FIFA World Cup 2026 đang trở thành miếng mồi ngon của tội phạm mạng

Nghiên cứu mới từ FortiGuard Labs tiết lộ rằng cơ sở hạ tầng tội phạm mạng liên quan đến FIFA World Cup 2026 đã đi vào hoạt động. Kể từ tháng 1 đến tháng 5 năm 2026, hơn 13.000 tên miền mới mang chủ đề FIFA World Cup 2026 đã được đăng ký. Khoảng 8,8% trong số các tên miền này đã được xác định là độc hại hoặc đáng ngờ thông qua phân tích mẫu và hoạt động lừa đảo.

Số lượng đó cho thấy các tác nhân đe dọa không chờ đợi trận đấu khai mạc và chúng đã “xuất phát” sớm.

Nghiên cứu FortiGuard Labs cũng chỉ ra sự gia tăng đáng kể về số lượng đăng ký tên miền liên quan đến FIFA từ tháng 3 đến tháng 5 năm 2026, với nhiều tên miền lạm dụng thương hiệu FIFA và bao gồm các thuật ngữ liên quan đến vé, dịch vụ phát trực tuyến, nền tảng cá cược và dịch vụ khách sạn.

Các tác nhân đe dọa đã tạo ra hàng trăm trang web giả mạo trông hợp pháp và đáng tin đến mức có thể chiếm được lòng tin của người hâm mộ trong vài giây ngay khi họ tìm kiếm vé, các thông tin phát trực tuyến trận đấu, các gói du lịch và hàng hóa liên quan đến sự kiện. Chỉ vài giây mất cảnh giác, cánh cửa dẫn đến một vụ lừa đảo đã rộng mở.

Phần mềm độc hại, lừa đảo trực tuyến và tấn công web đang là loại hình phổ biến nhất của các cuộc tấn công mạng

Báo cáo đã xác định một số mối đe dọa chính liên quan đến sự kiện:

• Các trang web lừa đảo và bán vé giả mạo

• Lừa đảo bán lại vé được quảng bá qua Telegram và các kênh khác

• Các cửa hàng bán hàng giả mạo

• Các ứng dụng cá cược và phát trực tuyến độc hại

• Bộ ứng dụng Android (APK) của bên thứ ba có nguy cơ chứa phần mềm độc hại

• Tài khoản mạo danh trên mạng xã hội

• Các bài đăng tuyển dụng giả mạo và các chiêu trò dụ dỗ tuyển dụng

• Lừa đảo tiền điện tử và các chương trình tặng tiền ảo giả mạo

• Lộ thông tin đăng nhập liên quan đến phần mềm độc hại đánh cắp thông tin và dữ liệu

Những phát hiện này cho thấy sự tồn tại và phát triển của một hệ sinh thái tội phạm mạng rộng lớn xoay quanh giải đấu. Mối đe dọa này vượt xa một loại hình lừa đảo, nền tảng hoặc nhóm nạn nhân cụ thể.

Một số vụ lừa đảo điển hình có thể kể đến các vụ lừa đảo liên quan đến vé. Thông thường, người hâm mộ không thể mua vé qua các kênh chính thức mà thường chuyển sang các trang web bán lại, các nhóm mạng xã hội, kênh Telegram, quảng cáo tìm kiếm hoặc các “chợ đen”. Kẻ tấn công đánh vào tâm lý nóng vội của người hâm mộ bằng cách quảng cáo các chương trình giảm giá có thời hạn ngắn nhằm gây áp lực buộc nạn nhân đưa ra quyết định nhanh chóng.

FortiGuard Labs đã xác định được nhiều trang web bán vé giả mạo bắt chước các trang chính thức của FIFA để thu thập thông tin cá nhân, thông tin đăng nhập, dữ liệu thanh toán và hóa đơn. Ví dụ, một tên miền được đăng ký vào tháng 5 năm 2026 đã sao chép nội dung của FIFA và sử dụng quy trình thanh toán giả mạo để thu thập thông tin nhạy cảm của nạn nhân.

Fortinet dự báo các mối đe dọa an ninh mạng năm 2026 và xu hướng 'công nghiệp hóa' của tội phạm mạng

Báo cáo cũng ghi nhận các vụ lừa đảo vé được quảng cáo trên các diễn đàn ngầm và kênh Telegram. Một số chiến dịch đã kết hợp vé xem trận đấu giả mạo với các gói vé máy bay và khách sạn giả mạo để làm cho các ưu đãi đầy đủ, thuận tiện và đáng tin cậy hơn.

Phương thức lừa đảo này hoạt động dựa trên dự đoán hành vi điển hình của người hâm mộ. Một người dùng đang cố gắng mua vé có thể không suy nghĩ như một nhà phân tích an ninh. Họ đang cố gắng đảm bảo có được một chỗ ngồi trước khi nó biến mất.

Thực tế từ nghiên cứu của FortiGuard Labs cho thấy đã xác định hơn 1.700 tài khoản và kênh nghi ngờ giả mạo liên quan đến FIFA trên các nền tảng mạng xã hội và nhắn tin. Gần 90% các trường hợp này xảy ra trên Facebook và Instagram.

Những tài khoản này có thể bị lợi dụng cho các hoạt động quảng cáo giả mạo, lừa đảo vé, liên kết phát trực tiếp gian lận, thực hiện tấn công phishing, thông tin sai lệch và phát tán phần mềm độc hại. Ngoài ra, đây cũng là một phương thức có chi phí thấp giúp kẻ tấn công tiếp cận trực tiếp người hâm mộ, đặc biệt khi họ thường xuyên thảo luận về đội bóng, trận đấu, kế hoạch di chuyển và tình trạng vé trên các nền tảng trực tuyến.

Các vụ lừa đảo trên mạng xã hội đặc biệt thuyết phục vì chúng thường xuất hiện trong các cuộc trò chuyện hợp pháp. Ví dụ, một người bán vé giả mạo trong một nhóm người hâm mộ, một liên kết phát trực tiếp được chia sẻ ngay trước trận đấu hoặc một tài khoản có thương hiệu FIFA có thể trông đủ đáng tin cậy để khiến người dùng nhấp chuột.

Số lượng đăng ký tên miền tăng mạnh trong giai đoạn từ tháng 3 đến tháng 5 năm 2026

Báo cáo cũng nhấn mạnh sự xuất hiện của các ứng dụng độc hại liên quan đến những hoạt động xoay quanh World Cup. Một tệp thực thi được phát hiện với tên ‘1xbet.exe,’ cho thấy dấu hiệu của sự tồn tại dai dẳng, liên lạc được mã hóa và có thể là hành vi của phần mềm tống tiền. FortiGuard Labs cũng tìm thấy các tệp APK đáng ngờ theo chủ đề FIFA trên các trang web tải xuống của bên thứ ba.

Điều này rất quan trọng vì các sự kiện thể thao lớn thường làm tăng nhu cầu về các ứng dụng cá cược, công cụ phát trực tiếp, theo dõi tỷ số và ứng dụng khuyến mãi. Kẻ tấn công khai thác nhu cầu này bằng cách phân phối phần mềm giả mạo hoặc phần mềm nhiễm mã độc Trojan trông có vẻ hợp pháp.

Việc cài đặt ứng dụng từ các nguồn không chính thức có thể khiến thiết bị của bạn bị tấn công bởi phần mềm gián điệp, đánh cắp thông tin đăng nhập, công cụ truy cập từ xa hoặc các phần mềm độc hại khác. Rủi ro này tăng lên khi người dùng bỏ qua các cảnh báo bảo mật để truy cập vào các luồng phát trực tiếp, chương trình khuyến mãi hoặc nền tảng cá cược.

Tội phạm mạng dùng AI tăng gấp 3 lần tại Việt Nam Khảo sát mới của Fortinet cho thấy 52% doanh nghiệp Việt Nam đã gặp phải tấn công mạng có sự hỗ trợ của AI, với ...

Một hình thức lừa đảo rất đáng quan ngại khác là khi nhu cầu về lao động thời vụ, nhà thầu, nhân viên phục vụ, nhân viên hậu cần, hỗ trợ truyền thông và các nhân sự hỗ trợ khác cho sự kiện tăng cao. Trước nhu cầu này, kẻ tấn công một mục tiêu hấp dẫn khác để khai thác.

Ví dụ, FortiGuard Labs đã xác định một kế hoạch đánh cắp thông tin đăng nhập sử dụng các tin tuyển dụng giả mạo liên quan đến FIFA và các bài đăng tuyển dụng của nhà tài trợ. Kẻ tấn công đã gửi lời mời tham dự sự kiện trên lịch và hướng nạn nhân đến các trang web lừa đảo với trang đăng nhập Google giả mạo. Khi nạn nhân nhập thông tin đăng nhập, họ nhận được một thông báo lỗi chung chung, cho phép kẻ tấn công thu thập thông tin của họ.

Nhiều tên miền mạo danh FIFA, nhà tài trợ và các tổ chức liên kết đã chia sẻ cùng một ID theo dõi Google Analytics, cho thấy một chiến dịch phối hợp. Quá trình đánh cắp thông tin đăng nhập đã sử dụng API được lưu trữ trên Render, cho thấy cách kẻ tấn công có thể khai thác các dịch vụ đám mây hợp pháp để triển khai cơ sở hạ tầng độc hại dễ dàng hơn và gây khó khăn trong việc phân biệt với hoạt động web thông thường.

Ví dụ hình ảnh các tài khoản giả mạo trên nhiều nền tảng mạng xã hội

Báo cáo của FortiGuard Labs cũng tìm thấy bằng chứng về hoạt động liên quan đến FIFA trong dữ liệu nhật ký của phần mềm đánh cắp thông tin. FortiGuard Labs đã phát hiện hơn 4.600 URL liên kết với FIFA trong nhật ký của phần mềm đánh cắp thông tin, được kết nối với các họ phần mềm độc hại như Vidar, LummaC2 và RedLine. Ngoài ra, nghiên cứu đã phát hiện hơn 260 thông tin đăng nhập của nhân viên FIFA và hơn 270.000 thông tin đăng nhập từ người dùng và người hâm mộ truy cập các trang web liên quan đến FIFA trong dữ liệu nhật ký của phần mềm đánh cắp thông tin dựa trên dấu phân cách.

Thêm vào đó, FortiGuard Labs đã tìm thấy hơn 1.500 bản ghi về tài khoản nhân viên và tổ chức liên quan đến FIFA trong các bộ dữ liệu vi phạm trước đây.