Uma ampla operação de fraude digital está explorando a expectativa em torno da Copa do Mundo de 2026 para roubar credenciais, dados financeiros e dinheiro de torcedores em todo o mundo. De acordo com uma investigação da empresa de cibersegurança Group-IB, criminosos criaram milhares de domínios falsos que imitam a presença online oficial da FIFA, incluindo cópias quase perfeitas da plataforma de venda de ingressos.

Os pesquisadores identificaram quatro campanhas independentes voltadas para o torneio, sendo a mais sofisticada atribuída a um grupo batizado de GHOST STADIUM. A operação foi observada pela primeira vez em novembro de 2025 e, desde então, registrou mais de 4.300 domínios fraudulentos que simulam canais oficiais da FIFA.

Segundo o relatório, mais de 300 desses domínios já estão ativos e operando infraestrutura fraudulenta. Outros 3.800 permanecem registrados, mas ainda inativos, prontos para serem utilizados à medida que a competição se aproxima.

A escala do golpe acompanha a dimensão da própria Copa do Mundo de 2026, que será a maior da história. O torneio contará com 48 seleções disputando 104 partidas em três países: United States, Canada e Mexico.

De acordo com os pesquisadores, o principal objetivo da campanha é roubar credenciais de acesso de usuários que tentam adquirir ingressos. Para isso, os criminosos desenvolveram uma réplica extremamente fiel do sistema oficial de autenticação da FIFA.

O kit de phishing utilizado pelo grupo foi construído com a biblioteca de código aberto Layui 2.7.6m, uma tecnologia amplamente utilizada por desenvolvedores chineses, mas pouco conhecida fora desse ecossistema. A análise também encontrou comentários escritos em chinês espalhados pelo código-fonte das páginas fraudulentas.

A sofisticação da operação chamou atenção dos especialistas. Em vez de apenas exibir uma página falsa, o sistema reproduz o fluxo de autenticação utilizado pelo provedor de identidade da FIFA. Após capturar as credenciais da vítima, o usuário é redirecionado silenciosamente para o site legítimo, criando a impressão de que o login ocorreu normalmente.

Além disso, a página maliciosa solicita informações relacionadas à redefinição de senha. Isso permite que os invasores alterem imediatamente as credenciais da conta comprometida e impeçam o acesso do proprietário legítimo. Caso existam ingressos associados à conta, eles podem ser revendidos pelos criminosos em mercados paralelos.

A investigação também revelou que toda a infraestrutura parece estar centralizada. Os mais de 300 domínios ativos compartilham certificados SSL semelhantes e identificadores Meta Pixel idênticos, indicando que a campanha está vinculada às mesmas contas de publicidade utilizadas para promover os golpes nas redes sociais.

Entre os domínios identificados, 79 eram dedicados exclusivamente à venda de ingressos premium e pacotes de hospitalidade. Os preços anunciados variavam entre US$ 1.500 e mais de US$ 10 mil por ingresso.

Com base nos dados coletados, a Group-IB observou mais de 600 registros de vítimas em apenas um único domínio fraudulento. A partir dessa amostra, os pesquisadores estimam que mais de 47.400 pessoas possam ter sido impactadas apenas pelos golpes envolvendo ingressos premium.

As perdas financeiras estimadas para essa categoria específica variam entre US$ 71 milhões e US$ 474 milhões. Como essa análise cobre apenas cerca de um quarto da infraestrutura ativa do GHOST STADIUM, os pesquisadores acreditam que os prejuízos totais possam alcançar bilhões de dólares quando considerados outros esquemas associados, como roubo de credenciais, venda de ingressos falsos, comercialização de produtos falsificados, plataformas fraudulentas de streaming e sites ilegais de apostas.

A distribuição dos golpes ocorre principalmente por meio de anúncios patrocinados no Facebook. Os criminosos utilizam ofertas extremamente atraentes, anunciando ingressos por valores tão baixos quanto US$ 60 para assentos que oficialmente custariam milhares de dólares. Mensagens como "primeiro a chegar, primeiro a comprar" são utilizadas para gerar senso de urgência e pressionar as vítimas a realizar a compra rapidamente.

Como medida de proteção, os pesquisadores recomendam que torcedores acessem a venda de ingressos exclusivamente pelo endereço oficial da FIFA digitado manualmente no navegador. A empresa também alerta que qualquer domínio contendo variações do nome FIFA com hífens ou alterações incomuns deve ser tratado como suspeito.

A investigação foi conduzida entre março e maio de 2026 e as informações já foram compartilhadas com as autoridades competentes.