Cibercriminosos estão intensificando as operações em torno da Copa do Mundo FIFA 2026, com pesquisadores alertando que campanhas de fraude, esquemas de roubo de credenciais, sites falsos e aplicativos cheios de malware já estão ativos antes da partida de abertura do torneio.
Novas pesquisas FortiGuard Labs descobriram que mais de 13.000 domínios temáticos da Copa do Mundo FIFA foram registrados entre janeiro e maio de 2026. Aproximadamente 8,8% desses domínios foram identificados como maliciosos ou suspeitos, indicando que os atacantes passaram meses construindo infraestrutura projetada para explorar o interesse no torneio.
A atividade vai muito além da venda de ingressos falsos. De acordo com o relatório, cibercriminosos estão mirando fãs que buscam ingressos, arranjos de viagem, merchandising, transmissões ao vivo, serviços de apostas e empregos relacionados a torneios. Ao mesmo tempo, empresas envolvidas em hospitalidade, transporte, operações de mídia, suporte ao cliente e logística de eventos enfrentam maior exposição a campanhas de phishing, tentativas de comprometimento de contas e fraudes.
Pesquisadores encontraram centenas de sites se passando pela FIFA e organizações ligadas ao torneio. Muitos desses domínios foram projetados para roubar credenciais, coletar pagamentos ou redirecionar visitantes para serviços fraudulentos. A Fortinet também identificou mais de 1.700 contas de redes sociais falsificadas relacionadas à FIFA, sendo usadas para promover golpes e se passar por organizações legítimas.
Uma das maiores preocupações envolve o roubo de credenciais. A FortiGuard Labs relatou ter encontrado mais de 4.600 URLs relacionadas à FIFA dentro de logs gerados por malware que rouba credenciais. Pesquisadores também identificaram mais de 260 credenciais de funcionários da FIFA e mais de 270.000 credenciais pertencentes a usuários e torcedores que visitaram sites relacionados à FIFA. Os dados expostos estavam ligados a famílias de malwares incluindo Vidar, LummaC2 e RedLine. Pesquisadores alertaram que credenciais ainda mais antigas podem ser usadas em tentativas de tomada de conta, operações de phishing e campanhas de personificação.
A fraude direcionada a candidatos a emprego também surgiu como um tema principal. Segundo o relatório, agressores criaram campanhas de recrutamento falsas anunciando oportunidades de emprego relacionadas à Copa do Mundo. As vítimas foram direcionadas para páginas de login falsificadas, onde as credenciais foram coletadas após os usuários tentarem fazer login. Pesquisadores disseram que múltiplos domínios fraudulentos compartilhavam identificadores comuns de rastreamento, sugerindo atividade coordenada em vez de golpes isolados.
Campanhas de distribuição de malware também estão aproveitando o interesse dos torneios. A Fortinet identificou pacotes suspeitos de aplicativos Android com tema FIFA e executáveis maliciosos distribuídos por sites não oficiais. A empresa afirmou que atacantes estão explorando a demanda por ferramentas de transmissão ao vivo, aplicativos de apostas, rastreadores de placar e softwares promocionais disfarçando malware como aplicativos legítimos relacionados a torneios.
As conclusões estão alinhadas com alertas emitidos por organizações de segurança governamentais e do setor privado. O Centro de Segurança Cibernética do Canadá avaliou que cibercriminosos quase certamente explorarão o interesse público no torneio por meio de campanhas de phishing, vendas falsas de ingressos, ofertas de viagem fraudulentas, lojas de produtos falsificados, aplicativos móveis maliciosos e operações de roubo de credenciais.
Pesquisadores afirmam que o volume de atividade maliciosa demonstra que os atacantes estão tratando a Copa do Mundo como uma grande oportunidade de negócio. Em vez de esperar pelo início do jogo, os agentes ameaçadores já construíram a infraestrutura necessária para aproveitar os milhões de fãs que devem buscar ingressos, serviços de viagem, transmissões ao vivo e informações relacionadas ao torneio durante toda a competição.