Sicherheitsforscher und das **FBI** warnen, dass eine Welle von **FIFA**-bezogenem Betrug bereits die Fans der WM 2026 trifft, Tage vor dem Anpfiff am 11. Juni. Aktuelle Berichte beschreiben Tausende von täuschend echten **FIFA**-Domains, Banking-Malware, die in illegalen Streaming-Apps versteckt ist, und mindestens eine Operation, die die Login-Seite der **FIFA** so gut kopiert, dass echte Konten übernommen werden können. Es ist ein offensichtliches Ziel. Mehr als sechs Millionen Fans werden in 16 Städten in den USA, Kanada und Mexiko erwartet, und die **FIFA** gab an, in den ersten 15 Tagen mehr als 150 Millionen Ticketanfragen erhalten zu haben, was zu einer Überzeichnung des Turniers um das 30-fache führt. Tickets sind knapp, die Fans sind nervös und Geld fließt schnell – genau die Bedingungen, die Betrüger ausnutzen.  ## Ein Betreiber, 300 geklonte FIFA-Seiten Die detailliertesten Erkenntnisse stammen von **Group-IB**, das seit August 2025 mehr als 4.300 betrügerische **FIFA**-Domains verfolgte. Im Mittelpunkt steht eine Gruppe, die es **GHOST STADIUM** nennt, eine chinesischsprachige, geldgetriebene Operation, die ein Phishing-Kit auf mehr als 300 dieser Seiten betreibt. Die Fälschung ist hochgradig ausgeklügelt. Die Seite ist eine nahezu perfekte Kopie von fifa.com und ahmt das echte Single Sign-On-Login der **FIFA** nach, das von **PingIdentity** betrieben wird, bis hin zur echten Client-ID, die von der Live-Seite kopiert wurde. Sie lädt ihre Bilder direkt von den eigenen Servern der **FIFA**, wodurch die Seite authentisch erscheint und Tools umgehen kann, die kopierte Bilder kennzeichnen. Entscheidend ist, dass die gefälschte Login-Seite die Benutzer auch auffordert, ihr Passwort zurückzusetzen. Sobald ein Opfer seine Daten eingegeben hat, kann der Angreifer es aus seinem eigenen **FIFA**-Konto aussperren und alle damit verbundenen Tickets weiterverkaufen.  Der meiste Traffic stammt von Facebook-Anzeigen, wobei dieselben Tracking-Codes über den gesamten Cluster wiederverwendet werden, sowie von Links auf Telegram, WhatsApp und in Suchergebnissen. Die Seite akzeptiert Zahlungen auf fünf verschiedene Arten: direkte Karteneingabe, externe Zahlungs-Gateways, Geldtransfer-Apps wie Chime und Nequi, nur in Mexiko verfügbare Prozessoren und eine Kryptowährungsoption, die eine Kartenzahlung in Krypto umwandelt, was die Rückerstattung erheblich erschwert. Diese letzte Option ist ein deutlicher Hinweis, da die offizielle Ticketverkaufsstelle der **FIFA** niemals Kryptowährungen akzeptiert. Jeder Verkäufer, der danach fragt, ist ein Betrüger. **Group-IB** schätzt die potenziellen Verluste allein durch Betrug mit Premium- und Hospitality-Tickets auf 71 Millionen bis 474 Millionen US-Dollar, was darauf hindeutet, dass die gesamte Kampagne Milliarden erreichen könnte. Dies sind Schätzungen, die auf beobachteter Infrastruktur basieren, nicht auf bestätigten Verlusten. ## Jenseits von Phishing: Eine Flut von Betrügereien Die Bedrohungslandschaft reicht über die Erkenntnisse von **Group-IB** hinaus. **FortiGuard Labs** zählte zwischen Januar und Mai mehr als 13.000 WM-bezogene Domains, von denen etwa 8,8 % als bösartig oder verdächtig eingestuft wurden. Die **FBI**-Beratung listet Dutzende von gefälschten **FIFA**-Domains auf, die von falsch geschriebenen Nachahmern bis hin zu gefälschten **FIFA**-Stellenanzeigen reichen, und warnt, dass weitere auftauchen. Andere Forscher haben Tausende weitere Nachahmer-Websites und über tausend gefälschte Social-Media-Konten kartiert. Ticketbetrug ist nur eine Facette des Problems. **Group-IB** deckte auch gefälschte Merchandise-Shops, betrügerische Streaming-Seiten, die eine Abonnementgebühr verlangen und dann Malware installieren, sowie gefälschte Wettseiten auf, die Reisepass-Scans und Selfies für Identitätsdiebstahl sammeln. **Bitdefender** verfolgte separat **FIFA**-Lotterie-E-Mails, die Gewinne von bis zu 2 Millionen US-Dollar versprachen. **Group-IB** wies auch auf einen Markt für "Phishing-as-a-Service" hin, der fertige Betrugs-Kits und Ticketkauf-Bots verkauft, was die Sperrung einzelner Betreiber weitgehend unwirksam macht.  Die Teile passen zusammen: gefälschte Domains erfassen Ticketanfragen, Anzeigen und Suchergebnisse treiben den Traffic an, gestohlene Passwort-Dumps füttern Kontoübernahmen, und sideloaded Apps verwandeln die Jagd nach Streams in Bankbetrug. ## Banking-Malware lauert in Streaming-Apps Für Fans, die kostenlose Spiel-Streams suchen, liegt die größere Gefahr oft auf ihren mobilen Geräten. **ThreatFabric** beobachtete einen Anstieg bösartiger inoffizieller Streaming-Apps, viele davon Nachahmungen des beliebten RojaDirecta, rund um das jüngste Champions-League-Finale. Sie erwarten eine Wiederholung in größerem Maßstab während der Weltmeisterschaft. **Kaspersky** brachte diese Apps mit Android-Banking-Trojanern in Verbindung, Malware, die darauf ausgelegt ist, Geld von Bank- und Krypto-Apps abzuziehen. Sie identifizierten zwei prominente Familien: **Massiv** und **Perseus**. Diese Apps sind nicht im Google Play Store erhältlich, was bedeutet, dass die Installation erfordert, dass Benutzer Standard-Sicherheitswarnungen umgehen. Nach der Installation nutzt die Malware die Zugänglichkeitsfunktionen von Android, um die Kontrolle über das Telefon zu erlangen. Sie kann gefälschte Bank-Login-Bildschirme über legitime Anwendungen legen, Tastatureingaben aufzeichnen, Einmalpasswörter (OTPs) von Textnachrichten und Authentifizierungs-Apps abfangen und den Bildschirm fernsteuern.  **Perseus**, das bemerkenswerterweise auf dem geleakten Code eines älteren Trojaners namens **Cerberus** basiert, liest sogar Notiz-Apps nach gespeicherten Passwörtern und Krypto-Wiederherstellungsphrasen. Das einfachste Warnsignal, so **ThreatFabric**, ist eine Streaming-App, die Zugänglichkeitszugriff anfordert, wofür sie keinen legitimen Grund hat. ## Social Engineering, gestohlene Zugangsdaten und Risiken öffentlicher WLANs Soziale Medienplattformen sind ebenso überfüllt mit Betrügereien. **Bitdefender** fand mehr als 55 fußballbezogene Werbekampagnen auf Facebook und Instagram, die gefälschte Trikots, gefälschte Panini-Sticker und Phishing-Seiten bewarben. Zwei der Merchandise-Operationen wurden über ihre Werbe-Tracking-Tags auf chinesische Betreiber zurückgeführt. **Fortinet** zählte über 1.700 gefälschte **FIFA**-Konten, von denen fast 90 % auf Facebook und Instagram gefunden wurden, sowie ein Schema, das gefälschte **FIFA**-Stellenanzeigen und Kalendereinladungen nutzte, um Bewerber auf eine gefälschte Google-Login-Seite zu leiten.  Gestohlene **FIFA**-Logins kursieren bereits. **Fortinet** entdeckte Hunderttausende von Benutzer-Logins sowie mehr als 4.600 **FIFA**-Webadressen in Daten, die von Credential-Stealing-Malware wie **Vidar**, **LummaC2** und **RedLine** gesammelt wurden. WLAN-Netzwerke in den Austragungsstädten bergen eigene Probleme. Öffentliche WLANs, insbesondere ungesicherte Netzwerke, können leicht von Angreifern ausgenutzt werden, um Daten abzufangen, Malware zu verbreiten oder Man-in-the-Middle-Angriffe durchzuführen. Benutzer sollten äußerste Vorsicht walten lassen und die Verwendung eines VPN in Betracht ziehen, wenn sie sich mit öffentlichen Netzwerken verbinden.