Ein weitreichendes kriminelles Ökosystem für Phishing und Ticketbetrug zur WM 2026 läuft parallel zum laufenden Turnier auf Hochtouren. Die IT-Sicherheitsforscher von Group-IB haben eine hochprofessionelle Infrastruktur identifiziert, die gezielt auf die enorme Nachfrage der weltweit über sechs Millionen Fußballfans anspielt. Das Netzwerk umfasst mehr als 4.300 betrügerische Domains, die sich als offizielle Webpräsenzen des Weltverbandes FIFA ausgeben. Zudem sind bereits über 2.500 kompromittierte FIFA-Kontodaten auf Dark-Web-Marktplätzen im Umlauf. Im Zentrum der Aktivitäten steht die professionelle Kampagne „Ghost Stadium“, deren potenzieller Gesamtschaden in die Milliarden gehen könnte.
Pixelgenaue Klone und automatisierte Sprachumschaltung
Die Betreiber der „Ghost Stadium“-Kampagne setzen auf ein technisch ausgereiftes Phishing-Kit, das auf einer modernen Single-Page-Anwendung basiert. Die Benutzeroberfläche kopiert das offizielle FIFA-Design sowie den Anmeldedienst nahezu fehlerfrei. Um Entdeckungstools zu täuschen, werden Bilder direkt aus dem echten FIFA-Netzwerk geladen. Das System erkennt automatisch die Browsersprache des Opfers und schaltet flexibel zwischen elf Sprachen um. Bei der Eingabe von Zugangsdaten fordern die Angreifer eine Autorisierung zum Zurücksetzen des Passworts an, wodurch rechtmäßige Nutzer umgehend aus ihren Konten ausgesperrt werden.
Fünf weitere Betrugsmaschen und die Grenzen der Abwehr
Neben dem gefälschten Ticketverkauf im Premium-Segment identifizierten die Analysten fünf weitere illegale Geschäftsmodelle, die das Turnier als Aufhänger nutzen.
Von Fake-Streaming bis zu Identitätsdiebstahl im Dark Web
Rund 55 Domains locken Nutzer mit dem Versprechen kostenloser Live-Übertragungen an, verbreiten jedoch stattdessen browserbasierte Schadsoftware. Weitere 56 Plattformen vertreiben gefälschte Fanartikel, während 32 unlizenzierte Sportwetten-Seiten unter dem Vorwand von Identitätsprüfungen Passkopien und Selfies für den anschließenden Identitätsbetrug sammeln. Zudem verbreiten Cyberkriminelle sogenannte Infostealer-Malware wie „Vidar“ und „Lumma“, um gezielt Zugangsdaten abzugreifen.
Nur verifizierte Quellen nutzen
Die Sicherheitsforscher betonen, dass isolierte Abschaltungen einzelner Webseiten kaum Wirkung zeigen, da bereits 3.800 registrierte Domains als Reserve für den weiteren Turnierverlauf bereitstehen. Verbraucher sollten zum Schutz vor Phishing und Ticketbetrug zur WM 2026 Eintrittskarten ausschließlich über die offizielle Plattform des Veranstalters erwerben.
