Mentre il mondo si prepara per la Coppa del Mondo FIFA 2026un altro tipo di partita è già in corso: quella contro i cybercriminali. Secondo un recente rapporto di FortiGuard Labsil laboratorio di threat intelligence di Fortinetgli attori malevoli stanno sfruttando l’entusiasmo per il torneo per mettere in atto campagne fraudolente.
L’evento sportivo più seguito al mondo rappresenta un’opportunità unica per i truffatori, che cercano di approfittare dell’attenzione globale per rubare dati, credenziali e informazioni finanziarie. Con oltre 13.000 nuovi domini registrati tra gennaio e maggio 2026, di cui circa l’8,8% classificati come malevoli o sospetti, è chiaro che i cybercriminali non stanno aspettando il fischio d’inizio per agire.
Domini sospetti e phishing: l’arsenale dei cybercriminali
L’analisi di FortiGuard Labs ha rivelato un aumento significativo delle registrazioni di domini a tema FIFA tra marzo e maggio 2026. Questi domini, spesso abusano del brand FIFA e includono termini legati alla vendita di biglietti, servizi di streaming, piattaforme di scommesse e settore hospitality. Molti di questi siti web fraudolenti sono sufficientemente credibili da conquistare la fiducia dei tifosi per quei pochi secondi cruciali durante la ricerca di biglietti, opzioni di rivendita, streaming delle partite, pacchetti di viaggio e merchandising ufficiale.
Tra le minacce individuate figurano siti di phishingfalse piattaforme di vendita e rivendita di biglietti, negozi online fasulli, applicazioni malevole dedicate a scommesse e streaming, campagne di reclutamento fraudolente e truffe basate su criptovalute. Particolarmente rilevante è il fenomeno dei siti che imitano le pagine ufficiali della FIFA, progettati per raccogliere credenziali di accesso, dati personali e informazioni di pagamento.
L’urgenza come arma dei truffatori
Queste campagne fanno leva sull’urgenza tipica della ricerca di un biglietto per un grande evento sportivo. La pressione ad acquistare rapidamente aumenta infatti la probabilità che gli utenti trascurino i controlli di sicurezza. Gli esperti hanno individuato diversi portali in grado di replicare l’aspetto dei canali autentici e progettati per raccogliere informazioni sensibili dagli utenti.
Social network: terreno fertile per le attività criminali
L’indagine ha inoltre identificato oltre 1.700 account e canali sospetti riconducibili all’universo FIFA su piattaforme social e di messaggistica. Quasi il 90% dei casi è stato rilevato su Facebook e Instagram. Questi profili vengono utilizzati per diffondere offerte ingannevoli, promuovere falsi servizi di streaming, veicolare campagne di phishing e distribuire malware.
La loro efficacia deriva dalla capacità di inserirsi all’interno di conversazioni reali tra tifosi, rendendo più difficile distinguere contenuti legittimi da attività fraudolente. I cybercriminali sfruttano l’entusiasmo e l’emozione dei tifosi per promuovere false offerte e truffe, spesso con risultati devastanti.
Malware e applicazioni fasulle: il pericolo nascosto
La ricerca mette in evidenza anche la presenza di software dannosi collegati al torneo. Tra i casi documentati compare un eseguibile denominato “1xbet.exe”, caratterizzato da funzionalità compatibili con meccanismi di persistenza, comunicazioni cifrate e comportamenti tipici del ransomware. Gli analisti hanno inoltre rilevato file Apk sospetti distribuiti attraverso siti di download di terze parti.
L’interesse per applicazioni dedicate alle scommesse sportive, al live streaming e al monitoraggio dei risultati rappresenta infatti un’opportunità per gli attaccanti, che possono distribuire software trojanizzati apparentemente legittimi. Una volta installati, questi programmi possono favorire attività di spionaggio, furto di credenziali e accesso remoto ai dispositivi.
Il mercato del lavoro nel mirino
Un ulteriore vettore di attacco riguarda il mercato del lavoro. La necessità di personale temporaneo nei settori hospitality, logistica, media e supporto operativo viene sfruttata attraverso false campagne di recruiting. FortiGuard Labs ha individuato schemi di furto di credenziali basati su annunci apparentemente collegati alla FIFA o ai suoi sponsor.
Le vittime venivano indirizzate verso pagine di accesso Google contraffatte, con l’obiettivo di acquisire username e password. In alcuni casi, domini differenti condividevano lo stesso identificativo Google Analytics, elemento che suggerisce l’esistenza di operazioni coordinate.
Credenziali esposte: un rischio crescente
L’analisi evidenzia inoltre un significativo patrimonio informativo già disponibile agli attori delle minacce. I ricercatori hanno rilevato oltre 4.600 Url associati alla FIFA all’interno dei log raccolti da malware specializzati nel furto di informazioni, oltre a centinaia di credenziali riconducibili a dipendenti FIFA e più di 270.000 credenziali relative a utenti e tifosi che avevano visitato siti collegati all’organizzazione.
A questo si aggiungono oltre 1.500 record relativi a dipendenti FIFA e organizzazioni collegate emersi da precedenti violazioni di dati. Sebbene ciò non implichi necessariamente che gli account siano ancora utilizzabili, queste informazioni possono alimentare campagne di credential stuffing, phishing mirato, impersonificazione e frodi digitali.
Per FortiGuard Labs, il principale insegnamento è che gli eventi globali di grande richiamo generano rischi cyber molto prima della loro apertura ufficiale. Le organizzazioni coinvolte nei settori sportivo, turistico, alberghiero, media, retail, finanziario, governativo e infrastrutturale sono chiamate a rafforzare fin da subito le proprie misure di protezione.
