Une infrastructure massive de fraude aux consommateurs cible les supporters avant le coup d'envoi de la Coupe du monde.

Par Assaf Morag, chercheur en cybersécurité

Alors que des centaines de millions de fans de football à travers le monde attendent avec impatience le coup d'envoi de la Coupe du Monde de la FIFA 2026, des acteurs malveillants se préparent avec la même intensité à déployer des stratagèmes frauduleux et néfastes contre des supporters sans méfiance.

Nous avons mis au jour une infrastructure de phishing et de fraude à la consommation à grande échelle, conçue pour exploiter l'engouement mondial actuel. L'opération est déjà en cours et utilise plus de 75 noms de domaine similaires pour vendre de faux billets et produits dérivés qui n'arriveront jamais à destination.

À propos de cette série de la Coupe du monde

Début avril, la liste des 48 équipes participant aux jeux organisés aux États-Unis, au Canada et au Mexique était complète. Des cybercriminels ont également mis en place des infrastructures d'hameçonnage pour piéger les fans non avertis. 

Nous révélons l'infrastructure qui sous-tend cette campagne, notamment son ampleur, ses domaines et les adresses IP associées, afin de sensibiliser le public, de protéger les supporters et de soutenir les efforts de la FIFA pour lutter contre la cybercriminalité liée à la Coupe du monde.

Ce blog fait partie de notre Série sur la cybercriminalité de la Coupe du monde 2026Cette série d'articles de recherche ciblés examine l'évolution des menaces pesant sur la Coupe du Monde de la FIFA 2026. Elle explore des domaines clés tels que les infrastructures de phishing, la fraude et les escroqueries, les services de streaming illégaux, les plateformes de paris illicites, les menaces internes et autres activités cybercriminelles visant cet événement.

Principales conclusions concernant l'infrastructure de phishing de la Coupe du monde

• Il existe une infrastructure de phishing coordonnée composée de 14 adresses IP hébergeant 79 domaines de typosquatting et de copies de domaines imitant le site web officiel de la FIFA : Le Des sites ont reproduit les structures de chemin d'URL légitimes de la FIFA pour créer une expérience d'hameçonnage très convaincante.
• Tous les sites sont construits à partir des mêmes modèles. et afficher un haut niveau d'automatisation Plus de la moitié des domaines ayant été enregistrés auprès d'un seul registraire, cela suggère une campagne évolutive conçue pour s'étendre à mesure que la demande pour le tournoi s'intensifie : 45 des 79 domaines ont été enregistrés pour GNAME.COM PTE. LTD., ce qui indique une opération gérée de manière centralisée plutôt que par des acteurs indépendants.

Les sites frauduleux fonctionnent comme des répliques complètes de l'écosystème, et non comme de simples pages d'hameçonnage : Les éléments HTML et structurels sont copiés depuis l'infrastructure malveillante, tandis que les images et les icônes sont extraites directement du véritable site web de la FIFA, mélangeant contenu légitime et frauduleux pour tromper même les utilisateurs les plus attentifs.

L'infrastructure de phishing imitant le site web de la FIFA

Nous avons identifié une infrastructure comprenant 14 adresses IP distinctes hébergeant 79 domaines de typosquatting et de type lookalike imitant le site web officiel de la FIFA.

Les domaines de typosquatting sont conçus pour ressembler étroitement à des domaines légitimes en introduisant des modifications subtiles (telles que des substitutions, des omissions ou des ajouts de caractères, ou l'utilisation de chiffres à la place de lettres) qui peuvent facilement tromper les utilisateurs. Le domaine officiel de la FIFA est : https://fifa.com (avec https://www.fifa.com (redirection vers celui-ci). 

Des acteurs malveillants ont enregistré des domaines tels que vww-fifa[.]com, qui combine la substitution de caractères (« www » → « vww ») et la variation structurelle (« fifa.com » → « fifa-com ») pour tromper même les utilisateurs expérimentés.

Les domaines similaires, en revanche, ne reposent pas sur une similarité directe des chaînes de caractères, mais exploitent plutôt l'association à la marque et les attentes des utilisateurs. Des domaines tels que vente FIFA peuvent imiter de manière convaincante des services officiels – tels que des plateformes de billetterie ou de vente de produits dérivés – même si leur structure de domaine ne correspond pas à l'originale.

Vous pouvez observer ci-dessous le registraire utilisé :

Une part importante des domaines ont été enregistrés via GNAME.COM PTE. LTD., un registraire connu pour prendre en charge un large éventail de méthodes de paiement (y compris les cryptomonnaies), ce qui peut le rendre attrayant pour les acteurs malveillants recherchant flexibilité et traçabilité réduite.

Lorsqu'ils accèdent à ces domaines via un navigateur, les utilisateurs sont redirigés vers des chemins tels que /fr/tournois/hommes/worldcup/candamexicousa2026Bien qu'il ne s'agisse pas d'une copie conforme, cette structure imite de près le site web officiel de la FIFA, renforçant ainsi l'illusion d'authenticité.

Comme le montre la capture d'écran ci-dessous, la combinaison du typosquatting de domaine et de chemins d'URL réalistes crée une expérience d'hameçonnage très convaincante qui peut tromper même les utilisateurs attentifs en leur faisant croire qu'ils interagissent avec le site officiel.

Site web frauduleux sur la Coupe du monde

Vous trouverez ci-dessous une option « Calendrier des matchs ». Le code HTML et la plupart des éléments proviennent du site web malveillant, mais certains (comme les images, les icônes, etc.) sont tirés du site web officiel de la FIFA.

La page « Calendrier des matchs » du site web frauduleux

La boutique FIFA elle-même ressemble trait pour trait à l'originale.

Page frauduleuse de la boutique FIFA

En cliquant sur la page « FIFA Collect », un nouvel onglet s'ouvre sur le véritable site web de la FIFA.

Page de collecte FIFA frauduleuse

Pour enquêter plus en profondeur sur la boutique FIFA frauduleuse, nous avons tenté d'acheter le maillot officiel original du prochain vainqueur de la Coupe du monde 2026.

Capture d'écran de maillots vendus sur la boutique FIFA frauduleuse

Après avoir choisi un maillot, nous avons été redirigés vers une fausse page de connexion FIFA ID, qui ressemble à la page de connexion FIFA ID légitime.

La fausse page d'identification FIFA ressemble à la version officielle.

On nous a demandé de nous connecter à notre compte FIFA. Nous avons donc entré un faux identifiant, qui, étonnamment (ou pas), a été immédiatement accepté.

Identifiants fictifs saisis sur la page FIFA ID

Cela apporte un éclairage supplémentaire sur la nature du site. Bien qu'il puisse servir de portail d'hameçonnage ciblant les comptes FIFA en vue d'une potentielle prise de contrôle, il ne semble pas relayer de données en direct de la plateforme légitime, contrairement aux systèmes plus avancés fonctionnant en temps réel. kits de phishingEn réalité, les éléments de preuve suggèrent qu'il fonctionne principalement comme un site de fraude financière indépendant, conçu pour collecter directement les paiements des victimes.

Cela dit, la récupération des identifiants des utilisateurs demeure un objectif secondaire précieux. Les comptes FIFA compromis pourraient être monétisés par la revente de billets de match légitimes, dont le prix varie souvent de plusieurs centaines à plusieurs milliers de dollars.

Après avoir simulé la connexion, sélectionné les options de marchandise (comme la taille du maillot) et finalisé le processus d'achat, nous avons ajouté un billet de match (par exemple, Espagne contre Uruguay) afin d'analyser plus en détail le comportement de la transaction.

Saisie de fausses informations lors du paiement sur la fausse boutique FIFA

Comme prévu, la page de billetterie ressemble également au véritable site web de la FIFA.

Fausse page de billetterie FIFA

Nous avons sélectionné un billet pour un match et cliqué pour finaliser l'achat.

Sélectionner un billet

Vous pouvez voir notre panier d'achat ci-dessous.

Le panier d'achat comprend un maillot et un billet de match

Avant d'afficher les modes de paiement proprement dits, le site web propose l'option de payer par carte de crédit.

Les modes de paiement acceptés incluent la carte de crédit.

Cependant, la page suivante montre que les modes de paiement réellement disponibles se limitent à diverses applications de paiement et aux cryptomonnaies.

Les seuls modes de paiement disponibles sont les applications de paiement et les cryptomonnaies.

Nous souhaitions obtenir plus d'informations à ce sujet et avons essayé d'utiliser l'option de chat, mais elle ne fonctionnait pas. 

Le chat du service client n'a pas fonctionné.

À titre de comparaison, nous avons créé un compte sur le site officiel de la FIFA. Les faux sites utilisés par les cybercriminels sont très similaires à la version officielle. 

Site officiel de la FIFA

La page de connexion FIFA ID a été copiée presque à l'identique par des acteurs malveillants pour leur fausse version.

page de connexion FIFA ID

Cependant, les similitudes s'arrêtent là. Le processus d'achat des billets est complètement différent. 

La page proposait de choisir une tribune, un secteur, un bloc et un siège précis, au lieu de sélectionner un billet pour un match (comme le permettait le faux site). Les billets pour le match Espagne-Uruguay étant épuisés, nous avons choisi un billet pour le match Canada-Bosnie-Herzégovine.

Étape pour choisir un jeu

Étape pour choisir un support

Étape pour choisir un siège

La page de paiement offre la possibilité de payer par carte de crédit, plutôt que via diverses applications ou cryptomonnaies.

Page de paiement

La Coupe du monde 2026 n'est pas seulement un événement sportif mondial, mais aussi une cible de choix pour les opérations cybercriminelles à grande échelle.

Cinq bonnes pratiques pour éviter les arnaques chez les fans

Restez en sécurité pendant la Coupe du monde et autres événements majeurs similaires en suivant ces quelques conseils clés :

1. Vérifiez soigneusement le domaine

• Utilisez uniquement le domaine officiel : https://fifa.com 
• Soyez attentif aux changements subtils comme :
  • vww-fifa.com 
  • fifa-sale.com 
  • fifa-com.* 
• Même de petites différences peuvent indiquer une escroquerie. 

2. Évitez de cliquer sur les publicités ou les liens sociaux.

• Les sites frauduleux sont souvent promus via :
  • Réseaux sociaux 
  • Applications de messagerie 
  • Annonces sponsorisées 
• Naviguez toujours manuellement vers les sites web de confiance. 

3. Méfiez-vous des modes de paiement

• Les plateformes officielles utilisent des méthodes de paiement sécurisées et traçables (par exemple, les cartes de crédit). 
• Les drapeaux rouges incluent :
  • Paiements cryptographiques 
  • Applications de paiement uniquement 
  • Aucun remboursement ni protection de l'acheteur 

4. Valider le flux d'achat

• Plateformes de billetterie réelles :
  • Sélection du siège requise (section, rangée, siège) 
• Sites frauduleux :
  • Proposer des billets génériques sans détails de siège 
  • Autoriser une disponibilité irréaliste (par exemple, des matchs à guichets fermés). 

5. Ne faites jamais aveuglément confiance aux pages de connexion.

• Si les identifiants de connexion sont acceptés instantanément (même s'ils sont faux) → c'est une arnaque 
• Utilisez un gestionnaire de mots de passe, car il ne remplira pas automatiquement les champs pour les faux domaines.

Les acteurs malveillants développent de plus en plus d'architectures de fraude convaincantes.

Les attaquants ne se contentent plus de simples pages d'hameçonnage ; ils construisent des écosystèmes entiers qui imitent les plateformes légitimes, rendant la détection de plus en plus difficile pour les utilisateurs finaux.

La sensibilisation, la vérification et la surveillance proactive sont essentielles pour les fans, et les organisations peuvent détecter et perturber de manière proactive l'infrastructure de fraude afin de protéger les utilisateurs finaux.

Indication de compromission