Tin tức bảo mật về chiến dịch phishing nhắm vào kỳ World Cup 2026 cho thấy hạ tầng lừa đảo đã tăng mạnh so với báo cáo ban đầu. Từ 79 domain giả mạo, mạng lưới này đã mở rộng lên ít nhất 222 domain trên 203 IP duy nhất, tương đương gần 2,8 lần số lượng domain và hơn 14 lần dấu chân lưu trữ ban đầu.
Quy mô của chiến dịch phishing
Các nhà nghiên cứu cho biết chiến dịch được xây dựng để đánh lừa người dùng bằng các bản sao rất giống website chính thức, gồm trang bán vé giả, cửa hàng giả mạo và các trang đăng nhập giả. Những trang này chấp nhận thông tin được nhập vào mà không xác thực hợp lệ, từ đó phục vụ mục tiêu đánh cắp thanh toán và thông tin tài khoản.
Đây là một ví dụ điển hình của tấn công mạng dựa trên giả mạo thương hiệu, trong đó cơ sở hạ tầng được triển khai linh hoạt và liên tục bổ sung miền mới để duy trì chiến dịch.
Hạ tầng và cơ chế hoạt động
Phân tích mở rộng sử dụng passive DNS, certificate transparency logs và dữ liệu WHOIS enrichment cho thấy chiến dịch không phải một cụm hạ tầng đơn lẻ. Thay vào đó, đây là một hệ sinh thái lừa đảo phân tán với ít nhất 4 cụm vận hành riêng biệt, cùng nhắm vào một sự kiện duy nhất.
Trong 17 ngày đầu của tháng 4/2026, đã có 52 domain mới được đăng ký, với các bổ sung xuất hiện gần như hằng ngày. Ba mốc thời gian là 27/3, 28/3 và 17/11/2025 chiếm hơn 36% tổng số domain trong bộ dữ liệu.
Mô hình che giấu lưu lượng
Khoảng 80,6% IP trong hạ tầng nằm sau Cloudflare, được dùng như một reverse proxy để che giấu máy chủ thật. Điều này làm tăng độ khó cho việc truy vết hạ tầng gốc và làm chậm quá trình gỡ bỏ.
Trong danh sách quan sát, 5 IP đang hosting nhiều domain khác nhau, trong đó một IP duy nhất liên kết với 8 site giả mạo. Ngoài ra, có 3 domain trong bộ dữ liệu đã bị Cloudflare gắn cờ là trang phishing.
Nhận diện theo registrar và dấu vết đăng ký
Dữ liệu đăng ký miền cho thấy GNAME.COM là registrar chiếm ưu thế với khoảng 94 domain, tương đương gần 42% hạ tầng đã biết. GoDaddy đứng sau với 42 domain. Chỉ hai registrar này đã chiếm khoảng 61% tổng số miền được ghi nhận.
Trong ngữ cảnh cảnh báo phishing, các tín hiệu registrar và WHOIS có giá trị cao khi cần gom nhóm hạ tầng theo chiến dịch thay vì theo từng domain riêng lẻ.
Phân tách 4 cụm vận hành
Phân tích cho thấy chiến dịch không được điều hành tập trung mà chia thành nhiều cụm có kiểu đăng ký, hosting và fingerprint số khác nhau. Tuy vậy, các cụm này dùng chung mẫu trang và cùng nhắm vào nạn nhân giống nhau.
- Cluster A: Khoảng 86 domain, mô phỏng trực tiếp tên miền fifa.com.
- Cluster B: 14 domain .shop với tên chung chung, không thể hiện liên hệ rõ với FIFA nhưng dẫn đến cùng trang lừa đảo.
- Cluster C: 3 domain .cn được đăng ký qua một địa chỉ Gmail, cho thấy dấu hiệu vận hành độc lập.
- Cluster D: Dùng danh tính đăng ký giả là “888 World Cup Management Co Ltd”, khai thác trực diện chủ đề giải đấu.
Mặc dù khác nhau về kỹ thuật đăng ký, cả 4 cụm đều chia sẻ cùng bộ template và cùng mục tiêu lừa người dùng. Điều này cho thấy cần coi chúng như một chiến dịch phishing duy nhất ở cấp độ hạ tầng.
Cách phát hiện và phản ứng
Khuyến nghị hiện tại là phát hiện theo campaign-level, không chỉ theo từng domain. Các đội bảo vệ thương hiệu và an ninh mạng nên kết hợp TLS certificate reuse, fingerprint template trang và các mẫu WHOIS đã biết để xây dựng rule phát hiện.
Ngoài ra, bất kỳ domain mới nào có đặc điểm đăng ký trùng với dấu hiệu đã quan sát cần được coi là thuộc cùng mối đe dọa đang hoạt động.
Để đối chiếu thêm thông tin hạ tầng và chỉ báo liên quan, có thể tham khảo nguồn phân tích gốc tại Flare.
IOC đã trích xuất
- Domain: 222 domain giả mạo liên quan chiến dịch
- Active domain: 206 domain đang hoạt động
- IP: 203 IP duy nhất
- Hosting proxy: Cloudflare reverse proxy
- Registrar: GNAME.COM, GoDaddy
- WHOIS dấu hiệu: “888 World Cup Management Co Ltd”
- Trang giả mạo: fake ticketing pages, copycat stores, fraudulent login pages
Ý nghĩa đối với phát hiện xâm nhập
Với một chiến dịch phishing quy mô lớn như vậy, phát hiện xâm nhập cần dựa trên nhiều lớp tín hiệu: domain mới đăng ký, reuse chứng chỉ TLS, cấu trúc HTML giống nhau và các đặc điểm lưu trữ trùng lặp. Chỉ dựa vào tên miền sẽ bỏ sót phần lớn hạ tầng vì nhiều site dùng pattern khác nhau nhưng phục vụ cùng một trang lừa đảo.
Trong bối cảnh rủi ro bảo mật tăng theo tốc độ đăng ký domain, việc theo dõi liên tục các chỉ báo hạ tầng là yêu cầu bắt buộc đối với đội SOC, threat intelligence và các hệ thống IDS.
Liên hệ với cảnh báo CVE và threat intelligence
Dù nội dung không đề cập đến lỗ hổng CVE hay CVSS, cách tiếp cận phân tích chiến dịch này vẫn phù hợp với quy trình threat intelligence: thu thập IOC, gom nhóm theo hạ tầng, và ưu tiên xử lý theo mức độ lan rộng. Khi hạ tầng phishing tăng gần gấp ba, bề mặt rò rỉ dữ liệu và đánh cắp dữ liệu cũng tăng tương ứng.
Đối với môi trường doanh nghiệp, việc theo dõi tên miền mới, cảnh báo chứng chỉ TLS trùng lặp và đối soát WHOIS là các bước thực tế để giảm nguy cơ bảo mật từ chiến dịch đang mở rộng.
