Proofpoint hatte bereits vor dem Turnier festgestellt, dass mehr als ein Drittel der offiziellen Partner der FIFA World Cup 2026 keine ausreichende DMARC-Durchsetzung aufweist, um Domain-Spoofing zu verhindern. Dadurch können Angreifer E-Mails versenden, die scheinbar von einem Sponsor, Lieferanten oder Logistikpartner stammen, ohne dass eine technische Hürde dies wirksam unterbindet. Gerade in der weit verzweigten Lieferkette des Turniers mit Fluggesellschaften, Hotels, Medienpartnern, Merchandise-Dienstleistern und Catering-Unternehmen entsteht so ein großes Missbrauchspotenzial.

Check Point verweist darauf, dass jede Beschaffungs-E-Mail entlang dieser Kette ein möglicher Abfangpunkt sein kann. Hohe Transaktionsvolumina, enge Fristen und die operative Unübersichtlichkeit eines globalen Sportereignisses schaffen laut Bericht genau die Bedingungen, unter denen die Sorgfalt bei der Zahlungsprüfung nachlässt. Check Point nennt in diesem Zusammenhang seine Funktionen für Angriffsflächenmanagement und digitalen Markenschutz als Mittel, um Partnerökosysteme fortlaufend auf Authentifizierungslücken und Nachahmungsinfrastruktur zu überwachen.

Im Bereich Sportwetten beschreibt der Bericht eine deutliche Verschiebung gegenüber einem Vergleichszeitraum ohne Turnier. In einer kontrollierten Gegenüberstellung von acht großen Sportwettenmarken über jeweils 60 Tage in den Jahren 2025 und 2026, bei identischer Methodik, wurden im Zeitraum ohne Turnier keine Nachahmer-Apps entdeckt. Im Vorfeld des Turniers waren es 64. Das entspricht laut Check Point ungefähr dem 60-Fachen der Basisrate. Die Funde konzentrierten sich auf April und Mai 2026 sowie auf Google Play.

Mindestens fünf verschiedene Entwicklerkonten veröffentlichten Apps, die sich innerhalb von Stunden oder wenigen Tagen als zwei oder mehr unterschiedliche Sportwettenmarken ausgaben. Check Point wertet das als koordinierte, markenübergreifende Operation, zeitlich abgestimmt auf die Aktivierung rund um das Turnier. Über die App-Stores hinaus identifizierte Check Point Exposure Management zudem aktive russischsprachige Telegram-Kanäle, die als gefälschte Tippgeber-Dienste auftraten und ihre Follower über Empfehlungslinks weiterleiteten, um Affiliate-Provisionen auf betrügerische Einzahlungen zu erzeugen. Die Kanäle verteilten ihre Tipps demnach so auf das Publikum, dass ungefähr die Hälfte der Abonnenten regelmäßig genug „gewann“, um weiter einzuzahlen.

Ein dritter Schwerpunkt des Berichts sind FIFA-bezogene Lookalike-Domains für Reise- und Gastgewerbedienste. Check Point Exposure Management verfolgte monatliche Registrierungen solcher Domains von November 2025 bis Mai 2026. Allein der April 2026 machte 21,9 Prozent der gesamten 12-Monats-Stichprobe aus – acht Wochen vor dem Anpfiff. März und April zusammen stehen für 34 Prozent.

56 Prozent dieser Infrastruktur entfielen auf Hotel- und Unterkunftsmarken, weitere 27 Prozent auf Reise- und Tourenanbieter. Die Seiten seien darauf ausgelegt gewesen, Fans genau beim Kauf abzufangen – also in dem Moment, in dem der Zeitdruck am höchsten und die Prüfung am schwächsten ist. Ein kleiner Kreis von Registraren trägt laut Bericht den Großteil dieser Infrastruktur: GoDaddy, Hostinger, Namecheap, Porkbun und IONOS hosten zusammen 56 Prozent der betrügerischen Domains. Auffällig ist zudem die Top-Level-Domain .top, auf die 28 Prozent der Registrierungen entfallen.

Ein Teil der Domains war außerdem mit MX-Einträgen konfiguriert. Damit konnten sie E-Mails empfangen, Antwortpfad-Nachahmung betreiben und Passwort-Zurücksetzungsabläufe von Opferkonten abfangen. Check Point bezeichnet diese Domains deshalb als aktive Phishing-Infrastrukturen, die bereits vor Turnierbeginn registriert und vorbereitet wurden. Für die aktuelle Phase sollten Sicherheitsteams in Finanzwesen, Reisebranche, Gastgewerbe und Glücksspiel laut Bericht von einer erhöhten Lage ausgehen – nicht weil sich die Bedrohung mit dem Eröffnungsspiel verändert habe, sondern weil Angreifer schon zuvor in Stellung waren.