FIFA World Cup 2026 trở thành mục tiêu mới của tội phạm mạng

Ngày 11/6, Giải vô địch bóng đá thế giới FIFA World Cup 2026 sẽ chính thức khai mạc. Các chuyên gia an ninh mạng đã ghi nhận sự gia tăng mạnh mẽ của các hoạt động tội phạm mạng lợi dụng sức hút của sự kiện thể thao lớn nhất hành tinh để thực hiện lừa đảo, đánh cắp thông tin và phát tán phần mềm độc hại.

HƠN 13.000 TÊN MIỀN LIÊN QUAN WORLD CUP ĐƯỢC ĐĂNG KÝ

Theo nghiên cứu mới nhất của FortiGuard Labs, cơ sở hạ tầng phục vụ các chiến dịch tấn công mạng liên quan đến FIFA World Cup 2026 đã được chuẩn bị từ nhiều tháng trước. Từ tháng 1 đến tháng 5/2026, hơn 13.000 tên miền mới mang chủ đề World Cup 2026 đã được đăng ký. Đáng chú ý, khoảng 8,8% trong số đó được xác định là độc hại hoặc có dấu hiệu đáng ngờ thông qua phân tích hành vi và hoạt động lừa đảo.

Các chuyên gia nhận định, các tác nhân đe dọa không chờ đến ngày khai mạc mới hành động mà đã bắt đầu xây dựng hạ tầng tấn công từ rất sớm.

Các sự kiện thể thao quốc tế quy mô lớn luôn thu hút lượng tìm kiếm và giao dịch trực tuyến khổng lồ. Người hâm mộ liên tục tìm kiếm vé xem thi đấu, ưu đãi du lịch, dịch vụ lưu trú, các nền tảng phát trực tiếp trận đấu, cá cược hay đơn giản là cập nhật thông tin về giải đấu. Trong khi đó, các tổ chức liên quan phải xử lý khối lượng công việc lớn liên quan đến hậu cần, nhân sự, di chuyển, chăm sóc khách hàng và truyền thông.

Chính sự tập trung cao độ của người dùng và các tổ chức đã tạo ra môi trường thuận lợi để tội phạm mạng khai thác.

"HỆ SINH THÁI LỪA ĐẢO": TỪ VÉ GIẢ, MẠNG XÃ HỘI ĐẾN PHẦN MỀM ĐỘC HẠI

Nghiên cứu của FortiGuard Labs cho thấy số lượng tên miền liên quan đến FIFA tăng mạnh trong giai đoạn từ tháng 3 đến tháng 5/2026. Nhiều tên miền lạm dụng thương hiệu FIFA, kết hợp các từ khóa liên quan đến vé xem thi đấu, dịch vụ phát trực tuyến, nền tảng cá cược và khách sạn.

Số lượng đăng ký tên miền tăng mạnh trong giai đoạn từ tháng 3 đến tháng 5 năm 2026. Ảnh: FortiGuard Labs

Các đối tượng tấn công đã xây dựng hàng trăm website giả mạo với giao diện tương tự các trang hợp pháp nhằm đánh cắp thông tin cá nhân, thông tin đăng nhập và dữ liệu thanh toán của người dùng. Chỉ cần vài giây mất cảnh giác khi tìm kiếm vé, gói du lịch hoặc thông tin phát sóng trận đấu, người hâm mộ có thể trở thành nạn nhân của các vụ lừa đảo.

Báo cáo xác định nhiều hình thức tấn công nổi bật, bao gồm các website bán vé giả, các chiến dịch bán lại vé được quảng bá qua Telegram và nhiều nền tảng khác, cửa hàng trực tuyến giả mạo, ứng dụng cá cược và phát trực tuyến độc hại, các tệp APK chứa mã độc, tài khoản mạo danh trên mạng xã hội, tin tuyển dụng giả, lừa đảo tiền điện tử và các chiến dịch đánh cắp thông tin đăng nhập.

Trong đó, vé giả tiếp tục là một trong những hình thức lừa đảo có rủi ro cao nhất. Khi không thể tiếp cận vé qua các kênh chính thức, nhiều người hâm mộ tìm đến các trang bán lại vé, nhóm mạng xã hội hoặc quảng cáo trực tuyến. Kẻ gian lợi dụng tâm lý sợ bỏ lỡ cơ hội để tung ra các chương trình khuyến mãi có thời hạn ngắn, buộc người dùng đưa ra quyết định vội vàng.

FortiGuard Labs đã phát hiện nhiều website bán vé giả mạo sao chép nội dung từ FIFA và sử dụng quy trình thanh toán giả nhằm thu thập thông tin nhạy cảm. Một số chiến dịch còn kết hợp vé xem trận đấu giả với vé máy bay và khách sạn giả để tăng độ tin cậy.

Song song với đó, các nền tảng mạng xã hội cũng trở thành công cụ quan trọng trong các chiến dịch lừa đảo. FortiGuard Labs ghi nhận hơn 1.700 tài khoản và kênh nghi mạo danh FIFA trên các nền tảng mạng xã hội và ứng dụng nhắn tin, trong đó gần 90% xuất hiện trên Facebook và Instagram.

Các tài khoản này được sử dụng để quảng bá vé giả, phát tán liên kết phát trực tiếp gian lận, thực hiện các cuộc tấn công phishing, lan truyền thông tin sai lệch hoặc phát tán phần mềm độc hại. Do thường xuất hiện trong các cuộc thảo luận hợp pháp của người hâm mộ, những tài khoản giả mạo này có khả năng tạo dựng lòng tin rất nhanh.

Một xu hướng đáng chú ý khác là sự xuất hiện của các phần mềm độc hại liên quan đến các hoạt động xoay quanh World Cup. FortiGuard Labs phát hiện một tệp thực thi mang tên “1xbet.exe” có dấu hiệu của phần mềm độc hại với khả năng duy trì hiện diện trên hệ thống, liên lạc được mã hóa và có thể liên quan đến hành vi của mã độc tống tiền.

Ngoài ra, các chuyên gia cũng ghi nhận nhiều tệp APK đáng ngờ theo chủ đề FIFA được phát tán trên các trang tải ứng dụng của bên thứ ba. Đây là nguy cơ lớn khi nhu cầu sử dụng các ứng dụng cá cược, xem trực tiếp trận đấu, theo dõi tỷ số và nhận khuyến mãi thường tăng mạnh trong mùa giải.

TIN TUYỂN DỤNG GIẢ MẠO

Không chỉ nhắm vào người hâm mộ, các đối tượng tấn công còn khai thác nhu cầu tuyển dụng phục vụ World Cup 2026.

Giải đấu tạo ra nhu cầu lớn đối với lao động thời vụ, nhân viên hậu cần, truyền thông, dịch vụ và hỗ trợ sự kiện. Lợi dụng điều này, nhiều chiến dịch tuyển dụng giả mạo đã xuất hiện nhằm đánh cắp thông tin đăng nhập.

Các trang web phát trực tuyến giả mạo được chia sẻ trên mạng xã hội. Ảnh: FortiGuard Labs

FortiGuard Labs ghi nhận một chiến dịch sử dụng các tin tuyển dụng liên quan đến FIFA và nhà tài trợ để dẫn dụ nạn nhân truy cập các trang đăng nhập Google giả mạo. Sau khi người dùng nhập thông tin đăng nhập, dữ liệu sẽ bị chuyển trực tiếp tới các đối tượng tấn công.

Nghiên cứu cũng phát hiện nhiều tên miền mạo danh FIFA và các tổ chức liên quan cùng sử dụng chung một mã theo dõi Google Analytics, cho thấy khả năng tồn tại của các chiến dịch có tổ chức và được điều phối tập trung.

Đặc biệt đáng lo ngại là tình trạng lộ lọt thông tin đăng nhập. FortiGuard Labs phát hiện hơn 4.600 URL liên quan đến FIFA xuất hiện trong dữ liệu thu thập từ các phần mềm đánh cắp thông tin như Vidar, LummaC2 và RedLine.

Báo cáo cũng ghi nhận hơn 260 thông tin đăng nhập của nhân viên FIFA cùng hơn 270.000 thông tin đăng nhập của người dùng và người hâm mộ từng truy cập các website liên quan đến FIFA xuất hiện trong các bộ dữ liệu thu thập được từ phần mềm đánh cắp thông tin. Ngoài ra, hơn 1.500 bản ghi liên quan đến tài khoản của nhân viên và tổ chức liên quan đến FIFA cũng được phát hiện trong các tập dữ liệu rò rỉ trước đây.

Theo FortiGuard Labs, điều này không đồng nghĩa tất cả các tài khoản đều đang hoạt động hoặc đã bị khai thác. Tuy nhiên, việc các đối tượng tấn công sở hữu lượng dữ liệu lớn như vậy có thể tạo điều kiện cho các hoạt động chiếm đoạt tài khoản, lừa đảo có chủ đích, mạo danh và gian lận.

BÀI HỌC AN NINH MẠNG TỪ BỨC TRANH FIFA WORLD CUP 2026

Trước thực trạng trên, FortiGuard Labs khuyến nghị các tổ chức trong lĩnh vực thể thao, du lịch, khách sạn, truyền thông, bán lẻ, tài chính, vận tải, chính phủ và hạ tầng trọng yếu cần chủ động triển khai các biện pháp phòng vệ từ sớm.

Các đội ngũ an ninh mạng cần tăng cường giám sát các tên miền giả mạo, hành vi mạo danh thương hiệu, quảng cáo độc hại, tài khoản mạng xã hội giả và các dấu hiệu rò rỉ thông tin đăng nhập liên quan đến nhân viên, đối tác cũng như khách hàng.

Đối với người dùng, việc chỉ sử dụng các kênh bán vé chính thức, tránh cài đặt ứng dụng APK từ nguồn không xác thực, thận trọng với các liên kết phát trực tiếp, xác minh thông tin tuyển dụng từ các website chính thức và cảnh giác với các yêu cầu thanh toán khẩn cấp là những biện pháp cần thiết để giảm thiểu rủi ro.

Theo các chuyên gia, bài học quan trọng nhất từ bức tranh an ninh mạng quanh FIFA World Cup 2026 là tội phạm mạng luôn tận dụng những sự kiện thu hút sự chú ý toàn cầu để mở rộng hoạt động. Khi giải đấu lớn nhất hành tinh chuẩn bị khởi tranh, các chiến dịch tấn công cũng đã sẵn sàng, đòi hỏi cả tổ chức lẫn người dùng phải chủ động xây dựng các phương án phòng thủ phù hợp.

FIFA World Cup 2026 là Báo cáo toàn cảnh tình hình an ninh mạng từ FortiGuard Labs cung cấp phân tích chuyên sâu về các tên miền mới đăng ký, cơ sở hạ tầng độc hại, tài khoản mạo danh, quy trình đặt vé giả mạo, lừa đảo việc làm, hoạt động phần mềm độc hại, lộ thông tin đăng nhập, hoạt động trên diễn đàn ngầm và việc tái sử dụng cơ sở hạ tầng liên quan đến các chiến dịch theo chủ đề giải đấu.