Cybercriminelen voeren hun activiteiten rond het WK 2026 op, waarbij onderzoekers waarschuwen dat fraudecampagnes, inlogdiefstal, nepwebsites en met malware doordrenkte applicaties al actief zijn vóór de openingswedstrijd van het toernooi.
Nieuw onderzoek FortiGuard Labs heeft aangetoond dat er tussen januari en mei 2026 meer dan 13.000 FIFA Wereldbeker-domeinen zijn geregistreerd. Ongeveer 8,8% van die domeinen werd als kwaadaardig of verdacht geïdentificeerd, wat erop wijst dat aanvallers maandenlang infrastructuur hebben opgebouwd die is ontworpen om de interesse in het toernooi te benutten.
De activiteit gaat veel verder dan nepkaartverkoop. Volgens het rapport richten cybercriminelen zich op fans die op zoek zijn naar tickets, reisarrangementen, merchandise, livestreams, wedservices en toernooigerelateerde banen. Tegelijkertijd worden bedrijven die actief zijn in hospitality, transport, mediaactiviteiten, klantenservice en evenementenlogistiek geconfronteerd met een toename van de blootstelling aan phishingcampagnes, pogingen tot accountcompromittering en fraude.
Onderzoekers vonden honderden websites die zich voordeden als FIFA en organisaties die aan het toernooi verbonden waren. Veel van de domeinen waren ontworpen om inloggegevens te stelen, betalingen te innen of bezoekers door te leiden naar frauduleuze diensten. Fortinet identificeerde ook meer dan 1.700 gespoofde FIFA-gerelateerde socialmedia-accounts die worden gebruikt om oplichting te promoten en legitieme organisaties te imiteren.
Een van de grootste zorgen betreft gestolen inloggegevens. FortiGuard Labs meldde dat er meer dan 4.600 FIFA-gerelateerde URL’s werden gevonden in logs die zijn gegenereerd door malware die gegevens stelt. Onderzoekers identificeerden ook meer dan 260 FIFA-medewerkersreferenties en meer dan 270.000 inloggegevens van gebruikers en fans die FIFA-gerelateerde websites bezochten. De blootgestelde data was gekoppeld aan malwarefamilies zoals Vidar, LummaC2 en RedLine. Onderzoekers waarschuwden dat zelfs oudere inloggegevens kunnen worden gebruikt bij pogingen tot accountovername, phishingoperaties en imitatiecampagnes.
Fraude gericht op werkzoekenden is ook een belangrijk thema geworden. Volgens het rapport maakten aanvallers nep-wervingscampagnes die werden gepromoot op werkgelegenheidskansen gerelateerd aan het WK. Slachtoffers werden doorverwezen naar vervalste inlogpagina’s waar inloggegevens werden verzameld nadat gebruikers hadden geprobeerd in te loggen. Onderzoekers zeiden dat meerdere frauduleuze domeinen gemeenschappelijke trackingidentificaties deelden, wat wijst op gecoördineerde activiteiten in plaats van op geïsoleerde oplichting.
Malware-distributiecampagnes maken ook gebruik van de interesse van toernooien. Fortinet identificeerde verdachte FIFA-gerelateerde Android-applicatiepakketten en kwaadaardige uitvoerbare bestanden die via niet-officiële websites werden verspreid. Het bedrijf zei dat aanvallers de vraag naar livestreamingtools, wedapplicaties, scoretrackers en promotiesoftware misbruiken door malware te vermommen als legitieme toernooi-gerelateerde apps.
De bevindingen komen overeen met waarschuwingen van overheids- en particuliere beveiligingsorganisaties. Het Canadese Centre for Cyber Security beoordeelde dat cybercriminelen vrijwel zeker de publieke interesse in het toernooi zullen uitbuiten via phishingcampagnes, valse ticketverkoop, frauduleuze reisaanbiedingen, winkels voor namaakproducten, kwaadaardige mobiele applicaties en operaties rond het stelen van inloggegevens.
Onderzoekers zeggen dat het volume van kwaadaardige activiteiten aantoont dat aanvallers het WK als een grote zakelijke kans beschouwen. In plaats van te wachten op de aftrap, hebben dreigingsactoren al de infrastructuur opgebouwd die nodig is om te profiteren van de miljoenen fans die verwacht worden te zoeken naar tickets, reisservices, livestreams en toernooigerelateerde informatie tijdens de competitie.