych. Według ekspertów często nie chodzi o jednorazowy zysk ze sprzedaży fałszywego biletu czy gadżetu. Większą wartość mają dane z kart płatniczych, logowania lub osobowe wykorzystywane w kolejnych oszustwach albo sprzedawane innym grupom przestępczym. Skala strat potrafi być znacząca.
– Z danych instytucji finansowej Lloyds Bank przywołanych w raporcie FortiGuard Labs wynika, że przed rozpoczęciem brytyjskiej części trasy koncertowej Taylor Swift ponad 600 klientów zgłosiło straty przy zakupie fałszywych biletów. Ich łączna wartość przekroczyła milion funtów. Zatem nawet oszustwa opiewające na stosunkowo niewielkie kwoty mogą przy dużej liczbie ofiar przynosić cyberprzestępcom ogromne zyski – podkreśla Jolanta Malak.
Skutki takich incydentów to nie tylko utrata pieniędzy za bilet. Osoba oszukana może być narażona na przejęcie jej kont internetowych, próbę kradzieży tożsamości i kolejne cyberataki.
Na tropie sprawcy
– Identyfikacja przestępców stojących za tego typu kampaniami bywa bardzo trudna. Działają ponad granicami państw, wykorzystują anonimowo rejestrowane domeny, przejęte zasoby i infrastrukturę rozproszoną między krajami. Walka z nimi wymaga współpracy ekspertów do spraw cyberbezpieczeństwa, dostawców usług internetowych i organów ścigania z różnych państw. Sprawcy nie pozostają jednak całkowicie anonimowi – mówi przedstawicielka Fortinet.
Analitycy FortiGuard Labs, badając cyberzagrożenia towarzyszące olimpiadzie w Paryżu, odkryli, że część z sieci fałszywych stron związanych ze sprzedażą biletów korzystała z tej samej infrastruktury technicznej. Jeden z operatorów był powiązany z ponad 35 domenami podszywającymi się pod różne wydarzenia sportowe, a drugi z co najmniej sześcioma kolejnymi domenami tego typu.
– Cyberprzestępcy starają się zacierać ślady, ale pozostawiają cyfrowe tropy. Powiązania między domenami, serwerami czy sposobami działania pozwalają stopniowo odtwarzać całe sieci oszustw i przekazywać informacje odpowiednim służbom. Od takich ustaleń bardzo często zaczyna się droga prowadząca do likwidacji infrastruktury wykorzystywanej przez cyberprzestępców – wyjaśnia Jolanta Malak.

