Devis de remise multi-licences
Données concernant les menaces Sites Web malveillants Arnaque à la Coupe du Monde FIFA 2026

Arnaque à la Coupe du Monde FIFA 2026

Par Mezo en Sites Web malveillants, Logiciels malveillants
Se traduisent par :

Des chercheurs en sécurité et le FBI avertissent qu'une vague de fraudes à grande échelle sur le thème de la FIFA cible déjà les fans de la Coupe du monde 2026, alors que le tournoi ne commencera que le 11 juin.

Cet événement représente une aubaine pour les cybercriminels. Plus de six millions de spectateurs sont attendus pour assister aux matchs dans 16 villes des États-Unis, du Canada et du Mexique. La FIFA a annoncé avoir reçu plus de 150 millions de demandes de billets au cours des 15 premiers jours de la vente, soit une demande environ 30 fois supérieure à l'offre. La rareté des billets, l'impatience des supporters et la rapidité des transactions ont créé un contexte propice à la fraude à grande échelle.

Des enquêtes récentes ont mis au jour des milliers de domaines frauduleux sur le thème de la FIFA, des logiciels malveillants dissimulés dans des applications de streaming non autorisées et des campagnes d'hameçonnage sophistiquées capables de pirater des comptes FIFA légitimes.

L’essor du réseau d’hameçonnage GHOST STADIUM

Des chercheurs ont identifié plus de 4 300 domaines frauduleux liés à la FIFA enregistrés depuis août 2025. Au cœur de cette activité se trouve un groupe sinophone à motivation financière connu sous le nom de GHOST STADIUM, qui exploite une infrastructure de phishing s’étendant sur plus de 300 sites web.

L'opération repose sur une réplique extrêmement convaincante du site officiel de la FIFA. Les fausses pages imitent fidèlement le système d'authentification unique (SSO) de la FIFA, basé sur PingIdentity, et utilisent même un identifiant client légitime copié de la plateforme officielle. Pour renforcer leur crédibilité, les images sont chargées directement depuis les serveurs de la FIFA, ce qui permet aux sites de contourner certains systèmes de détection de contenu copié.

La fonctionnalité la plus dangereuse est une fonction de réinitialisation de mot de passe frauduleuse. Les victimes qui saisissent leurs identifiants sans le savoir donnent le contrôle de leurs comptes à des pirates, qui peuvent alors bloquer l'accès au titulaire légitime et revendre les billets associés.

Le trafic provient principalement des publicités Facebook, les mêmes identifiants de suivi étant utilisés sur l'ensemble du réseau d'hameçonnage. D'autres visiteurs arrivent via des chaînes Telegram, des messages WhatsApp et des résultats de recherche manipulés.

L'infrastructure frauduleuse accepte les paiements par de multiples canaux, notamment les transactions par carte bancaire directes, les plateformes de paiement tierces, les services de transfert d'argent tels que Chime et Nequi, les processeurs de paiement régionaux mexicains et les systèmes de conversion de cryptomonnaies. L'option des cryptomonnaies est particulièrement dangereuse car elle rend la récupération des fonds volés beaucoup plus difficile.

Un signal d'alarme est sans équivoque : la plateforme de billetterie officielle de la FIFA n'accepte pas les cryptomonnaies. Tout vendeur exigeant un paiement en cryptomonnaie doit être considéré comme frauduleux.

Les chercheurs estiment que la fraude aux billets premium et VIP pourrait à elle seule engendrer des pertes allant de 71 à 474 millions de dollars. Compte tenu de l'ampleur de l'infrastructure découverte, le préjudice total pourrait potentiellement atteindre des milliards de dollars, bien que ces chiffres restent des projections et non des pertes confirmées.

Un écosystème de fraude en pleine expansion

Entre janvier et mai seulement, plus de 13 000 noms de domaine sur le thème de la Coupe du monde ont été enregistrés, dont environ 8,8 % ont été identifiés comme malveillants ou suspects.

Le FBI a déjà publié des avertissements recensant de nombreux domaines frauduleux liés à la FIFA, notamment des sites web imitant le nom de domaine de la FIFA avec des fautes d'orthographe et de faux portails d'emploi. Les enquêteurs s'attendent à ce que d'autres domaines malveillants apparaissent à l'approche du tournoi. D'autres équipes de sécurité ont également identifié des milliers de sites web frauduleux et plus d'un millier de faux profils sur les réseaux sociaux.

Les arnaques à la billetterie ne représentent qu'une partie d'un écosystème criminel bien plus vaste. Les fraudeurs exploitent également des boutiques de contrefaçon, de fausses plateformes de paris sportifs et des services de streaming frauduleux qui, en plus de facturer des abonnements, diffusent des logiciels malveillants permettant aux attaquants de prendre le contrôle à distance des appareils de leurs victimes.

D'autres stratagèmes incluent de fausses notifications de loterie FIFA promettant des gains allant jusqu'à 2 millions de dollars. Les chercheurs ont également identifié un marché en pleine expansion du phishing à la demande, où les criminels peuvent acheter des kits d'escroquerie prêts à l'emploi et des robots d'achat de billets automatisés, facilitant ainsi l'entrée de nouveaux acteurs dans le paysage de la fraude.

Ces opérations sont étroitement liées. Les faux domaines captent les recherches liées aux billets, les publicités et les résultats de recherche manipulés génèrent du trafic, les bases de données d'identifiants volées permettent la prise de contrôle de comptes et les applications mobiles malveillantes transforment une recherche de flux gratuits en fraude bancaire.

Applications de streaming qui captent bien plus que l’attention

Pour les fans à la recherche de retransmissions gratuites de la Coupe du monde, les appareils mobiles peuvent présenter le plus grand risque.

Des chercheurs ont récemment observé une recrudescence d'applications de streaming non officielles et malveillantes se faisant passer pour des services populaires comme RojaDirecta, aux alentours de la finale de la Ligue des champions de l'UEFA. Des campagnes similaires devraient s'intensifier pendant la Coupe du monde.

Plusieurs de ces applications ont été associées à des chevaux de Troie bancaires Android, notamment des familles de logiciels malveillants connues sous les noms de Massiv et Perseus. Comme ces applications ne sont pas disponibles sur Google Play, les utilisateurs doivent contourner les avertissements de sécurité intégrés à Android pour les installer.

Une fois installé, le logiciel malveillant exploite les services d'accessibilité d'Android pour obtenir un contrôle étendu de l'appareil. Les attaquants peuvent ainsi afficher de fausses pages de connexion bancaire par-dessus des applications légitimes, enregistrer les frappes au clavier, intercepter les codes d'authentification à usage unique envoyés par SMS et via des applications d'authentification, et piloter l'appareil à distance.

Perseus, développé à partir du code source divulgué du cheval de Troie bancaire Cerberus, va encore plus loin en recherchant dans les applications de prise de notes les mots de passe et les phrases de récupération de cryptomonnaies qui y sont stockés.

Une application de streaming demandant des autorisations d'accessibilité sans raison légitime doit être considérée comme un signal d'alarme majeur en matière de sécurité.

Les réseaux sociaux deviennent un terrain de chasse

Les plateformes de médias sociaux sont devenues un canal de diffusion privilégié pour les arnaques liées à la Coupe du monde.

Des chercheurs ont découvert plus de 55 campagnes publicitaires sur le thème du football diffusées sur Facebook et Instagram, faisant la promotion de maillots contrefaits, de fausses cartes Panini et de sites web frauduleux. L'analyse de l'infrastructure publicitaire a permis de relier plusieurs de ces opérations à des opérateurs chinois.

Les enquêteurs ont également recensé plus de 1 700 faux comptes FIFA sur les réseaux sociaux, dont près de 90 % opèrent sur Facebook et Instagram. Une campagne notable a utilisé de fausses offres d’emploi et des invitations frauduleuses de la FIFA pour rediriger les candidats vers de fausses pages de connexion Google.

Parallèlement, des identifiants FIFA volés circulent déjà sur les marchés illégaux. Des chercheurs en sécurité ont établi un lien entre des centaines de milliers de comptes utilisateurs compromis et plus de 4 600 adresses web liées à la FIFA et des familles de logiciels malveillants voleurs d’identifiants telles que Vidar, LummaC2 et RedLine.

Risques liés au Wi-Fi public dans les villes hôtes

Les réseaux sans fil dans les villes hôtes de la Coupe du monde introduisent un niveau de risque supplémentaire.

Une enquête menée à Mexico, Monterrey et Guadalajara a révélé que 10 à 12 % des réseaux Wi-Fi détectés étaient totalement ouverts et non sécurisés. Près de la moitié d'entre eux avaient encore la configuration Wi-Fi protégée (WPS) activée, ce qui augmentait les risques d'attaques.

Ces faiblesses facilitent le déploiement par les criminels de hotspots « jumeaux maléfiques » — des réseaux malveillants conçus pour imiter des points d'accès Wi-Fi légitimes et intercepter secrètement le trafic des utilisateurs.

Comment les fans et les organisations peuvent rester protégés

Plusieurs signes avant-coureurs peuvent aider à identifier les arnaques liées à la Coupe du monde avant que des dommages ne surviennent :

  • Achetez vos billets uniquement sur le site officiel de la FIFA et saisissez manuellement l'adresse web, sans vous fier aux publicités ni aux liens des moteurs de recherche. Activez l'authentification multifacteurs sur vos comptes FIFA et évitez tout vendeur demandant des paiements en cryptomonnaie.
  • Évitez d'installer des applications de streaming non officielles, surtout celles qui demandent des autorisations d'accès. Lorsque vous utilisez le Wi-Fi public dans les villes hôtes, privilégiez les données mobiles et évitez d'accéder à vos comptes bancaires, de messagerie ou autres comptes sensibles.

Les organisations ont également un rôle important à jouer. Les équipes de sécurité doivent surveiller les nouveaux domaines enregistrés sur le thème de la FIFA, détecter les pages de connexion frauduleuses, identifier les employés ou les clients dont les identifiants ont été compromis dans les fuites de données Vidar, LummaC2 ou RedLine, et préparer les équipes de réponse à la fraude à une augmentation des litiges et des demandes de remboursement concernant la billetterie pendant toute la durée du tournoi.

Les menaces qui n’attendent qu’à se manifester

Le constat le plus inquiétant est peut-être que près de 3 800 domaines frauduleux connus liés à la FIFA restent inactifs et en attente, prêts à être déployés à tout moment.

Avec la prolifération des kits d'hameçonnage, des robots automatisés et des identifiants volés, les chercheurs prévoient que la période la plus à risque s'étendra du 11 juin au 19 juillet. Durant cette période, les recherches de billets, de réservations de voyage et de services de streaming atteindront leur apogée, créant ainsi des conditions idéales pour l'expansion des opérations des cybercriminels.

Tendance

Arnaque par e-mail : devis et détails techniques

Hameçonnage, Courrier indésirable
Les cybercriminels perfectionnent sans cesse leurs techniques pour rendre les courriels frauduleux plus crédibles. C'est pourquoi la vigilance est essentielle dès qu'un message inattendu arrive dans votre boîte de réception. Même les courriels d'apparence professionnelle et commerciale peuvent être des arnaques soigneusement élaborées pour dérober des informations sensibles. La campagne de...

Le plus regardé

Chargement...