عمليات الاحتيال المرتبطة بكأس العالم FIFA 2026 بدأت بالفعل: مواقع مزيفة، برمجيات مصرفية خبيثة، وسرقة بيانات الدخول
يحذر باحثون في الأمن السيبراني ومكتب التحقيقات الفيدرالي FBI من موجة احتيال تحمل طابع كأس العالم 2026، بدأت بالفعل في استهداف المشجعين، قبل أيام من انطلاقة البطولة في 11 يونيو.
وتصف تقارير حديثة آلاف النطاقات المزيفة الشبيهة بمواقع FIFA، وبرمجيات مصرفية خبيثة مخفية داخل تطبيقات بث مقرصنة، إضافة إلى عملية واحدة على الأقل تنسخ صفحة تسجيل الدخول الخاصة بـ FIFA بشكل متقن بما يكفي للاستيلاء على حسابات حقيقية.
الأمر واضح: كأس العالم هدف مثالي للمحتالين. من المتوقع حضور أكثر من ستة ملايين مشجع في 16 مدينة داخل الولايات المتحدة وكندا والمكسيك. كما أعلنت FIFA أنها تلقت أكثر من 150 مليون طلب تذاكر خلال أول 15 يوماً، ما جعل الطلب يفوق العرض بحوالي 30 مرة. التذاكر نادرة، والجماهير قلقة، والأموال تتحرك بسرعة، وهذا بالضبط ما تحتاجه عمليات الاحتيال.
جهة واحدة و300 موقع مستنسخ من FIFA
أكثر النتائج تفصيلاً جاءت من شركة Group-IB، التي تتبعت أكثر من 4300 نطاق احتيالي مرتبط بـ FIFA تم تسجيلها منذ أغسطس 2025. وفي قلب هذه الشبكة توجد مجموعة تسميها الشركة GHOST STADIUM، وهي عملية ناطقة بالصينية وذات دوافع مالية، تدير حزمة تصيّد واحدة عبر أكثر من 300 موقع من هذه المواقع.
الموقع المزيف متقن جداً. الصفحة نسخة شبه كاملة من fifa.com، وتقلد نظام تسجيل الدخول الموحد الحقيقي الخاص بـ FIFA، الذي تديره PingIdentity، حتى إنها تنسخ معرف العميل الحقيقي Client ID من الموقع الأصلي. كما تقوم بتحميل الصور مباشرة من خوادم FIFA نفسها، لذلك تبدو الصفحة أصلية وتتجاوز الأدوات التي تكشف الصور المنسوخة.
وهنا يكمن الخطر: صفحة تسجيل الدخول المزيفة تطلب أيضاً إعادة تعيين كلمة المرور. بمجرد أن يدخل الضحية بياناته، يستطيع المهاجم إقفال حساب FIFA الحقيقي في وجه صاحبه، ثم إعادة بيع أي تذاكر مرتبطة به.
معظم الزيارات تأتي من إعلانات فيسبوك، مع إعادة استخدام نفس أكواد التتبع داخل الشبكة كلها، إضافة إلى روابط منشورة على تيليغرام وواتساب ونتائج البحث. ويقبل الموقع الدفع بخمس طرق مختلفة: إدخال بيانات البطاقة مباشرة، بوابات دفع خارجية، تطبيقات تحويل الأموال مثل Chime وNequi، معالجات دفع خاصة بالمكسيك فقط، وخيار للعملات الرقمية يحول الدفع بالبطاقة إلى عملة مشفرة، وهو ما يجعل استرجاع المال أصعب بكثير.
وهذه النقطة الأخيرة علامة واضحة على الاحتيال، لأن نظام التذاكر الرسمي الخاص بـ FIFA لا يقبل أبداً الدفع بالعملات الرقمية. لذلك، أي بائع يطلب الدفع بالكريبتو هو محتال.
تقدر Group-IB الخسائر الناتجة عن الاحتيال في تذاكر الفئة الممتازة وتذاكر الضيافة وحدها بما بين 71 مليون و474 مليون دولار، وتقول إن الحملة كلها قد تصل إلى مليارات الدولارات. لكنها توضح أن هذه مجرد تقديرات مبنية على البنية التحتية التي تمكنت من رؤيتها، وليست خسائر مؤكدة.
آلاف النطاقات وأنواع متعددة من الاحتيال
الأمر لا يقتصر على Group-IB. فقد أحصت FortiGuard Labs أكثر من 13 ألف نطاق مرتبط بكأس العالم تم تسجيله بين يناير وماي، وكان حوالي 8.8% منها خبيثاً أو مشبوهاً.
وتضم نشرة FBI التحذيرية عشرات النطاقات المزيفة التي تنتحل FIFA، من أسماء مكتوبة بشكل خاطئ شبيه بالموقع الأصلي، إلى صفحات وظائف مزيفة باسم FIFA، مع التحذير من أن المزيد قادم. كما رصد باحثون آخرون آلاف المواقع الشبيهة وأكثر من ألف حساب اجتماعي مزيف.
الاحتيال في التذاكر ليس سوى جزء واحد من الصورة. فقد وجدت Group-IB أيضاً متاجر سلع رياضية مقلدة، ومواقع بث وهمية تأخذ رسوم اشتراك ثم تثبت برمجيات خبيثة تمنح المهاجم السيطرة، ومواقع مراهنات مزيفة تجمع نسخ جوازات السفر وصور السيلفي لاستعمالها في سرقة الهوية.
كما رصدت Bitdefender بشكل منفصل رسائل بريد إلكتروني حول “يانصيب FIFA” تعد بربح جوائز تصل إلى مليوني دولار. وأشارت Group-IB أيضاً إلى سوق لخدمات “التصيّد كخدمة” Phishing-as-a-Service يبيع حِزماً جاهزة لعمليات الاحتيال وروبوتات لشراء التذاكر، ما يعني أن إسقاط مشغل واحد لا يحل المشكلة إلا بشكل محدود جداً.
كل القطع تتكامل مع بعضها: النطاقات المزيفة تلتقط الباحثين عن التذاكر، والإعلانات ونتائج البحث تدفع الضحايا نحوها، وتسريبات كلمات المرور تغذي عمليات الاستيلاء على الحسابات، والتطبيقات المثبتة من خارج المتاجر الرسمية تحول البحث عن البث المجاني إلى احتيال بنكي.
برمجيات مصرفية خبيثة مخفية داخل تطبيقات البث
بالنسبة للمشجعين الذين يبحثون عن بث مجاني للمباريات، الخطر الأكبر يوجد على الهاتف. فقد لاحظت ThreatFabric ارتفاعاً في التطبيقات غير الرسمية والخبيثة الخاصة بالبث، وكثير منها ينتحل اسم RojaDirecta الشهير، وذلك خلال نهائي دوري أبطال أوروبا الأخير، وتتوقع تكرار الأمر خلال كأس العالم لكن على نطاق أكبر.
وربطت Kaspersky هذه التطبيقات نفسها بأحصنة طروادة مصرفية على أندرويد، وهي برمجيات خبيثة مصممة لسحب الأموال من تطبيقات البنوك والعملات الرقمية. وذكرت عائلتين منها: Massiv وPerseus. هذه التطبيقات ليست موجودة على Google Play، لذلك فإن تثبيتها يعني تجاوز التحذيرات التي تمنع عادة هذا النوع من المخاطر.
بعد التثبيت، تستخدم البرمجية الخبيثة أدوات إمكانية الوصول في أندرويد للسيطرة على الهاتف. يمكنها وضع شاشات تسجيل دخول بنكية مزيفة فوق التطبيقات الحقيقية، وتسجيل ما يكتبه المستخدم، واعتراض رموز التحقق لمرة واحدة المرسلة عبر الرسائل النصية أو تطبيقات تسجيل الدخول، وهي الرموز المفترض أن تحمي الحسابات، كما يمكنها التحكم في الشاشة عن بُعد.
وتستطيع Perseus، المبنية على كود مسرب من حصان طروادة قديم اسمه Cerberus، قراءة تطبيقات تدوين الملاحظات بحثاً عن كلمات مرور محفوظة أو عبارات استرجاع محافظ العملات الرقمية. وتقول ThreatFabric إن أوضح علامة تحذير هي أن يطلب تطبيق بث صلاحية الوصول Accessibility Access، لأنه لا يوجد سبب مشروع يجعله يحتاج إليها.
احتيالات اجتماعية، بيانات دخول مسروقة، وشبكات Wi-Fi خطيرة
وسائل التواصل الاجتماعي مزدحمة بدورها بعمليات الاحتيال. فقد وجدت Bitdefender أكثر من 55 حملة إعلانية كروية على فيسبوك وإنستغرام، تروج لأقمصة مزيفة، وملصقات Panini وهمية، وصفحات تصيّد. وتم تتبع عمليتي بيع سلع مقلدة إلى مشغلين صينيين عبر وسوم تتبع الإعلانات.
كما أحصت Fortinet أكثر من 1700 حساب ينتحل FIFA، حوالي 90% منها على فيسبوك وإنستغرام، إضافة إلى مخطط يستخدم إعلانات وظائف مزيفة باسم FIFA ودعوات تقويم لإرسال المتقدمين إلى صفحة تسجيل دخول مزيفة تشبه Google.
بيانات الدخول إلى حسابات FIFA المسروقة موجودة بالفعل في التداول. فقد وجدت Fortinet مئات الآلاف من بيانات المستخدمين، إضافة إلى أكثر من 4600 عنوان ويب تابع لـ FIFA، ضمن بيانات جمعتها برمجيات سرقة الاعتمادات مثل Vidar وLummaC2 وRedLine.
شبكات Wi-Fi في المدن المستضيفة تمثل مشكلة أخرى. أظهر مسح أجرته Kaspersky في مكسيكو سيتي ومونتيري وغوادالاخارا أن ما بين 10% و12% من الشبكات مفتوحة وبدون كلمة مرور، وأن خاصية الاقتران WPS ما تزال مفعلة في قرابة نصف الشبكات. وكلا الأمرين يفتح الباب بسهولة أمام نقاط اتصال مزيفة من نوع “Evil Twin”، تنسخ شبكة حقيقية وتقرأ حركة المرور بهدوء.
