FIFA-fans opgelet: Cybercriminelen buiten WK 2026 uit nog voor het eerste fluitsignaal

Onderzoek van Check Point Research onthult de vroege infrastructuur achter een wereldwijde fraudecampagne gericht op het meest bekeken sportevenement ter wereld 

Nu het aftellen naar het WK voetbal 2026 is begonnen, zijn cybercriminelen al in actie gekomen. Ze bouwen een digitale infrastructuur om misbruik te maken van de opwinding onder fans en ticketverkoop te verstoren. Nieuw onderzoek van Check Point Research onthult een gecoördineerde campagne waarbij duizenden valse domeinen, botnets en phishingtools worden opgezet, allemaal vermomd als legitieme websites van FIFA en gaststeden.

De aftrap: frauduleuze infrastructuur  

Sinds 1 augustus 2025 heeft Check Point meer dan 4.300 nieuw geregistreerde domeinen geïdentificeerd die FIFA, “World Cup”, of toernooisteden zoals Dallas, Miami, Toronto en Mexico-Stad nabootsen. Deze registraties zijn niet willekeurig, maar komen in gesynchroniseerde golven, maken vaak gebruik van identieke DNS-infrastructuur en zijn geconcentreerd bij een handvol registrars die bulkregistraties faciliteren, zoals GoDaddy, Namecheap, Dynadot en Gname.

Verontrustend is dat veel van deze domeinen zijn ontworpen voor langdurig gebruik, met verwijzingen naar FIFA 2030 en 2034. Deze strategie van “domain aging” geeft oplichters de mogelijkheid om in de loop der tijd geloofwaardigheid op te bouwen, wat een veelgebruikte tactiek is bij gerichte merkimitatie.

Reëel risico: presale-phishing op komst 

De eerste ticketingsfase van FIFA is al begonnen. Fans die zich tussen 9 en 19 september inschreven voor de vroege loting, worden op 29 september op de hoogte gebracht van de resultaten. Geselecteerde gebruikers kunnen vanaf 1 oktober tickets kopen. Dit tijdvenster is ideaal voor fraude.

Het is de verwachting dat cybercriminelen inboxen en zoekmachines zullen overspoelen met phishingmails, vervalste ticketbevestigingen en nep-wachtrijportals, allemaal getimed om samen te vallen met officiële FIFA-communicatie. De kans op succes is groter wanneer er urgentie is.

“Wat we zien is geen geïsoleerde cybercriminaliteit. Dit is infrastructuur die op grote schaal wordt gebouwd om wereldwijd enthousiasme uit te buiten, nog voordat het WK begonnen is”, aldus Zahier Madhar, cybersecurity expert en evangelist bij Check Point Software Technologies. “Cybercriminelen wachten niet op 2026. Ze stemmen hun planning af op die van FIFA.”

Bevindingen van Check Point Research: 

• 4.300+ FIFA-gerelateerde domeinen geregistreerd in minder dan 60 dagen, met piekmomenten tussen 8–12 augustus en begin september.
• Concentratie van registrars bij GoDaddy, Namecheap, Gname en Dynadot, wat bulkautomatisering en snelle inzet mogelijk maakt.
• Taalgerichte targeting per doelgroep: Engels voor livestreaming, Spaans en Portugees voor ticketing en merchandising, Frans voor Europese markten.
• Top-level domeinen zoals .com, .shop, .store, .online en .football, vaak gekozen vanwege lage kosten en weinig restricties.
• DNS-overlap wijst op gecentraliseerde controle door kleine groepen semi-professionele oplichters met gescripte fraudekits.
• Telegramkanalen en dark web-fora promoten nu al neptickets, namaakartikelen en toolkits voor betalingsfraude.

Verstoring van de kaartverkoop en misbruik van botnets 

Naast eenvoudige oplichting ontdekte Check Point bewijs van systematische aanvallen gericht op het ondermijnen van FIFA’s ticketingsysteem. Botnets worden getraind om voorverkoopwachtrijen te overspoelen, populaire tickets massaal op te kopen en dynamische prijsmodellen te manipuleren. Op ondergrondse marktplaatsen worden aangepaste toolkits en proxyfarms verkocht, inclusief specifieke instructies voor FIFA, vergelijkbaar met tactieken die eerder gebruikt zijn tegen platforms zoals Ticketmaster.

Grote impact 

Deze campagne is niet alleen opportunistisch, maar georganiseerd. En tenzij er nu wordt ingegrepen, zal ze blijven groeien in lijn met de wereldwijde aandacht voor het toernooi. Fans worden blootgesteld aan phishing, financiële fraude en malware via valse ticketsites en livestreaming-oplichting. FIFA en sponsors worden geconfronteerd met merkimitatie, verlies van webverkeer en namaakhandel. Gaststeden en -locaties kunnen te maken krijgen met reizigers die het doelwit worden van geografisch specifieke oplichting in verband met accommodatie, vervoer of horeca. Het internetecosysteem, inclusief advertentienetwerken, registrars en berichtenplatforms, loopt het risico een distributiekanaal voor fraude te worden.

FIFA-fans moeten zich bewust zijn van de risico’s, aangezien de menselijke factor vaak de meest kwetsbare schakel is.

Praktische aanbevelingen zijn onder meer:

• Koop alleen tickets via officiële bronnen: FIFA publiceert geautoriseerde verkoopkanalen. Controleer bronnen eventueel via de officiële website van FIFA.
• Wees voorzichtig met links: valse e-mails met “Fan ID” of “schema-updates” zijn veelvoorkomende phishing-trucs. Klik niet op verdachte links of bijlagen.
• Controleer de domeinnaam zorgvuldig: frauduleuze sites gebruiken vaak subtiele spelfouten (bijv. fifaw0rldcup2026.com). Controleer altijd de URL.
• Vermijd aanbiedingen die te mooi lijken om waar te zijn: beloften van gegarandeerde tickets, vroege toegang of hoge kortingen zijn bijna altijd een teken aan de wand.
• Gebruik beveiligingstools: houd browsers, antivirussoftware en beveiligingssoftware up-to-date om kwaadaardige domeinen, phishingpogingen en frauduleuze advertenties te blokkeren.

Voor meer informatie zie dit blog.