Hệ sinh thái tấn công mạng đã được chuẩn bị từ nhiều tháng trước khi FIFA World Cup 2026 diễn ra

Nghiên cứu của FortiGuard Labs cho thấy cơ sở hạ tầng phục vụ các chiến dịch tấn công mạng liên quan đến FIFA World Cup 2026 đã được xây dựng từ rất sớm. Trong giai đoạn từ tháng 01 đến tháng 5/2026, hơn 13.000 tên miền mới mang chủ đề FIFA World Cup 2026 đã được đăng ký. Đáng chú ý, khoảng 8,8% trong số các tên miền này được xác định là độc hại hoặc đáng ngờ thông qua phân tích mẫu và hoạt động lừa đảo.

Số lượng đăng ký tên miền tăng mạnh trong giai đoạn từ tháng 3 đến tháng 5/2026

Bên cạnh đó, các nhà nghiên cứu của FortiGuard Labs đã phát hiện hơn 1.700 tài khoản và kênh nghi ngờ giả mạo liên quan đến FIFA trên các nền tảng mạng xã hội và ứng dụng nhắn tin. Gần 90% số trường hợp được ghi nhận trên Facebook và Instagram. Những tài khoản này thường được sử dụng để quảng bá vé giả, phát tán liên kết độc hại, thực hiện các cuộc tấn công phishing, lan truyền thông tin sai lệch hoặc phát tán phần mềm độc hại.

Báo cáo cũng ghi nhận tình trạng lộ lọt dữ liệu ở mức đáng lo ngại. FortiGuard Labs phát hiện hơn 4.600 URL liên quan đến FIFA xuất hiện trong dữ liệu nhật ký của các phần mềm đánh cắp thông tin như Vidar, LummaC2 và RedLine. Ngoài ra, nghiên cứu còn phát hiện hơn 260 thông tin đăng nhập của nhân viên FIFA và hơn 270.000 thông tin đăng nhập của người dùng, người hâm mộ truy cập các trang web liên quan đến FIFA trong dữ liệu thu thập được từ các phần mềm đánh cắp thông tin. Hơn 1.500 bản ghi về tài khoản của nhân viên và các tổ chức liên quan đến FIFA cũng được tìm thấy trong các bộ dữ liệu vi phạm trước đây.

Theo FortiGuard Labs, những số liệu này cho thấy các tác nhân đe dọa không chờ đến ngày khai mạc giải đấu mới hành động mà đã chuẩn bị cơ sở hạ tầng và triển khai các chiến dịch từ nhiều tháng trước đó.

 Các tài khoản giả mạo trên nhiều nền tảng mạng xã hội

Vé giả và website giả mạo tiếp tục là chiêu trò phổ biến

Báo cáo xác định nhiều hình thức lừa đảo đang được triển khai xoay quanh World Cup 2026, bao gồm các website bán vé giả mạo, hoạt động bán lại vé trên Telegram và các nền tảng trực tuyến, ứng dụng cá cược và phát trực tuyến độc hại, tài khoản mạng xã hội giả mạo, lừa đảo tiền điện tử và các chương trình tặng tiền ảo giả.

Trong đó, lừa đảo vé vẫn là một trong những mối đe dọa dễ nhận thấy và có mức độ rủi ro cao nhất. Lợi dụng nhu cầu sở hữu vé của người hâm mộ, các đối tượng tấn công đã xây dựng nhiều website sao chép giao diện các trang chính thức của FIFA nhằm thu thập thông tin cá nhân, thông tin đăng nhập, dữ liệu thanh toán và hóa đơn.

FortiGuard Labs ghi nhận một số tên miền được đăng ký trong tháng 5/2026 đã sao chép nội dung của FIFA và sử dụng quy trình thanh toán giả mạo để đánh cắp thông tin nhạy cảm của người dùng. Ngoài ra, nhiều chiến dịch còn kết hợp vé xem trận đấu giả với các gói vé máy bay và khách sạn giả mạo nhằm tăng tính thuyết phục đối với nạn nhân.

Các trang web phát trực tuyến giả mạo được chia sẻ trên mạng xã hội

Phần mềm độc hại và tuyển dụng giả mạo gia tăng

Báo cáo cũng nhấn mạnh sự xuất hiện của các ứng dụng và tệp tin độc hại liên quan đến World Cup 2026. Trong đó, một tệp thực thi mang tên “1xbet.exe” được phát hiện có dấu hiệu duy trì truy cập trái phép, liên lạc được mã hóa và có thể liên quan đến hành vi của mã độc tống tiền. Các nhà nghiên cứu cũng phát hiện nhiều tệp APK đáng ngờ theo chủ đề FIFA trên các trang tải xuống của bên thứ ba.

Theo FortiGuard Labs, các sự kiện thể thao lớn thường làm gia tăng nhu cầu sử dụng ứng dụng cá cược, theo dõi tỷ số, phát trực tiếp trận đấu hoặc nhận ưu đãi. Đây là cơ hội để kẻ tấn công phát tán các ứng dụng giả mạo hoặc cài cắm mã độc nhằm đánh cắp thông tin người dùng.

Bên cạnh đó, nhu cầu tuyển dụng nhân sự phục vụ giải đấu cũng đang bị lợi dụng. FortiGuard Labs phát hiện các chiến dịch đánh cắp thông tin đăng nhập thông qua các tin tuyển dụng giả mạo liên quan đến FIFA và các nhà tài trợ. Trong một số trường hợp, nạn nhân nhận được thư mời tham gia sự kiện hoặc phỏng vấn, sau đó bị chuyển hướng tới các trang đăng nhập Google giả mạo. Khi người dùng nhập thông tin tài khoản, dữ liệu sẽ bị thu thập bởi các đối tượng tấn công.

Các nhà nghiên cứu cũng phát hiện nhiều tên miền mạo danh FIFA, các nhà tài trợ và tổ chức liên kết sử dụng cùng một mã theo dõi Google Analytics, cho thấy đây có thể là một chiến dịch được tổ chức và triển khai đồng bộ.

Chủ động phòng vệ trước các nguy cơ an ninh mạng

FortiGuard Labs cảnh báo rằng các sự kiện lớn như FIFA World Cup luôn là mục tiêu hấp dẫn của tội phạm mạng từ nhiều tháng trước khi diễn ra. Vì vậy, các tổ chức trong lĩnh vực thể thao, du lịch, khách sạn, truyền thông, bán lẻ, tài chính, chính phủ, vận tải và hạ tầng trọng yếu cần chủ động chuẩn bị các biện pháp bảo vệ từ sớm.

Các đội ngũ an ninh mạng được khuyến nghị tăng cường giám sát tên miền giả mạo, hành vi mạo danh thương hiệu, quảng cáo độc hại, tài khoản mạng xã hội giả và các dấu hiệu rò rỉ thông tin đăng nhập liên quan đến nhân viên, đối tác và khách hàng. Đồng thời, cần đánh giá và củng cố các biện pháp phòng chống lừa đảo trực tuyến, phần mềm độc hại, đánh cắp thông tin đăng nhập và chiếm đoạt tài khoản.

Đối với người dùng, các chuyên gia khuyến cáo chỉ mua vé thông qua các kênh chính thức, tránh tải các ứng dụng APK từ nguồn không đáng tin cậy, thận trọng với các liên kết phát trực tiếp, xác minh thông tin tuyển dụng trên các website chính thức và cảnh giác với các yêu cầu thanh toán khẩn cấp có dấu hiệu bất thường.

Theo FortiGuard Labs, bài học quan trọng nhất từ FIFA World Cup 2026 là tội phạm mạng luôn tận dụng sự chú ý của công chúng đối với các sự kiện lớn. Khi hàng triệu người đang hướng về ngày hội bóng đá lớn nhất thế giới, các tác nhân đe dọa cũng đã sẵn sàng cơ sở hạ tầng để khai thác những sơ hở trên không gian mạng.