Pesquisadores de segurança e o FBI (Bureau Federal de Investigação dos Estados Unidos) estão alertando que uma onda de fraudes com tema FIFA já atinge os fãs da Copa do Mundo 2026, dias antes do pontapé inicial em 11 de junho.
Relatos recentes descrevem milhares de domínios falsos imitando a FIFA, malware bancário escondido em aplicativos de streaming pirata e pelo menos uma operação que reproduz a página de login da entidade com qualidade suficiente para invadir contas reais.
O alvo é óbvio. Mais de seis milhões de torcedores são esperados em 16 cidades nos Estados Unidos, no Canadá e no México, e a FIFA informou que recebeu mais de 150 milhões de pedidos de ingresso nos primeiros 15 dias, deixando o torneio com cerca de 30 vezes mais procura do que oferta. Ingressos são escassos, torcedores estão ansiosos e o dinheiro circula rápido — exatamente o que os golpistas precisam.
Um operador, 300 sites clone da FIFA
Os achados mais detalhados vêm da Group-IB, que rastreou mais de 4.300 domínios fraudulentos com tema FIFA registrados desde agosto de 2025. No centro está um grupo batizado de GHOST STADIUM, uma operação de língua chinesa movida a dinheiro que administra um mesmo kit de phishing em mais de 300 desses sites.
A falsificação é bem-feita. A página é uma cópia quase perfeita de fifa.com e imita o sistema de login único (single sign-on) da FIFA, operado pela PingIdentity, com o ID de cliente real copiado do site oficial. As imagens são carregadas diretamente dos servidores da FIFA, o que dá aparência autêntica à página e engana ferramentas que costumam sinalizar imagens copiadas.
Aí vem a parte que causa o estrago: a página de login falsa também pede para redefinir a senha. Assim que a vítima informa seus dados, o atacante consegue bloqueá-la na própria conta da FIFA e revender os ingressos vinculados a ela.
A maior parte do tráfego vem de anúncios no Facebook, com os mesmos códigos de rastreamento reaproveitados em todo o cluster, além de links no Telegram, no WhatsApp e em resultados de busca. O site aceita pagamento de cinco formas: cartão de crédito direto, gateways de pagamento externos, aplicativos de transferência de dinheiro como Chime e Nequi, processadores exclusivos do México e uma opção em criptoativos que converte o pagamento com cartão em criptomoedas, muito mais difíceis de recuperar.
Esse último detalhe é uma pista útil, já que a bilheteria oficial da FIFA nunca aceita criptoativos — qualquer vendedor que peça esse tipo de pagamento é golpista.
A Group-IB estima que apenas os golpes com ingressos premium e de hospitalidade somem entre US$ 71 milhões e US$ 474 milhões em prejuízos e diz que a campanha inteira pode chegar a bilhões de dólares. Os valores são estimativas baseadas na infraestrutura que a empresa consegue enxergar, não prejuízos confirmados.
Milhares de domínios, muitos tipos de golpe
Não é só a Group-IB. O FortiGuard Labs contabilizou mais de 13.000 domínios com tema da Copa do Mundo registrados entre janeiro e maio, dos quais cerca de 8,8% são maliciosos ou suspeitos.
O alerta do FBI lista dezenas de domínios falsos da FIFA — de endereços com erros de digitação a páginas falsas de vagas de emprego na entidade — e avisa que mais devem surgir. Outros pesquisadores mapearam milhares de sites clone adicionais e mais de mil contas falsas em redes sociais.
O golpe de ingressos é só uma parte. A Group-IB também encontrou lojas de produtos falsificados, sites de streaming falsos que cobram assinatura e em seguida instalam malware que dá controle do aparelho ao atacante, e casas de aposta fraudulentas que coletam fotos de passaporte e selfies para roubo de identidade.
A Bitdefender, separadamente, rastreou e-mails de loteria da FIFA prometendo prêmios de até US$ 2 milhões. A Group-IB também identificou um mercado de "phishing como serviço" (phishing-as-a-service) que vende kits de golpe prontos e bots de compra de ingressos, o que faz com que derrubar um único operador quase não faça diferença.
As peças se encaixam: domínios falsos captam as buscas por ingressos, anúncios e resultados de busca empurram o tráfego, bases de senhas roubadas alimentam invasões de contas, e apps instalados fora das lojas oficiais transformam a busca por streams em fraude bancária.
Malware bancário escondido em apps de streaming
Para os torcedores em busca de transmissões gratuitas, o perigo maior está no celular. A ThreatFabric identificou um aumento de apps de streaming não oficiais maliciosos, muitos se passando pelo popular RojaDirecta, em torno da recente final da Liga dos Campeões, e espera a repetição do fenômeno na Copa, em escala maior.
A Kaspersky vinculou esses mesmos aplicativos a trojans bancários para Android, malware criado para esvaziar contas em aplicativos de banco e de criptoativos, e citou duas famílias: Massiv e Perseus. Esses apps não estão na Google Play, então instalá-los exige ignorar os alertas do sistema que normalmente bloqueiam esse tipo de ação.
Depois de instalado, o malware usa as ferramentas de acessibilidade do Android para assumir o controle do aparelho. Ele consegue sobrepor telas falsas de banco sobre os aplicativos reais, registrar o que a vítima digita, interceptar os códigos únicos (de uso único) enviados por SMS e por apps de autenticação — justamente o que deveria proteger as contas — e controlar a tela remotamente.
O Perseus, criado a partir do código vazado de um trojan mais antigo chamado Cerberus, chega a ler aplicativos de notas em busca de senhas salvas e frases de recuperação de carteiras de criptoativos. O sinal mais simples de alerta, segundo a ThreatFabric, é um app de streaming pedindo acesso de acessibilidade: nenhum aplicativo legítimo precisaria dessa permissão.
Golpes em redes sociais, logins roubados e Wi-Fi arriscado
As redes sociais também estão lotadas de golpes. A Bitdefender identificou mais de 55 campanhas de anúncios com tema de futebol no Facebook e no Instagram vendendo camisas falsificadas, figurinhas da Panini falsas e páginas de phishing; duas operações de produtos falsos foram rastreadas até operadores chineses por meio de tags de rastreamento de anúncios.
A Fortinet contabilizou mais de 1.700 contas falsas se passando pela FIFA, quase 90% delas no Facebook e no Instagram, além de um esquema que usava anúncios de emprego falsos na entidade e convites de calendário para levar os candidatos a uma página de login do Google falsificada.
Logins da FIFA roubados já estão circulando. A Fortinet encontrou centenas de milhares de credenciais de usuários, além de mais de 4.600 endereços web da FIFA, em dados coletados por malwares ladrões de senhas como Vidar, LummaC2 e RedLine.
O Wi-Fi das cidades-sede é um problema à parte. Uma pesquisa da Kaspersky que percorreu de carro a Cidade do México, Monterrey e Guadalajara descobriu que entre 10% e 12% das redes estavam abertas e sem senha, com a função de pareamento WPS (Wi-Fi Protected Setup) ainda ativada em quase metade delas. As duas falhas facilitam a criação de hotspots gêmeos maliciosos (chamados "evil twin") que imitam uma rede real e interceptam o tráfego sem que ninguém perceba.
O que ficar de olho
Esses golpes deixam sinais claros. Compre somente pelo fifa.com e digite o endereço você mesmo, em vez de confiar em anúncios ou resultados de busca. Ative o login com múltiplos fatores (MFA) e trate qualquer vendedor que peça pagamento em criptoativos como golpista, já que a bilheteria da FIFA nunca faz esse tipo de cobrança.
No Android, o sinal mais evidente de alerta é um app de streaming pedindo acesso de acessibilidade sem necessidade. Em Wi-Fi aberto nas cidades-sede, prefira a rede de dados móveis sempre que possível e evite acessar banco ou e-mail.
Para equipes de segurança, a tarefa é direta: monitorar o surgimento de novos domínios com tema FIFA e de páginas de login falsas, sinalizar logins de funcionários ou clientes que apareçam em logs dos ladrões de credenciais Vidar, LummaC2 ou RedLine, e preparar as equipes antifraude para picos de golpes com ingressos e de contestações de pagamento (chargeback) até meados de julho.
A Meta afirma que também está agindo. A empresa passou a exibir avisos de alerta quando alguém busca por ingressos da FIFA no Facebook e se uniu à Visa para derrubar uma rede na plataforma ligada a sites falsos da Copa que promoviam apostas fraudulentas. O FBI pede que quem foi vítima registre a denúncia no IC3 (Centro de Denúncias de Crimes Cibernéticos dos EUA).
A preocupação maior é o que ainda está por vir. A Group-IB contabilizou cerca de 3.800 domínios fraudulentos com tema FIFA que estão estacionados e sem uso, prontos para serem ativados. Com kits de golpe e bots já à venda, a janela de maior atividade é fácil de prever: de 11 de junho a 19 de julho, período em que as buscas por ingressos, transmissões e viagens estarão no auge.
