Чемпіонат світу з футболу — це не лише мільярди глядачів і національні драми, а й ідеальний ґрунт для масових кібершахрайств. У подкасті IBM Security Intelligence ведучий Метт Кузінскі разом із експертами з безпеки Дейвом Бейлзом, Кіммі Фаррінгтон та JR Рао розбирають дослідження Cyble Research and Intelligence Labs під кодовою назвою Operation FanTrap. Воно демонструє, як навколо World Cup виростає повноцінна індустрія фроду, що працює за тими ж принципами, що й сучасний маркетинг, але з кримінальною метою.
4 000 шкідливих доменів: індустрія, а не одиничні махінації
Cyble в рамках Operation FanTrap зафіксувала майже 4 000 шкідливих доменів, які використовують бренд Чемпіонату світу, щоб розповсюджувати шкідливе ПЗ, красти гроші, перехоплювати облікові дані та здійснювати інші атаки.
Фаррінгтон не дивується масштабу, але звертає увагу на те, як далеко зайшла «галузь» довкола таких схем. Мова вже не про поодинокі фальшиві сайти з квитками. Поруч існують псевдостримінгові платформи, сервіси з «офіційними» фан-пакетами, сторінки з розіграшами та «акціями».
Користувач уявляє, що отримає:
- дешевші квитки чи промо‑пакет;
- безкоштовну або «сіру» трансляцію матчу;
- особливу знижку чи вигідний турпакет.
Натомість він ризикує залишити шахраям реквізити платіжної картки, логіни й паролі та дозволити встановити на свій пристрій шкідливе програмне забезпечення. У випадку з фейковими сервісами потокового відео обіцянка безкоштовного перегляду матчу часто закінчується тим, що «безкоштовний» стрім перетворюється на крадіжку грошей і даних.
JR Рао описує це як «індустріалізацію» фроду: шахрайство не обов’язково стає надскладним з технічного боку, але масштабується за рахунок тисяч доменів, повторюваних сценаріїв та відточених психологічних тригерів.
World Cup як глобальний attack surface
Рао пропонує формулу, яка добре описує природу проблеми: Чемпіонат світу — це не лише глобальна спортивна подія, а й глобальний attack surface.
Ключовий фактор — концентрація уваги. World Cup відбувається раз на чотири роки, це один із найпопулярніших спортивних турнірів планети. У цей період, як пояснює Рао, одночасно зростають:
- увага до події;
- емоційна залученість;
- кількість транзакцій, пов’язаних з квитками, подорожами, мерчем, стрімінгом.
І разом із цим, за його словами, «коли все це зростає — пильність падає». Шахраї традиційно «йдуть за увагою», а такі події дають їм те, чого вони прагнуть: масову аудиторію, яка переживає сильні емоції, поспішає та готова ризикувати заради «шансів життя».
Рао підкреслює, що сама по собі шахрайська схема не обов’язково має бути новою чи вишуканою. Вона стає комерціалізованою: тисячі доменів, шаблонні сторінки, типові пропозиції — «знижка на FIFA‑квитки», «безкоштовний стрім», «вигідний турпакет». По суті, це маркетинг, перетворений на злочинний інструмент.
Критичну роль відіграють слова та тригери у назвах сайтів і листів — згадки про FIFA, «офіційні» пакети, обмежені пропозиції. Зловмисники добре розуміють пошукову поведінку фанатів і підстроюються під неї краще, ніж більшість захисників.
Технічна відповідь: заглядати всередину браузера
Попри очевидну роль людського фактора, Фаррінгтон наголошує, що ставка лише на «просвіту користувачів» не спрацює. Людська вразливість — постійна й системна, і це означає, що потрібні й технічні протиходи.
Вона звертає увагу на появу нового класу засобів захисту, подібних до EDR‑рішень, але орієнтованих на браузер. Ідея полягає в тому, щоб поставити «сенсор» безпосередньо в браузер, який фіксує все, що там відбувається, і передає ці дані як телеметрію в SIEM, де їх можна корелювати з подіями з EDR та інших джерел.
Фаррінгтон пояснює, що класична картина з точки зору EDR виглядає так: видно, що процес пішов у браузер, але те, що стається далі — чорна скринька. Новий підхід дозволяє:
- бачити JavaScript‑код, який намагається вилучити облікові дані;
- виявляти підозрілі «call home» — неочікувані зовнішні звернення, які починаються одразу після заходу на сайт;
- зіставляти активність браузера з іншими датчиками, щоб швидше реагувати.
Таким чином, навіть якщо користувач піддався емоції й перейшов за сумнівним посиланням, автоматизовані агенти й системи можуть діяти без емоцій, за правилами — і зупиняти атаку до того, як шкода стане критичною.
Поведінковий фронт: «якщо виглядає краще за офіційну пропозицію — це шахрайство»
Технічні системи — лише один бік історії. Рао, у свою чергу, повертає розмову до «несучасних», але стійких до часу принципів гігієни безпеки. Він формулює просте правило: якщо угода виглядає кращою, ніж офіційна пропозиція, її варто вважати шахрайською, доки не доведено протилежне.
Серед базових поведінкових орієнтирів, які він виділяє:
- купувати квитки, пакети й мерч лише з відомих, офіційних або перевірених джерел;
- сприймати будь-який «дефіцит» і «терміновість» як червоний прапорець;
- пам’ятати, що «безкоштовний» чи надто дешевий продукт майже завжди має приховану ціну.
Рао нагадує: немає «безкоштовного обіду». Якщо ви платите менше, ніж очікували, для цього, швидше за все, є причина — і її потрібно поставити під сумнів до того, як ввести номер картки.
Бейлз продовжує цю лінію максимально прямолінійною порадою, яку він називає своїм «стандартним» рецептом при обговоренні соціальної інженерії: перестати бездумно клікати. Йдеться не про повну відмову від активності в мережі, а про затримку між імпульсом і дією — взяти паузу, перевірити джерело, пошукати відгуки, порівняти з офіційними сайтами.
З його точки зору, особливо для пересічних користувачів, які не мають ні SIEM, ні EDR, ні спеціалізованих захисних рішень, ця проста поведінкова пауза часто є єдиним бар’єром між ними та великою втратою.
Ослаблення пильності як спільний знаменник
У фіналі дискусії учасники сходяться на тому, що фрод навколо Чемпіонату світу не є ані новим, ані тимчасовим явищем. Бейлз прямо говорить, що це не припиниться, й нагадує про власний досвід із паперовими «терміновими» листами після купівлі дому — той самий патерн тиску, офіційного вигляду й апеляції до страху чи жадібності.
Масові події зразка World Cup лише різко підсилюють загальний фон: шквал рекламних повідомлень, інформаційний шум, FOMO, гонитва за «останнім шансом». На цьому тлі шахрайські домени й листи виглядають як частина загального потоку, і відокремити їх стає дедалі складніше.
Саме тому, підкреслюють експерти, потрібна комбінація двох підходів. З одного боку — технічна інфраструктура, яка бачить те, що відбувається всередині браузера і на рівні мережі, і реагує швидше, ніж людина встигає усвідомити помилку. З іншого — відновлення базових навичок недовіри до «надто вигідних» пропозицій, особливо під час періодів підвищеного ажіотажу.
Чемпіонат світу як глобальний attack surface показує, що фрод еволюціонує не тільки у складність, а й у масштаб. І чим більше уваги прикуто до події, тим менше залишається на елементарну обережність — саме це й намагаються монетизувати зловмисники.
Джерело
Подкаст Security Intelligence, IBM Technology — «Have we finally solved social engineering? Plus: World Cup fraud, AI IDs and an IBM/OpenAI collab»
https://www.youtube.com/watch?v=10XtOi4Lbes