Die bislang detaillierteste Analyse kommt von Group-IB. Das Unternehmen hat nach eigenen Angaben seit August 2025 mehr als 4.300 betrügerische FIFA-Domains verfolgt. Im Zentrum steht eine Gruppe, die Group-IB „GHOST STADIUM“ nennt: eine chinesischsprachige, gewinnorientierte Operation, die ein einziges Phishing-Kit auf mehr als 300 dieser Seiten einsetzt.
Die gefälschten Seiten sind laut Group-IB besonders überzeugend. Sie kopieren fifa.com nahezu vollständig und ahmen auch die echte Single-Sign-on-Anmeldung von FIFA nach, die über PingIdentity läuft. Selbst die echte Client-ID der Live-Seite wurde übernommen. Bilder werden direkt von den FIFA-Servern geladen, wodurch die Seiten authentisch wirken und Werkzeuge umgehen können, die kopierte Grafiken erkennen.
Entscheidend ist dabei laut Group-IB ein zusätzlicher Passwort-Zurücksetzen-Schritt auf der gefälschten Login-Seite. Gibt ein Opfer dort seine Daten ein, können Angreifer den Zugang zum echten FIFA-Konto übernehmen, den rechtmäßigen Nutzer aussperren und mit dem Konto verknüpfte Tickets weiterverkaufen. Den Verkehr auf diese Seiten speisen nach Beobachtung von Group-IB vor allem Facebook-Anzeigen, dazu Links auf Telegram, WhatsApp und in Suchergebnissen.
Die Bezahlwege sind vielfältig: direkte Karteneingabe, externe Zahlungsportale, Geldtransfer-Apps wie Chime und Nequi, nur in Mexiko verfügbare Zahlungsabwickler sowie eine Kryptowährungsoption, bei der eine Kartenzahlung in Kryptowährung umgewandelt wird. Group-IB nennt genau das einen klaren Hinweis auf Betrug, weil der offizielle FIFA-Ticketverkauf keine Kryptowährungen akzeptiert. Die von Group-IB geschätzten Verluste allein durch Betrug mit Premium- und Hospitality-Tickets liegen zwischen 71 Millionen und 474 Millionen US-Dollar; für die gesamte Kampagne hält das Unternehmen sogar Summen in Milliardenhöhe für möglich. Bestätigte Verluste sind das laut Quelltext nicht, sondern Schätzungen auf Basis der sichtbaren Infrastruktur.
Auch andere Anbieter melden eine große Zahl verdächtiger Ressourcen. FortiGuard Labs zählte zwischen Januar und Mai mehr als 13.000 WM-bezogene Domains; rund 8,8 Prozent davon seien bösartig oder verdächtig gewesen. Das FBI führt in seiner Warnung Dutzende gefälschte FIFA-Domains auf, darunter Tippfehler-Varianten und Schein-Stellenseiten, und rechnet mit weiteren. Andere Forscher kartierten zudem tausende weitere Nachahmer-Seiten sowie mehr als tausend gefälschte Social-Media-Konten.
Der Ticketbetrug ist nur ein Teil des Problems. Group-IB fand außerdem gefälschte Shops für Fanartikel, betrügerische Streaming-Seiten mit Abo-Gebühr und anschließender Malware-Installation sowie falsche Wettseiten, die Passkopien und Selfies für Identitätsdiebstahl einsammeln. Bitdefender beobachtete separat E-Mails zu angeblichen FIFA-Lotterien mit versprochenen Auszahlungen von bis zu 2 Millionen US-Dollar. Zudem verweist Group-IB auf einen Markt für „Phishing als Dienstleistung“, auf dem fertige Betrugs-Kits und Ticketkauf-Bots verkauft werden.
Besonders riskant sind laut ThreatFabric und Kaspersky inoffizielle Streaming-Apps für Android. ThreatFabric meldete rund um das jüngste Champions-League-Finale einen Anstieg schädlicher inoffizieller Streaming-Apps, viele davon als die populäre RojaDirecta getarnt, und erwartet zur WM eine Wiederholung in größerem Maßstab. Kaspersky bringt diese Apps mit den Android-Banking-Trojanern Massiv und Perseus in Verbindung.
Nach der Installation nutzen diese Schadprogramme die Bedienungshilfen von Android, um das Gerät zu übernehmen. Sie können gefälschte Login-Masken über echte Banking-Apps legen, Tastatureingaben mitschneiden, Einmalcodes aus SMS und Authentifizierungs-Apps abfangen und den Bildschirm aus der Ferne steuern. Perseus, das laut Kaspersky auf dem geleakten Code des älteren Trojaners Cerberus basiert, liest sogar Notiz-Apps nach gespeicherten Passwörtern und Wiederherstellungsphrasen für Kryptowährungen aus. ThreatFabric nennt als einfachstes Warnsignal eine Streaming-App, die Zugriff auf die Bedienungshilfen verlangt.
Auch soziale Netzwerke spielen eine zentrale Rolle. Bitdefender fand mehr als 55 fußballbezogene Werbekampagnen auf Facebook und Instagram, die für gefälschte Trikots, falsche Panini-Sticker und Phishing-Seiten warben. Zwei dieser Warenbetrügereien ließen sich laut Bitdefender über Werbe-Tracking-Tags chinesischen Betreibern zuordnen. Fortinet zählte mehr als 1.700 gefälschte FIFA-Konten, fast 90 Prozent davon auf Facebook und Instagram, sowie eine Masche mit falschen FIFA-Stellenanzeigen und Kalendereinladungen, die Bewerber auf eine nachgeahmte Google-Anmeldung führten.
Fortinet berichtet außerdem, dass gestohlene FIFA-Zugänge bereits im Umlauf sind. Das Unternehmen fand Hunderttausende Nutzer-Logins sowie mehr als 4.600 FIFA-Webadressen in Datensammlungen aus Stealer-Malware wie Vidar, LummaC2 und RedLine. Kaspersky untersuchte zudem Funknetze in Mexiko-Stadt, Monterrey und Guadalajara und kam bei einer Erhebung auf 10 bis 12 Prozent offene, ungeschützte Netzwerke; bei fast der Hälfte war WPS aktiviert. Beides erleichtert laut Quelltext den Aufbau von sogenannten „Evil Twin“-Hotspots, die reale Netze kopieren und den Datenverkehr mitlesen.
Meta reagiert nach eigenen Angaben ebenfalls. Das Unternehmen blendet Warnhinweise ein, wenn Nutzer auf Facebook nach FIFA-Tickets suchen, und arbeitete mit Visa zusammen, um ein Facebook-Netzwerk zu entfernen, das mit gefälschten WM-Seiten und falschem Glücksspiel in Verbindung stand. Das FBI bittet Betroffene, Vorfälle beim IC3 zu melden. Group-IB zählte zudem noch rund 3.800 betrügerische FIFA-Domains, die bislang nur geparkt und ungenutzt seien und jederzeit aktiviert werden könnten. Als besonders kritisches Zeitfenster nennt der Bericht den Zeitraum vom 11. Juni bis zum 19. Juli, wenn die Suche nach Tickets, Streams und Reisen ihren Höhepunkt erreicht.