Чемпионат мира по мошенничеству: как хакеры зарабатывают на футболе

И почему казахстанские болельщики уже на прицеле Автор: эксперт в области информационной безопасности, руководитель Target Information Security Лаура Тлепина 11 июня 2026 года в Мехико прозвучит стартовый свисток чемпионата мира по футболу. Миллиарды людей по всему миру соберутся у экранов. В Казахстане - тоже. Футбол в нашей стране любят искренне, и ажиотаж вокруг турнира уже ощущается в офисах, чатах и на кухнях. Пока одни планируют, где смотреть матчи, другие уже работают. Только их цель - не голы. Я говорю о киберпреступниках. И та инфраструктура, которую они выстроили к чемпионату - это не набор случайных фишинговых писем. Это целая индустрия, причем организованная, масштабная и уже запущенная на полную мощность Именно так - без преувеличений - охарактеризовала ЧМ-2026 компания Intel 471 в своем докладе. Цифры говорят сами за себя. С января 2026 года зарегистрировано около 19 000 доменов, содержащих слово «FIFA». FortiGuard Labs насчитал более 13 тыс. ЧМ-тематических доменов, из которых около 8,8% классифицированы как вредоносные. Group-IB отследила 4 300 мошеннических доменов, зарегистрированных начиная с августа 2025 года. Около 3 800 из них пока «спят» - припаркованы и ждут своего часа. Этот час - с 11 июня по 19 июля. По прогнозам, только на мошенничестве с VIP-билетами люди могут потерять от 71 до 474 млн долларов. Суммарный масштаб всей преступной кампании, по прогнозам Group-IB, - миллиарды долларов. Турнир еще не начался. Преступная инфраструктура - уже работает Есть три фактора, которые делают любое мошенничество успешным: дефицит, срочность и деньги в движении. Этот чемпионат объединил все три в невиданном масштабе. FIFA получила более 150 млн заявок на билеты в первые 15 дней продаж. Мест - 6 млн. Турнир переподписан примерно в 30 раз. Это означает одно: подавляющее большинство желающих не получили билеты официально и будут искать их в других местах. Именно там их и ждут «Мошенники эксплуатируют фанатский азарт, ограниченное количество билетов и страх упустить момент, - объясняет профессор кибербезопасности Джастин Миллер. - Киберпреступники следуют за вниманием, срочностью и деньгами. ЧМ находится на пересечении всех трёх» Palo Alto Networks Unit 42 в своем отчете указывает: что кибератаки на ЧМ - не разрозненные инциденты, а скоординированные кампании с готовой инфраструктурой, заранее выстроенной задолго до первого матча 1. Фейковые сайты для покупки билетов ФБР выпустило официальное предупреждение (PSA) 27 мая: киберпреступники создают убедительные копии сайта FIFA, воспроизводя брендинг, логотипы и интерфейс. Цель - украсть личные и учетные данные, реквизиты карт. FBI уже выявило десятки фейковых доменов: fifa[.]city, fifa[.]pink, fifaticket2026vip[.]com, fifa[.]moe, fifa[.]buzz, fifa-web[.]co, fifa-com[.]xyz. В некоторых случаях фейк отличается от настоящего сайта буквально одним символом в адресе. Достаточно не заметить - и вы на крючке 2. Банковские трояны в «бесплатных» трансляциях Это самая опасная схема для обычного болельщика - и самая актуальная для казахстанской аудитории, которая в большинстве будет смотреть матчи онлайн. Kaspersky и ThreatFabric выявили два семейства банковских троянов для Android - Massiv и Perseus - распространяемых через FIFA-тематические стриминговые приложения на сторонних сайтах. Ни одно из них недоступно в Google Play. После установки вредоносное ПО накладывает поддельные экраны входа поверх реальных банковских приложений, записывает нажатия клавиш, перехватывает СМС-коды и управляет экраном дистанционно. Perseus, созданный на основе кода трояна Cerberus, идет еще дальше. Он читает приложения для заметок и ищет сохраненные пароли и фразы восстановления криптокошельков. Intel 471 зафиксировала и распространение трояна BTMOB - через IPTV-сервисы DoxDoxIPTV, PortalTivi и Streamlixy, предлагающие «бесплатный» доступ к трансляциям ЧМ. Главный красный флаг: стриминговое приложение, запрашивающее доступ к функциям специальных возможностей Android. Ни одному легальному стриминговому приложению это не нужно 3. Фейковые магазины мерча Recorded Future выявила сеть из 33 мошеннических доменов, связанных примерно с 2 500 рекламными объявлениями на Meta. Поддельные магазины оформлены под официальные торговые точки FIFA. Товар - не приходит. Данные карты - уходят немедленно 4. Фейки в соцсетях и на платформах FortiGuard насчитал более 1 700 поддельных аккаунтов FIFA - почти 90% на Facebook и Instagram. Отдельно зафиксирована схема с фейковыми вакансиями FIFA: соискатели получают приглашение в Google Calendar, нажимают на ссылку - и попадают на поддельную страницу входа в Google, которая крадет их учетные данные Bitdefender отдельно отследил более 55 активных мошеннических рекламных кампаний на Meta, продвигающих фейковые коллекционные предметы, мерч и стриминг 5. «Вы выиграли 500 тысяч долларов от FIFA» Kaspersky зафиксировал массовую рассылку писем с предложениями якобы от FIFA от «грантов» и призов до полумиллиона долларов. Схема классическая, но в атмосфере ЧМ-ажиотажа конверсия резко растет 6. Криптовалютные ловушки Параллельно набирают обороты ЧМ-тематические криптопроекты. Например, токен $WORLDCUP с признаками классической pump-and-dump схемы: без независимого аудита, верифицированных команд и какой-либо связи с официальной FIFA Сразу честно: основной удар направлен на Северную Америку и Европу. Но это не значит, что наша аудитория в безопасности. Kaspersky выпустил специальное предупреждение. И причины очевидны! Первое - мошеннические сайты становятся многоязычными и принимают оплату в любой валюте, включая тенге. Второе - привычка смотреть матчи через сторонние приложения, именно в них и скрыты трояны Massiv, Perseus и BTMOB. Третье - Telegram считается главной платформой для получения информации. Именно в мессенджере сейчас активно продаются «билеты», «мерч» и «эксклюзивный доступ» к трансляциям. Это не слухи - это задокументированные каналы распространения мошеннических схем Если вы думаете, что речь идет только о частных лицах - вы ошибаетесь. Исследования показывают: более трети официальных партнеров FIFA не имеют надлежащей DMARC-защиты - это открывает возможности для подделки корпоративных доменов, перенаправления платежей и рассылки мошеннических счетов. Если это справедливо для официальных партнеров FIFA, что говорить об остальных? Любая казахстанская компания, связанная с туризмом, медиа, гостиничным сектором или просто организующая корпоративный просмотр матчей - потенциальная точка входа. Сотрудник, зашедший с рабочего устройства на фейковый сайт, открывает дверь в корпоративную сеть Турнир продлится до 19 июля. Это 38 дней активного окна мошенников адрес официального сайта FIFA - fifa.com - вводите руками в браузере. Никогда не переходите по ссылкам из рекламы или поиска. Билеты и мерч - покупайте самостоятельно; согласно официальному предупреждению ФБР: оплата криптовалютой за что-либо связанное с FIFA - стопроцентное мошенничество. FIFA так не работает; не устанавливайте стриминговые приложения со сторонних сайтов. Если приложение запрашивает доступ к «специальным возможностям» Android - немедленно удалите; письмо о выигрыше или гранте от «FIFA» - удалите и не открывайте вложения проведите короткий инструктаж для сотрудников. Напомните о рисках Telegram-каналов и сторонних сайтов; убедитесь, что корпоративные устройства не используются для скачивания неофициальных приложений; проверьте наличие DMARC-защиты на вашем домене - это можно сделать бесплатно за несколько минут И в заключение важно отметить, что каждый глобальный ивент - Олимпиада, ЧМ, крупные выборы - становится операционным окном для организованной киберпреступности. Это уже задокументированная закономерность, а не случайность. Эксперты предупреждают - злоумышленники заблаговременно выстраивают инфраструктуру, тестируют точки входа и активируют кампании в моменты пиковой видимости, именно тогда, когда люди меньше всего думают о безопасности. 11 июня миллионы людей откроют телефоны в поисках трансляций, билетов и мерча. Часть из них окажется на мошеннических страницах - не потому что они наивны, а потому что преступники подготовились лучше, чем большинство из нас. Теперь вы знаете, что именно искать, а это уже половина защиты При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции