Các sự kiện thể thao quốc tế lớn thu hút sự quan tâm, nhu cầu tìm kiếm thông tin cao và thúc đẩy khối lượng giao dịch số khổng lồ, Giải vô địch bóng đá thế giới (FIFA World Cup 2026) cũng không là ngoại lệ.

"Chợ chưa họp, kẻ cắp đã tới"

Theo nghiên cứu từ FortiGuard Labs, các cơ sở hạ tầng tội phạm mạng liên quan đến FIFA World Cup 2026 đã sớm đi vào hoạt động: Từ tháng 1 đến tháng 5/2026, hơn 13.000 tên miền mới mang chủ đề FIFA World Cup 2026 đã được đăng ký; Khoảng 8,8% trong số các tên miền này đã được xác định là độc hại hoặc đáng ngờ thông qua phân tích mẫu và hoạt động lừa đảo...

Theo FortiGuard Labs, từ tháng 3 đến tháng 5/2026, hàng loạt tên miền lạm dụng thương hiệu FIFA và bao gồm các thuật ngữ liên quan đến vé, dịch vụ phát trực tuyến, nền tảng cá cược và dịch vụ khách sạn... đã xuất hiện.

Báo cáo đã xác định một số mối đe dọa chính liên quan đến sự kiện, bao gồm: Các trang web lừa đảo và bán vé giả mạo; Các quảng bá "bán lại vé" lừa đảo qua Telegram và các kênh khác; Các cửa hàng trực tuyến giả mạo; Các ứng dụng cá cược và phát trực tuyến độc hại; Bộ ứng dụng Android (APK) của bên thứ ba có nguy cơ chứa phần mềm độc hại... Đó là chưa kể đến những tài khoản mạo danh trên mạng xã hội, các bài đăng tuyển dụng giả mạo và các chiêu trò dụ dỗ tuyển dụng...

Những phát hiện này cho thấy sự tồn tại và phát triển của một hệ sinh thái tội phạm mạng rộng lớn xoay quanh giải đấu.

Trong đó, các vụ lừa đảo vé là một trong những mối đe dọa dễ nhận thấy nhất vì chúng lợi dụng sự khan hiếm. Người hâm mộ không thể mua vé qua các kênh chính thức thường chuyển sang các trang web bán lại, các nhóm mạng xã hội, kênh Telegram, quảng cáo tìm kiếm hoặc các “chợ đen”... FortiGuard Labs đã xác định được nhiều trang web bán vé giả mạo bắt chước các trang chính thức của FIFA để thu thập thông tin cá nhân, thông tin đăng nhập, dữ liệu thanh toán và hóa đơn. Ví dụ, một tên miền được đăng ký vào tháng 5/2026 đã sao chép nội dung của FIFA và sử dụng quy trình thanh toán giả mạo để thu thập thông tin nhạy cảm của nạn nhân.

Báo cáo cũng ghi nhận các vụ lừa đảo vé được quảng cáo trên các diễn đàn ngầm và kênh Telegram. Một số chiến dịch đã kết hợp vé xem trận đấu giả mạo với các gói vé máy bay và khách sạn giả mạo để làm cho các ưu đãi đầy đủ, thuận tiện và đáng tin cậy hơn.

FortiGuard Labs đã xác định hơn 1.700 tài khoản và kênh nghi ngờ giả mạo liên quan đến FIFA trên các nền tảng mạng xã hội và nhắn tin. Gần 90% các trường hợp này xảy ra trên Facebook và Instagram.

Vô vàn chiếc bẫy xung quanh một sự kiện

Báo cáo cũng nhấn mạnh sự xuất hiện của các ứng dụng độc hại liên quan đến những hoạt động xoay quanh World Cup. Một tệp thực thi được phát hiện với tên ‘1xbet.exe,’ cho thấy dấu hiệu của sự tồn tại dai dẳng, liên lạc được mã hóa và có thể là hành vi của phần mềm tống tiền. FortiGuard Labs cũng tìm thấy các tệp APK đáng ngờ theo chủ đề FIFA trên các trang web tải xuống của bên thứ ba.

Điều này rất quan trọng vì các sự kiện thể thao lớn thường làm tăng nhu cầu về các ứng dụng cá cược, công cụ phát trực tiếp, theo dõi tỷ số và ứng dụng khuyến mãi. Kẻ tấn công khai thác nhu cầu này bằng cách phân phối phần mềm giả mạo hoặc phần mềm nhiễm mã độc Trojan trông có vẻ hợp pháp.

Giải vô địch bóng đá thế giới cũng tạo ra nhu cầu về lao động thời vụ, nhà thầu, nhân viên phục vụ, nhân viên hậu cần, hỗ trợ truyền thông và các nhân sự hỗ trợ khác cho sự kiện. Nhu cầu này cung cấp cho kẻ tấn công một mục tiêu hấp dẫn khác để khai thác.

Ví dụ, FortiGuard Labs đã xác định một kế hoạch đánh cắp thông tin đăng nhập sử dụng các tin tuyển dụng giả mạo liên quan đến FIFA và các bài đăng tuyển dụng của nhà tài trợ. Kẻ tấn công đã gửi lời mời tham dự sự kiện trên lịch và hướng nạn nhân đến các trang web lừa đảo với trang đăng nhập Google giả mạo. Khi nạn nhân nhập thông tin đăng nhập, họ nhận được một thông báo lỗi chung chung, cho phép kẻ tấn công thu thập thông tin của họ.

Nhiều tên miền mạo danh FIFA, nhà tài trợ và các tổ chức liên kết đã chia sẻ cùng một ID theo dõi Google Analytics, cho thấy một chiến dịch phối hợp. Quá trình đánh cắp thông tin đăng nhập đã sử dụng API được lưu trữ trên Render, cho thấy cách kẻ tấn công có thể khai thác các dịch vụ đám mây hợp pháp để triển khai cơ sở hạ tầng độc hại dễ dàng hơn và gây khó khăn trong việc phân biệt với hoạt động web thông thường.

Bối cảnh các mối đe dọa xung quanh sự kiện FIFA World Cup 2026 là lời nhắc nhở rằng các sự kiện quan trọng luôn tiềm ẩn rủi ro an ninh mạng từ trước ngày khai mạc. Do đó, các tổ chức trong lĩnh vực thể thao, du lịch, khách sạn, truyền thông, bán lẻ, tài chính, chính phủ, vận tải và cơ sở hạ tầng trọng yếu cần bắt đầu chuẩn bị phòng thủ từ sớm.

Cùng đó, người hâm mộ và nhân viên các doanh nghiệp cũng nên được nhắc nhở sử dụng các kênh bán vé chính thức, tránh sử dụng các ứng dụng APK của bên thứ ba, thận trọng với các liên kết phát trực tiếp, xác minh các bài đăng tuyển dụng trên các trang web chính thức và cảnh giác với các yêu cầu thanh toán khẩn cấp có vẻ đáng ngờ.

Đối với những người bảo vệ an ninh mạng, bài học quan trọng nhất rất đơn giản: Kẻ tấn công tận dụng sự chú ý. Với việc FIFA World Cup 2026 thu hút sự chú ý trên toàn thế giới, tội phạm mạng đã và đang thiết lập cơ sở hạ tầng để tận dụng lợi thế. Bạn cần chuẩn bị những phương án phòng thủ thích hợp.