Tin bảo mật mới nhất ghi nhận các tác nhân đe dọa đang giả mạo website chính thức của FIFA trước thềm World Cup 2026 để thu thập dữ liệu cá nhân nhạy cảm. Đây là một chiến dịch phishing dựa trên giả mạo tên miền, nhắm vào người dùng không kiểm tra kỹ URL trước khi nhập thông tin.
Phishing nhắm vào website FIFA
Theo thông tin từ FBI trong cảnh báo I-052726-PSA ngày 27/05/2026, các đối tượng đang tạo ra những trang web sao chép gần như hoàn chỉnh giao diện và hành vi của tên miền hợp lệ www.fifa.com. Mục tiêu của chiến dịch tin tức bảo mật này là đánh lừa người dùng tin rằng họ đang truy cập cổng thông tin chính thức.
Các tên miền độc hại thường sử dụng typo-squatting, domain impersonation và các đuôi tên miền thay thế để né tránh phát hiện. Một số biến thể được ghi nhận gồm FIFA.[cab], FIFA.[pink], FIFA.[pub], fifa[.]ceo, wvvw-fifa[.]com và fifa-com[.]com.
Cách thức hoạt động của chiến dịch phishing
Các trang giả mạo được thiết kế để mô phỏng các thành phần có tính tin cậy cao như ticket portal, trang tuyển dụng và khu vực dịch vụ khách hàng. Người dùng thường bị dẫn dụ thông qua các nội dung liên quan đến vé, gói hospitality hoặc cơ hội việc làm gắn với sự kiện.
Khi tương tác, nạn nhân có thể bị yêu cầu cung cấp PII như họ tên đầy đủ, địa chỉ cư trú, email và số điện thoại. Trong một số trường hợp, dữ liệu tài chính cũng có thể bị thu thập để phục vụ rò rỉ dữ liệu và gian lận sau đó.
Chiến dịch này cho thấy hiệu quả của việc kết hợp social engineering với giả mạo theo tên miền trong một cuộc tấn công mạng. Các trang độc hại còn có thể tận dụng chứng chỉ HTTPS để tạo cảm giác hợp lệ, trong khi thực chất vẫn là hạ tầng do kẻ tấn công kiểm soát.
IOC liên quan đến chiến dịch
- fifa.[cab]
- fifa.[pink]
- fifa.[pub]
- fifa[.]ceo
- wvvw-fifa[.]com
- fifa-com[.]com
- jobs-fifa[.]com
- fifa-careerhub[.]com
- fifaworldcup-careers[.]com
- fifa-ticket[.]live
- worldcup26ticket[.]com
Rủi ro bảo mật đối với nạn nhân
FBI cảnh báo dữ liệu bị thu thập có thể bị dùng cho identity theft, gian lận tài chính và account takeover. Nạn nhân có thể vô tình giúp kẻ tấn công tạo tài khoản giả mạo dưới danh nghĩa của mình hoặc thực hiện giao dịch trái phép.
Trong một số chuỗi tấn công, người dùng còn bị điều hướng qua quảng cáo độc hại hoặc kết quả tìm kiếm được gắn nhãn “sponsored”, làm tăng khả năng truy cập vào domain giả mạo. Đây là một dạng nguy cơ bảo mật thường thấy trong các chiến dịch phishing quy mô lớn.
Nguồn tham chiếu
Cảnh báo chính thức có thể xem tại FBI IC3 PSA I-052726-PSA.
Biện pháp giảm thiểu
Biện pháp phòng vệ hiệu quả nhất là truy cập trực tiếp tên miền chính thức thay vì bấm vào liên kết từ kết quả tìm kiếm hoặc quảng cáo. Người dùng nên nhập URL thủ công, kiểm tra chính xác tên miền và lưu lại bookmark cho các trang đã xác thực.
Các hệ thống phát hiện tấn công và lọc web cần chú ý đến đuôi tên miền thay thế, lỗi chính tả tinh vi và các domain có cấu trúc gần giống tên hợp lệ. Việc kết hợp danh sách chặn domain, kiểm tra chứng chỉ và giám sát lưu lượng truy cập giúp giảm rủi ro bị dẫn sang trang giả mạo.
Người phát hiện domain đáng ngờ nên báo cáo sự cố kèm theo tên miền lừa đảo, lịch sử tương tác và mọi giao dịch tài chính phát sinh. Điều này hỗ trợ quá trình phát hiện xâm nhập sớm và xử lý sự cố trong môi trường an toàn thông tin.
Khuyến nghị kỹ thuật
- Kiểm tra kỹ tên miền trước khi nhập thông tin cá nhân.
- Không truy cập liên kết từ quảng cáo hoặc kết quả tìm kiếm không xác minh.
- Sử dụng bookmark cho các trang chính thức đã được xác nhận.
- Theo dõi IOC domain trong hệ thống lọc DNS, proxy và SIEM.
- Báo cáo domain nghi vấn cho kênh tiếp nhận sự cố phù hợp.
Chiến dịch này cho thấy tin tức an ninh mạng liên quan đến giả mạo thương hiệu lớn thường gia tăng theo các sự kiện thu hút lượng truy cập cao. Trong bối cảnh đó, xác thực nguồn truy cập, kiểm tra tên miền và giám sát IOC là các bước cơ bản để giảm rủi ro an toàn thông tin.
