Phishing nhắm vào người hâm mộ FIFA World Cup 2026 đang được triển khai quy mô lớn với hơn 300 tên miền giả mạo đã hoạt động, đi kèm mạng lưới website mạo danh được thiết kế để đánh cắp thông tin đăng nhập. Chiến dịch này khai thác nhu cầu mua vé tăng mạnh và các hành vi người dùng thường gặp trong các sự kiện thể thao lớn.
Chiến dịch phishing FIFA World Cup 2026
Nhóm nghiên cứu ghi nhận chiến dịch sử dụng nhiều trang giả mạo mô phỏng giao diện chính thức của FIFA, với mục tiêu lừa người dùng nhập tài khoản, mật khẩu và dữ liệu phiên đăng nhập. Đây là một dạng tin tức bảo mật liên quan trực tiếp đến mối đe dọa mạng trong bối cảnh sự kiện có lượng truy cập cao.
Chiến dịch khai thác nhu cầu đối với vé FIFA World Cup 2026, giải đấu được tổ chức tại Hoa Kỳ, Canada và Mexico. Trong 14 ngày đầu của cửa sổ bán vé, hơn 150 triệu yêu cầu đã được gửi, tạo ra tâm lý khẩn cấp mà kẻ gian thường tận dụng.
Mô hình lừa đảo và phạm vi hoạt động
Báo cáo cho thấy chiến dịch có cấu trúc nhiều lớp, với 6 схем lừa đảo riêng biệt, 4 tác nhân đe dọa độc lập và hơn 3.500 tên miền gian lận mô phỏng sự hiện diện web của FIFA. Quy mô này khiến việc gỡ bỏ từng phần riêng lẻ không làm triệt tiêu toàn bộ hạ tầng.
Tác nhân được gán định danh GHOST STADIUM vận hành chiến dịch phishing có động cơ tài chính, phối hợp qua hơn 300 tên miền. Dữ liệu rò rỉ từ các chiến dịch này có thể bị bán lại hoặc dùng cho chiếm quyền tài khoản.
Các kỹ thuật lừa đảo được sử dụng
Chiến dịch này kết hợp nhiều kênh khai thác để tối ưu hóa số nạn nhân. Mỗi kênh có cơ chế kiếm tiền khác nhau, bao gồm bán vé giả, hàng giả, streaming giả, betting giả và đánh cắp thông tin đăng nhập.
Các hình thức tấn công chính
- Credential phishing: Thu thập tên đăng nhập và mật khẩu từ trang giả mạo.
- Fake ticket sales: Lừa mua vé không tồn tại hoặc vé vô hiệu.
- Counterfeit merchandise: Bán hàng hóa giả mạo dưới danh nghĩa giải đấu.
- Fake streaming platforms: Dẫn người dùng đến nền tảng phát trực tuyến giả.
- Fraudulent betting sites: Dụ người dùng nạp tiền vào trang cược giả.
- Infostealer-driven theft: Khai thác dữ liệu thu được từ mã độc đánh cắp thông tin.
Hạ tầng phishing và dấu vết kỹ thuật
Bộ công cụ phishing của GHOST STADIUM là một ứng dụng đơn trang viết bằng React, có khả năng sao chép gần như nguyên vẹn giao diện trang chính thức. Giao diện được dựng trên Layui 2.7.6, một thư viện UI gốc tiếng Trung, và tái tạo luồng đăng nhập PingIdentity SSO bằng client_id lấy trực tiếp từ hệ thống SSO thật.
Kỹ thuật này làm tăng độ tin cậy của trang giả, khiến người dùng khó phân biệt với hệ thống chính thức. Sau khi lấy được thông tin xác thực, kẻ tấn công kích hoạt chức năng đổi mật khẩu để khóa nạn nhân ngay lập tức, rồi chuyển hướng về site thật để tạo cảm giác đăng nhập thành công.
Tham khảo thêm báo cáo gốc tại Group-IB.
Liên hệ với infostealer và rủi ro bảo mật
Ngoài phishing trực tiếp, chiến dịch còn chạy song song với một chuỗi infostealer dựa trên các họ mã độc Vidar và Lumma. Các biến thể này được phát tán qua phần mềm crack, mạng quảng cáo độc hại và các kênh Telegram phát tán cheat.
Điểm nguy hiểm là chúng sao chép toàn bộ browser-stored credentials, session token và seed của ví tiền điện tử từ thiết bị bị nhiễm. Dữ liệu FIFA chỉ là phần “phụ” được trích xuất từ các log lớn, sau đó được dùng cho chiếm quyền tài khoản và giao dịch trên chợ đen.
Quy mô dữ liệu bị lộ
Nhóm nghiên cứu đã xác định khoảng 170.000 log infostealer có tham chiếu tới FIFA. Ngoài ra, hơn 2.513 cặp thông tin xác thực tài khoản FIFA đã được xác nhận lưu hành trên thị trường dark web, với mức giá từ 5 đến 50 USD cho mỗi cặp.
Đây là tín hiệu cho thấy pipeline thu thập dữ liệu đã mở rộng trước thời điểm giải đấu diễn ra, làm tăng nguy cơ bảo mật đối với tài khoản người dùng và hạ tầng liên quan.
Dấu hiệu nhận diện hạ tầng giả mạo
Một số đặc điểm kỹ thuật có thể hỗ trợ phát hiện tấn công và đối chiếu hạ tầng:
- Hơn 300 domain giả mạo hoạt động đồng thời.
- Ba Meta Pixel ID dùng chung trên toàn bộ cụm tên miền.
- Trang phishing dùng giao diện pixel-perfect theo mô hình React SPA.
- Tự động nhận diện ngôn ngữ trình duyệt và chuyển đổi sang 11 ngôn ngữ cùng 3 biến thể tiếng Trung.
- Luồng SSO mô phỏng sát logic xác thực của hệ thống thật.
Những tín hiệu này là cơ sở hữu ích cho IDS, hệ thống threat intel và các nền tảng giám sát brand impersonation khi thực hiện phát hiện xâm nhập hoặc đánh giá rủi ro an toàn thông tin.
IOC liên quan đến chiến dịch
Các IOC dưới đây được trích xuất ở mức mô tả, không bao gồm toàn bộ tên miền cụ thể do dữ liệu gốc đã được làm mờ:
- Chiến dịch: GHOST STADIUM
- Họ mã độc liên quan: Vidar, Lumma
- Hạ tầng giả mạo: hơn 300 domain phishing
- Chỉ dấu nhận diện: 3 Meta Pixel ID dùng chung
- Khối lượng log: khoảng 170.000 infostealer logs có tham chiếu FIFA
Biện pháp giảm thiểu và bảo vệ tài khoản
Nhóm nghiên cứu khuyến nghị triển khai Digital Risk Protection để theo dõi liên tục và tự động yêu cầu gỡ bỏ hạ tầng mạo danh thương hiệu. Đây là biện pháp phù hợp trong bối cảnh cảnh báo CVE không phải trọng tâm, mà vấn đề chính là cuộc tấn công mạng dựa trên phishing và đánh cắp dữ liệu.
Người dùng chỉ nên mua vé qua kênh chính thức, bật multi-factor authentication ngay lập tức và tránh các quảng cáo hoặc tin nhắn gắn với chủ đề FIFA nhưng kèm áp lực thời gian hoặc giá quá thấp.
Với hệ thống thanh toán, cần thiết lập cảnh báo giao dịch cho các kênh thanh toán đã được xác định liên quan đến chiến dịch, đồng thời rà soát các mẫu truy cập bất thường để giảm nguy cơ xâm nhập mạng và rò rỉ dữ liệu.
