昨年8月以降、FIFAの公式ウェブサイトを装った4300以上の不正ドメインが登録されており、2026 FIFAワールドカップのファンを直接狙った詐欺活動が構築されている。
Group-IBによる新たな分析によると、この活動は6つの詐欺スキームと、同一イベントに同時に関与する4つの独立した脅威アクターにまたがっている。
ドメインの多くは休眠状態にあり、キックオフが近づくにつれて稼働できる準備が整っている。同社は2022年カタールワールドカップ前にも同様の詐欺サイトの急増を警告していた。
Facebook広告経由で拡散するクローンサイト
この活動の中心にいるのは、同社がGhost Stadiumと呼ぶ中国語話者で利益目的のアクターだ。このアクターは、fifa.comをPingIdentityのシングルサインオン(SSO)フローに至るまでほぼ完璧に複製した単一のキットを基盤とする300以上のフィッシングドメインを運営している。
これらのページはブランドの公式コンテンツネットワークからFIFAのロゴや商品画像を取得しているため、画像マッチング検出を回避しながら本物に見せかけることができる。
ソースコードに残された中国語のメモと、3つの中国語バリアントを含む11言語に切り替え可能なインターフェースが、調査担当者を中国語話者の開発者へと導いた。
有料のFacebook広告がこのキャンペーンの主要な手段であり、共有されたMetaのトラッキングコードが数百のドメインを同一の広告アカウントに結びつけている。
より広範な詐欺エコシステム
Ghost StadiumはGroup-IBが特定した4つの運営者のうちの1つに過ぎない。その他には、ドメインの大量スクワッティング業者、既製キットを販売するフィッシング・アズ・ア・サービス(PhaaS)サプライチェーン、認証情報窃取を目的とした広範なインフォスティーラーキャンペーンが含まれる。
VidarとLummaのインフォスティーラーファミリーが主体となり、これらの感染によって約2500件のFIFAログイン情報がダークウェブ市場で取引されている。
認証情報窃取を加速させるインフォスティーラーについて詳しく読む:LummaスティーラーがVidar 2.0にアップグレードされ空白を埋める
資金は複数のチャネルを通じて流れており、回収不可能な形で決済される暗号資産の入金経路も含まれている。
Group-IBは、プレミアムおよびホスピタリティチケット詐欺だけで被害者が7100万ドルから4億7400万ドルの損害を被る可能性があると試算しており、キャンペーン全体の損失は数十億ドルに達する恐れがあると警告している。
ファンにとって最も安全な対策は、fifa.comのみを通じてチケットを購入し、暗号資産での支払いを要求するチケットオファーは詐欺として扱い、混雑が始まる前に多要素認証(MFA)を有効にすることだ。
ブランド保護および詐欺対策チームに対しては、休眠ドメインが活性化する兆候を監視し、サイトを一つずつ追うのではなくレジストラレベルでテイクダウンを進めることを同社は勧めている。
翻訳元: https://www.infosecurity-magazine.com/news/ghost-stadium-fifa-world-cup-fraud/
