Pesquisadores de segurança e o **FBI** alertam que uma onda de fraudes com tema da **FIFA** já está atingindo os fãs da Copa do Mundo de 2026, dias antes do pontapé inicial em 11 de junho. Relatórios recentes descrevem milhares de domínios da **FIFA** semelhantes, malware bancário escondido em aplicativos de streaming piratas e pelo menos uma operação que copia a página de login da **FIFA** com perfeição suficiente para assumir o controle de contas reais. É um alvo óbvio. Mais de seis milhões de fãs são esperados em 16 cidades nos Estados Unidos, Canadá e México, e a **FIFA** disse que recebeu mais de 150 milhões de solicitações de ingressos nos primeiros 15 dias, deixando o torneio com uma demanda cerca de 30 vezes maior do que a oferta. Ingressos são escassos, fãs estão ansiosos e o dinheiro está se movendo rapidamente – precisamente as condições que os fraudadores exploram.  ## Um Operador, 300 Sites da FIFA Clonados As descobertas mais detalhadas vêm da **Group-IB**, que rastreou mais de 4.300 domínios fraudulentos da **FIFA** registrados desde agosto de 2025. No centro está um grupo que ela chama de **GHOST STADIUM**, uma operação de língua chinesa e movida a dinheiro, que executa um kit de phishing em mais de 300 desses sites. A falsificação é altamente sofisticada. A página é uma cópia quase perfeita de fifa.com, imitando o login único de entrada (**SSO**) real da **FIFA**, gerenciado pela **PingIdentity**, até o ID de cliente genuíno copiado do site ativo. Ele carrega suas imagens diretamente dos próprios servidores da **FIFA**, fazendo com que a página pareça autêntica e permitindo que ela passe despercebida por ferramentas que sinalizam imagens copiadas. Crucialmente, a página de login falsa também solicita que os usuários redefinam suas senhas. Assim que uma vítima insere seus dados, o atacante pode bloqueá-la de sua própria conta **FIFA** e revender quaisquer ingressos associados a ela.  A maior parte do tráfego se origina de anúncios no Facebook, com os mesmos códigos de rastreamento reutilizados em todo o cluster, bem como links no Telegram, WhatsApp e em resultados de pesquisa. O site aceita pagamento de cinco maneiras diferentes: entrada direta de cartão, gateways de pagamento externos, aplicativos de transferência de dinheiro como Chime e Nequi, processadores exclusivos do México e uma opção de criptomoeda que converte um pagamento com cartão em cripto, que é muito mais difícil de recuperar. Esta última opção é um indicativo útil, pois a bilheteria oficial da **FIFA** nunca aceita criptomoedas. Qualquer vendedor que a solicite é um golpe. A **Group-IB** estima perdas potenciais apenas com fraudes de ingressos premium e de hospitalidade entre US$ 71 milhões e US$ 474 milhões, sugerindo que toda a campanha pode chegar a bilhões. Estas são estimativas baseadas na infraestrutura observada, não em perdas confirmadas. ## Além do Phishing: Um Dilúvio de Golpes O cenário de ameaças se estende além das descobertas da **Group-IB**. A **FortiGuard Labs** contou mais de 13.000 domínios com tema da Copa do Mundo registrados entre janeiro e maio, com aproximadamente 8,8% identificados como maliciosos ou suspeitos. A consultoria do **FBI** lista dezenas de domínios falsos da **FIFA**, variando de imitações com grafia incorreta a páginas de emprego falsas da **FIFA**, e adverte que mais estão surgindo. Outros pesquisadores mapearam milhares de sites semelhantes e mais de mil contas sociais falsas. A fraude de ingressos é apenas uma faceta do problema. A **Group-IB** também descobriu lojas de mercadorias falsificadas, sites de streaming falsos que cobram uma taxa de assinatura e depois instalam malware, e sites de apostas falsos que coletam scans de passaporte e selfies para roubo de identidade. A **Bitdefender** rastreou separadamente e-mails de loteria da **FIFA** prometendo prêmios de até US$ 2 milhões. A **Group-IB** também sinalizou um mercado de "phishing-as-a-service" que vende kits de golpe prontos e bots de compra de ingressos, tornando a desativação de operadores individuais em grande parte ineficaz.  As peças se encaixam: domínios falsos capturam pesquisas de ingressos, anúncios e resultados de pesquisa direcionam tráfego, vazamentos de senhas roubadas alimentam tomadas de controle de contas e aplicativos carregados lateralmente transformam a caça por streams em fraude bancária. ## Malware Bancário à Espreita em Aplicativos de Streaming Para fãs que buscam streams de jogos gratuitos, o maior perigo muitas vezes reside em seus dispositivos móveis. A **ThreatFabric** observou um pico em aplicativos de streaming não oficiais maliciosos, muitos imitando o popular RojaDirecta, em torno da recente final da Liga dos Campeões. Eles antecipam uma repetição em maior escala durante a Copa do Mundo. A **Kaspersky** ligou esses mesmos aplicativos a trojans bancários Android, malware projetado para drenar dinheiro de aplicativos bancários e de criptomoedas. Eles identificaram duas famílias proeminentes: **Massiv** e **Perseus**. Esses aplicativos não estão disponíveis na Google Play, o que significa que a instalação requer que os usuários ignorem os avisos de segurança padrão. Uma vez instalados, o malware utiliza as ferramentas de acessibilidade do Android para obter controle do telefone. Ele pode sobrepor telas de login bancário falsas em aplicativos legítimos, registrar pressionamentos de teclas, interceptar senhas de uso único (OTPs) de mensagens de texto e aplicativos autenticadores, e controlar remotamente a tela.  O **Perseus**, notavelmente construído sobre o código vazado de um trojan mais antigo chamado **Cerberus**, até lê aplicativos de anotações em busca de senhas salvas e frases de recuperação de criptomoedas. O sinal de alerta mais simples, de acordo com a **ThreatFabric**, é um aplicativo de streaming solicitando acesso de acessibilidade, para o qual ele não tem motivo legítimo. ## Engenharia Social, Credenciais Roubadas e Riscos de Wi-Fi Público As plataformas de mídia social também estão repletas de golpes. A **Bitdefender** encontrou mais de 55 campanhas publicitárias com tema de futebol no Facebook e Instagram, promovendo kits falsificados, figurinhas Panini falsas e páginas de phishing. Duas das operações de mercadorias foram rastreadas até operadores chineses por meio de suas tags de rastreamento de anúncios. A **Fortinet** contou mais de 1.700 contas **FIFA** falsificadas, com quase 90% encontradas no Facebook e Instagram, juntamente com um esquema que usou anúncios de emprego falsos da **FIFA** e convites de calendário para direcionar os candidatos a uma página de login do Google semelhante.  Logins **FIFA** roubados já estão circulando. A **Fortinet** descobriu centenas de milhares de logins de usuários, mais mais de 4.600 endereços web **FIFA**, em dados coletados por malware roubador de credenciais como **Vidar**, **LummaC2** e **RedLine**. As redes Wi-Fi das cidades-sede apresentam seus próprios problemas. Wi-Fi público, especialmente redes não seguras, pode ser facilmente explorado por atacantes para interceptar dados, entregar malware ou realizar ataques man-in-the-middle. Os usuários devem ter extrema cautela e considerar o uso de uma **VPN** ao se conectar a redes públicas.