Das Cybersicherheitsunternehmen **Group-IB** hat eine groß angelegte Phishing-Operation aufgedeckt, die Fußballfans ins Visier nimmt, die eifrig darauf bedacht sind, Tickets für die **FIFA**-Weltmeisterschaft 2026 zu sichern. Die Operation, die GHOST STADIUM genannt wird, umfasst ein Netzwerk von über 300 betrügerischen Domains, die darauf ausgelegt sind, Anmeldeinformationen und Zahlungsdetails zu stehlen. **GHOST STADIUM: Eine akribische Identitätsnachahmung** Seit November 2025 beobachtet, ist GHOST STADIUM einer von vier unabhängigen Bedrohungsakteuren, die von **Group-IB** identifiziert wurden und das Turnier ins Visier nehmen. Diese Akteure haben seit August 2025 insgesamt über 4.300 betrügerische Domains registriert, die die offizielle Webpräsenz der **FIFA** nachahmen. Rund 3.800 dieser Domains sind derzeit geparkt und werden bereitgehalten, um aktiviert zu werden, je näher das Turnier rückt. **Details zum Phishing-Kit** Die Bedrohungsakteure verwenden ein Phishing-Kit, das mit Layui 2.7.6m, einer chinesischen Open-Source-UI-Bibliothek, entwickelt wurde. Laut **Group-IB** ist diese Bibliothek "außerhalb der chinesischen Entwickler-Community praktisch unbekannt". Das Kit repliziert das Anmeldesystem der **FIFA** und leitet Benutzer nach der Erfassung ihrer Anmeldeinformationen zurück zur legitimen Website. Die Phishing-Seite fordert auch einen Passwort-Reset-Parameter an, der es dem Angreifer ermöglicht, das Opfer aus seinem Konto auszusperren und alle zugehörigen Tickets weiterzuverkaufen. Chinesischsprachige Kommentare wurden im gesamten Quellcode eingebettet gefunden. Die Infrastrukturanalyse ergab gemeinsame SSL-Zertifikate und Meta Pixel Tracking-IDs über alle 300+ Domains hinweg, was das Netzwerk mit denselben Facebook-Werbekonten verbindet. **Finanzielle Auswirkungen** **Group-IB** schätzt, dass 79 der identifizierten Phishing-Domains ausschließlich Premium- und Hospitality-Tickets verkauften, die zwischen 1.500 und 10.000 US-Dollar oder mehr kosteten. Mit über 600 beobachteten Opferregistrierungen auf einer einzigen Domain schätzt das Unternehmen, dass die potenziellen Verluste allein durch Premium-Ticket-Betrug zwischen 71 Millionen und 474 Millionen US-Dollar liegen könnten. Die Gesamtverluste über alle Betrugsstufen hinweg, einschließlich des Diebstahls von Anmeldeinformationen und des Verkaufs von Tickets niedrigerer Kategorien, "könnten vernünftigerweise in die Milliarden gehen". Die Kampagne wird hauptsächlich über bezahlte Werbung auf Facebook verbreitet, wobei Tickets für nur 60 US-Dollar angeboten werden, während die offiziellen Preise in die Tausende gehen, mit der Botschaft "Wer zuerst kommt, mahlt zuerst", um Käufe zu beschleunigen. **Empfehlungen** **Group-IB** rät Fans, Tickets nur über fifa.com zu kaufen, indem sie diese direkt in einen Browser eingeben, und jede Domain, die eine mit Bindestrichen versehene Variante des **FIFA**-Namens verwendet, als betrügerisch zu behandeln. Das Unternehmen hat die zuständigen Behörden benachrichtigt und seine Untersuchung von März bis Mai 2026 durchgeführt. [](https://www.recordedfuture.com/?utm_source=therecord&utm_medium=ad)