Check Point Research (CPR) riporta i risultati di un rapporto, che rivela la presenza di una campagna coordinata volta a creare migliaia di domini falsi, botnet e strumenti di phishing, tutti mascherati da risorse legittime della FIFA e delle città ospitanti
Il contesto è la Coppa del Mondo di calcio FIFA 2026, che si sta avvicinando. Gli autori delle minacce sono già in campo, e stanno costruendo un'infrastruttura digitale progettata per sfruttare l'entusiasmo dei tifosi, interrompere la vendita dei biglietti e sottrarre entrate da uno dei più grandi eventi sportivi al mondo.
Dal 1° agosto 2025, Check Point ha identificato più di 4.300 domini di recente registrazione che compiono azioni di spoofing nei confronti della FIFA, della “Coppa del Mondo” o delle città ospitanti del torneo come Dallas, Miami, Toronto e Città del Messico. Queste registrazioni non sono organiche, ma arrivano a ondate sincronizzate, spesso utilizzando un'infrastruttura DNS identica, e sono raggruppate in modo compatto in una manciata di società di registrazione, ovvero aziende che forniscono servizi legati alla rete, che consentono registrazioni in blocco come GoDaddy, Namecheap, Dynadot e Gname.
È preoccupante che molti di questi domini siano progettati per un uso a lungo termine, con riferimenti alla Coppa del Mondo 2030 e 2034. Questa strategia di “invecchiamento dei domini” consente ai truffatori di costruire una credibilità nel tempo, una tattica spesso utilizzata nell'abuso mirato dei marchi.
Phishing in arrivo durante la prevendita dei biglietti
La prima fase di vendita dei biglietti della FIFA è già iniziata. I tifosi che hanno partecipato al sorteggio di prevendita anticipata (9-19 settembre) saranno informati dei risultati il 29 settembre, mentre l'acquisto dei biglietti sarà aperto agli utenti selezionati il 1° ottobre.
Questo periodo rappresenta un'occasione ideale per le frodi.
Si prevede che i malintenzionati invadano le caselle di posta elettronica e i motori di ricerca con e-mail di phishing, conferme di biglietti contraffatte e portali di waiting list fasulli, il tutto in concomitanza con le comunicazioni reali della FIFA. La probabilità di successo aumenta quando l'urgenza è alta e le aspettative sono reali.
“Quello a cui stiamo assistendo non è un caso isolato di criminalità informatica. Si tratta di un'infrastruttura costruita su larga scala per sfruttare l'interesse globale prima ancora dell'inizio dei Mondiali”, ha affermato Amit Weigman, Evangelist presso Check Point Software Technologies. “I malintenzionati non stanno aspettando il 2026. Stanno allineando la loro tempistica a quella della FIFA”.
Cosa ha scoperto Check Point Research
- Oltre 4.300 domini relativi alla FIFA registrati in meno di 60 giorni, con un picco di attività tra l'8 e il 12 agosto e nuovamente all'inizio di settembre.
- La concentrazione dei siti registrar su GoDaddy, Namecheap, Gname e Dynadot consente l'automazione di massa e una rapida implementazione.
- Il targeting linguistico si divide per pubblico: inglese per lo streaming, spagnolo e portoghese per la biglietteria e il merchandising, francese per i mercati europei.
- I domini di primo livello includono .com, .shop, .store, .online e .football, spesso scelti per il loro basso costo e la loro facilità d'uso.
- Le sovrapposizioni DNS suggeriscono un controllo centralizzato da parte di un piccolo numero di operatori semi-professionisti che utilizzano kit di frode scriptati.
- I canali Telegram e i forum del dark web stanno già promuovendo biglietti falsi, articoli contraffatti e toolkit per le frodi nei pagamenti.
Oltre alle semplici truffe, Check Point ha scoperto prove di attacchi sistematici progettati per destabilizzare l'infrastruttura di vendita dei biglietti della FIFA.
Le botnet vengono addestrate per intasare le code di prevendita, accaparrarsi i biglietti più richiesti e manipolare i modelli di prezzo dinamico. Sui mercati clandestini vengono venduti kit di strumenti personalizzati e proxy farm con istruzioni specifiche per la FIFA, che riecheggiano le tattiche utilizzate per interrompere le principali piattaforme di vendita dei biglietti come Ticketmaster.
Il panorama delle più gravi minacce
- I tifosi sono esposti a phishing, frodi finanziarie e malware attraverso siti di vendita di biglietti falsi e truffe relative alle dirette streaming.
- La FIFA e gli sponsor devono affrontare abusi del marchio, perdita di traffico e commercio di prodotti contraffatti.
- Le città ospitanti e le sedi degli eventi potrebbero vedere i viaggiatori bersagliati da truffe specifiche legate all'alloggio, ai trasporti o all'ospitalità.
- L'ecosistema Internet, comprese le reti pubblicitarie, i registrar e le piattaforme di messaggistica, rischia di diventare un canale di distribuzione delle frodi.
Raccomandazioni per chi utilizza l'infrastruttura
- Monitorare in modo proattivo le registrazioni di domini che utilizzano modelli di denominazione “FIFA + anno + città” in più lingue.
- Collaborare con i registrar per segnalare e rimuovere rapidamente i domini sospetti.
- Richiedere la verifica dell'identità per i domini che utilizzano parole chiave relative al torneo.
Raccomandazioni per la FIFA e i partner che vendono biglietti
- Rafforzare i sistemi anti-bot e di analisi comportamentale prima di ogni fase di biglietteria.
- Lanciare campagne verificate per superare gli annunci di ricerca fraudolenti.
- Comunicare chiaramente ai tifosi i canali ufficiali e le tempistiche.
Raccomandazioni per i tifosi
- Acquistare i biglietti solo da fonti ufficiali della FIFA.
- Esaminare attentamente le e-mail, in particolare per individuare domini con errori ortografici o offerte “troppo belle per essere vere”.
- Utilizzare estensioni di sicurezza del browser e mantenere aggiornato il software antivirus.
- Non fidarsi dei link Telegram o degli annunci sui social che promuovono “accessi VIP” o offerte anticipate.
Mancano ancora mesi alla Coppa del Mondo, ma la battaglia digitale per il 2026 è già iniziata. Imitando la tempistica della FIFA e sfruttando eventi reali come l'imminente finestra di prevendita, gli autori delle minacce si stanno posizionando per ottenere il massimo impatto.
Questa campagna non è solo opportunistica, è orchestrata. E se non viene affrontata ora, continuerà a crescere insieme alla portata globale del torneo.