4.300 domínios do cibercrime imitam site da FIFA e abrem caminho para prejuízos bilionários na Copa de 2026
A proximidade da Copa do Mundo de 2026 está sendo explorada em larga escala por cibercriminosos. Investigação da empresa de segurança Group-IB revelou uma campanha de phishing altamente sofisticada, batizada de GHOST STADIUM, que se apoia em mais de 300 sites falsos cuidadosamente elaborados para copiar o portal oficial da FIFA e enganar torcedores do mundo inteiro. No total, dentro de um ecossistema criminoso mais amplo, já foram detectados mais de 4.300 domínios maliciosos, registrados desde agosto de 2025, todos voltados para golpes relacionados ao evento.
De acordo com relatório publicado em 27 de maio de 2026, essa operação não é isolada: ela faz parte de uma verdadeira “indústria” do crime digital. O mapeamento da Group-IB identificou seis grandes tipos de fraude, coordenados ou explorados por pelo menos quatro grupos distintos de ameaças, que compartilham infraestrutura, ferramentas, técnicas e, em alguns casos, bases de dados roubadas. O alvo principal são as credenciais de acesso dos torcedores, seus dados pessoais e, sobretudo, as informações de pagamento usadas para compra de ingressos e produtos oficiais.
Como funciona o kit de phishing GHOST STADIUM
O núcleo da campanha é um kit de phishing desenvolvido em React, desenhado para imitar com precisão o site fifa.com. Os criminosos replicam não só a aparência visual, mas também o fluxo de autenticação legítimo, incluindo o uso do single sign-on (SSO) baseado em PingIdentity. Para o usuário comum, a experiência é praticamente idêntica à do site real.
Quando a vítima acessa um desses domínios falsos, ela visualiza páginas que parecem completamente autênticas: logotipos, menus, cores, textos institucionais e até mensagens de segurança são copiados. Ao inserir login, senha e dados do cartão, todas essas informações são capturadas pelo kit e imediatamente encaminhadas para os operadores do golpe. Em seguida, o usuário é redirecionado silenciosamente ao site verdadeiro da FIFA, o que reduz a chance de desconfiança e dificulta que perceba ter sido enganado.
Estimativa de perdas: de centenas de milhões a bilhões de dólares
Um dos focos de maior rentabilidade para os criminosos está na revenda fraudulenta de ingressos premium e pacotes hospitality, que costumam ter preços bastante elevados e alta demanda. Aproximadamente um quarto dos mais de 300 sites clonados é dedicado especificamente a esse tipo de oferta falsa.
Com base nos valores praticados nesse segmento, a Group-IB estima que somente esse recorte da fraude – a venda de ingressos de categorias mais caras – pode gerar prejuízos entre 71 milhões e 474 milhões de dólares. Porém, quando se somam todas as vertentes do ecossistema criminoso identificado, a projeção é de perdas totais que podem atingir a casa dos bilhões de dólares, considerando vítimas em diversos países, em múltiplas moedas e com diferentes perfis de gasto.
Como esses sites falsos chegam até as vítimas
Os domínios fraudulentos não dependem apenas de truques de digitação (como trocar uma letra do endereço oficial): eles são ativamente promovidos. A análise da Group-IB identificou o uso maciço de anúncios pagos no Facebook, todos associados a apenas três IDs de Meta Pixel, compartilhados entre centenas de sites. Isso indica coordenação e reaproveitamento de infraestrutura de marketing digital por parte dos fraudadores.
Além das redes sociais, muitos desses sites aparecem em resultados de busca relacionados à Copa do Mundo, ingressos, pacotes de viagem e produtos oficiais. Isso acontece tanto por meio de anúncios patrocinados quanto por técnicas de SEO aplicadas de forma maliciosa, que ajudam as páginas a subirem nos resultados orgânicos para determinadas palavras-chave. O torcedor que pesquisa “ingresso FIFA 2026” ou “hospitality Copa 2026” pode facilmente cair em um domínio falso se não observar atentamente o endereço.
Os outros atores por trás da engrenagem criminosa
A investigação não aponta apenas para o grupo GHOST STADIUM. Ela mostra a existência de um comprador massivo de domínios, responsável por registrar grandes quantidades de endereços parecidos com o original, variando nomes, combinações de letras, subdomínios e extensões (.com, .net, .shop, entre outros). Isso amplia o alcance da campanha e complica o trabalho de derrubar todos os sites rapidamente.
Outro elemento importante são os operadores de infostealers – malwares voltados especificamente para roubar dados. Entre as famílias mais ativas nesse contexto, destacam-se Vidar e Lumma. Segundo a Group-IB, já circulam na dark web pelo menos 2.513 combinações de usuário e senha de contas vinculadas à FIFA, obtidas por essas ferramentas. Esses dados podem ser revendidos ou usados diretamente em tentativas de invasão de contas, compras de ingressos em nome das vítimas e lavagem de dinheiro digital.
Há ainda os fornecedores de kits de phishing como serviço (PhaaS – Phishing-as-a-Service), que disponibilizam toda a estrutura pronta para que qualquer criminoso com pouco conhecimento técnico consiga operar golpes: modelos de sites, painéis de controle, integrações com malwares e até “suporte” para configuração. Isso reduz barreiras de entrada no cibercrime e multiplica o número de campanhas ativas ao redor de grandes eventos.
Seis esquemas de fraude atuando em paralelo
O ecossistema identificado em torno da Copa de 2026 reúne seis modalidades principais de golpe:
1. Phishing de credenciais – Páginas clonadas do site da FIFA e de parceiros oficiais para roubar logins, senhas e dados pessoais.
2. Venda falsa de ingressos – Ofertas de entradas inexistentes ou inválidas, muitas vezes com promessa de preços promocionais ou acesso exclusivo.
3. Comercialização de produtos falsificados – Lojas online que se passam por licenciadas para vender camisas, acessórios e artigos oficiais, mas entregam produtos piratas (ou simplesmente não entregam nada).
4. Plataformas de streaming falsas – Sites que prometem transmissão exclusiva ou antecipada de jogos, exigindo cadastro e pagamento, e que servem apenas para coletar dados e cartões.
5. Sites de apostas fraudulentos – Serviços de “betting” que utilizam o clima da Copa para atrair apostadores, porém não autorizados, sem transparência, que somem com o saldo dos usuários.
6. Roubo de credenciais via infostealers – Instalação de malwares em computadores e celulares por meio de anexos, downloads ou aplicativos falsos, capturando dados de acesso a contas FIFA, bancos e carteiras digitais.
A combinação desses diferentes golpes torna o cenário ainda mais perigoso, pois o mesmo torcedor pode ser afetado em mais de uma frente: perder dinheiro em um ingresso falso e, ao mesmo tempo, ter sua conta comprometida por um malware.
Recomendações de segurança para os torcedores
A principal orientação da Group-IB é clara: ingressos devem ser comprados exclusivamente no site oficial da FIFA ou em canais expressamente indicados por ela. Qualquer outro endereço que prometa venda de entradas, especialmente com grandes descontos ou condições “imperdíveis”, deve ser encarado com extrema desconfiança.
Outra medida essencial é ativar a autenticação multifator (MFA) em todas as contas possíveis, incluindo perfis ligados à FIFA, serviços de e-mail e contas bancárias. Com MFA, mesmo que a senha seja roubada, o criminoso ainda encontra uma barreira adicional para acesso, como um código temporário no celular.
Também é fundamental desconfiar de ofertas que exijam pagamento em criptomoedas, cartões-presente ou métodos pouco convencionais. Esses meios são preferidos pelos fraudadores justamente por serem mais difíceis de rastrear e reverter. Desconfie ainda de mensagens que pressionem por resposta imediata, como “últimas vagas”, “somente hoje” ou “você foi selecionado em uma lista exclusiva”.
Como reconhecer um site falso na prática
Para o usuário comum, alguns sinais ajudam a diferenciar um site legítimo de um domínio malicioso:
– Endereço (URL): verifique com calma se o domínio é exatamente “fifa.com”, sem letras trocadas, hífens estranhos ou extensões incomuns.
– Certificado e conexão: a presença de “https” sozinha não é garantia, mas a ausência já é um alerta. Ainda assim, muitos fraudadores usam certificados válidos, então não confie apenas nesse critério.
– Ortografia e linguagem: erros de português, traduções ruins ou termos confusos são frequentes em páginas falsas, sobretudo em áreas menos visíveis do site (rodapés, termos e condições, mensagens automáticas).
– Canais de contato duvidosos: sites que não apresentam informações claras de suporte, endereço físico, CNPJ (no caso do Brasil) ou políticas de reembolso tendem a ser mais suspeitos.
– Caminho de acesso: sempre que possível, digite o endereço no navegador em vez de clicar em anúncios, links recebidos por e-mail ou mensagens de aplicativos.
O modelo Cyber Fraud Fusion (CFF)
Para responder a esse cenário complexo, a Group-IB destaca o uso do modelo Cyber Fraud Fusion (CFF). A ideia é integrar, em um mesmo ciclo, várias frentes de combate ao crime digital: detecção de ameaças, coleta e análise de inteligência, mecanismos de prevenção, compartilhamento estruturado de informações entre instituições e condução de investigações coordenadas.
Com esse tipo de abordagem, é possível identificar não apenas um site isolado, mas todo o conjunto de domínios, infraestruturas, carteiras de criptomoedas, perfis de anúncios e padrões de comportamento associados a uma campanha. Isso aumenta a eficiência da derrubada de sites, do bloqueio de pagamentos suspeitos e da cooperação com autoridades em diferentes países.
Por que grandes eventos são um prato cheio para golpistas
Competições globais como a Copa do Mundo reúnem todos os elementos ideais para o cibercrime: altíssimo interesse do público, urgência nas compras, muita gente comprando pela primeira vez em plataformas internacionais e grande volume de buscas em pouco tempo. A pressa e a empolgação fazem com que as pessoas relaxem nos cuidados básicos de segurança digital.
Além disso, muitos torcedores viajam para outros países, utilizam redes Wi-Fi públicas, fazem pagamentos em moedas estrangeiras e dependem de aplicativos e sites que não conhecem bem. Tudo isso amplia a superfície de ataque para os criminosos. Na Copa de 2026, que será disputada entre 11 de junho e 19 de julho nos Estados Unidos, Canadá e México, a tendência é que esse cenário se repita em escala ainda maior, dada a extensão geográfica e o aumento no número de seleções participantes.
Boas práticas para se proteger antes e durante a Copa
Para reduzir o risco de cair em golpes, vale adotar um conjunto de práticas simples, mas eficazes:
– Mantenha sistemas, navegadores e aplicativos sempre atualizados.
– Use senhas longas, únicas e, de preferência, gerenciadas por um gerenciador de senhas confiável.
– Ative notificações de transações no cartão e no banco para detectar compras suspeitas rapidamente.
– Evite cadastrar cartões diretamente em sites pouco conhecidos; prefira intermediadores de pagamento de confiança quando possível.
– Em viagens, use redes móveis ou VPN em vez de depender apenas de redes Wi-Fi públicas de hotéis, bares e estádios.
Se perceber qualquer movimentação estranha – seja uma cobrança indevida, um e-mail confirmando compra que você não fez ou dificuldade para acessar sua conta oficial – entre em contato imediatamente com o banco ou emissor do cartão e com os canais oficiais da organização do evento. Quanto mais rápido for o alerta, maiores as chances de bloquear operações suspeitas e minimizar prejuízos.
Em um contexto em que mais de 4.300 domínios maliciosos já foram vinculados a golpes envolvendo a Copa, a combinação de vigilância individual, tecnologia de proteção e atuação coordenada de empresas e autoridades será determinante para que a festa do futebol não se transforme em uma temporada de perdas financeiras globais.