Source et contexte: BforeAI (PreCrime Labs) publie en août 2025 une analyse des domaines récemment enregistrés autour de la FIFA Club World Cup 2025 et de la Coupe du Monde 2026, montrant une préparation active d’infrastructures frauduleuses.

• Volume et temporalité: 498 domaines analysés, avec un pic de 299 enregistrements du 8 au 12 août 2025. Les acteurs réutilisent d’anciens domaines ou enregistrent tôt pour les « faire vieillir » avant les campagnes, y compris des mentions de 2026 (41), 2030 (10) et 2034 (1).

• Infrastructures et thématiques: TLDs dominants .com (58,9%), puis .online, .football, .org, .xyz, .shop. Principaux thèmes exploités: marchandises/shops (56), streaming/live (55), paris/casino (32), villes hôtes (23), ticketing (2), login/register (2), usurpation de marques (Visa/hôtels, 3). Registrars récurrents: GoDaddy, Namecheap, Gname.com, Dynadot, Wix.

• Techniques et risques observés: Typosquatting et constructions trompeuses (ex. manques de lettres, pinyin), ancrage marque+année+ville pour SMS/DM (smishing) et SEO, leurres de streaming « officiel » menant à malwares/vol de credentials, faux ticketing et marchandises contrefaites, phishing d’identifiants via “login/register”, campagnes crypto de type ICO scam avec faux chiffres et adresses statiques, et collecte de PII via offres B2B (ex. annuaires “EV-friendly”). Des contenus en mandarin et en espagnol sont relevés pour accroître la portée locale.

• Exemples notables: sites de streaming gratuits se révélant des pages de betting, une page d’« activisme » potentiellement instrumentalisée pour influence/hacktivisme et collecte de fonds, un site d’« annuaire EV » orienté phishing B2B, et des faux sites de billets avec logos Visa/FIFA.

• Objectif de la publication: documenter une infrastructure de menace en amont d’un méga-événement sportif et alerter sur les vagues de fraudes prévisibles à l’approche de la Coupe du Monde 2026.

IOC (exemples) 🧪

  • Domaines ancrés marque/événement/villes: fifawcdallas[.]com, fifa2026atl[.]com, kansascityunitycup2026[.]com, 2026texasworldcup[.]com, worldcup26texas[.]com
  • Ticketing/merch/streaming: getworldcup2026tickets[.]com, fifaworldcupmerch2026[.]com, fifastore[.]shop, ultrasfootball[.]shop, retrofootballjerseys[.]shop, theworldcup2026[.]store, watchfootball-live[.]com, footballtv[.]online
  • Phish identifiants: fifaworldcup-login[.]com, fifaworldcup-register[.]com
  • Paris/jeux: football88[.]bet, vtkbet[.]football, variantes « fifazbet »
  • Voyage/hébergement: worldcupcanadavisa[.]com, fifacuphotels[.]com
  • Typos/variants linguistiques: fifaworldcupstadiucom, fifaclubwccom, fifa-live-shijubei[.]com, zh-fifaclub-…
  • Domaine en parking/âge: « fifaworldcupusa » (staging)

TTPs (selon le rapport) 🕵️

  • Typosquatting et domain aging pour crédibilité
  • Ancrage marque+année+ville pour SEO, smishing et réseaux sociaux
  • Leurres de streaming menant à malwares/credential harvesting
  • Faux ticketing/marchandises et phishing via pages « login/register »
  • Crypto-escroqueries (ICO, airdrops, générateurs) avec adresses statiques et statistiques fabriquées
  • Hébergement jetable sur TLDs bon marché, CDN/proxies; usage de constructeurs (Weebly)

Type d’article: analyse de menace visant à cartographier des infrastructures de fraude et d’hameçonnage autour des événements FIFA 2025–2026.

🧠 TTPs et IOCs détectés

TTP

[‘Typosquatting et domain aging pour crédibilité’, ‘Ancrage marque+année+ville pour SEO, smishing et réseaux sociaux’, ‘Leurres de streaming menant à malwares/credential harvesting’, ‘Faux ticketing/marchandises et phishing via pages «login/register»’, ‘Crypto-escroqueries (ICO, airdrops, générateurs) avec adresses statiques et statistiques fabriquées’, ‘Hébergement jetable sur TLDs bon marché, CDN/proxies; usage de constructeurs (Weebly)’]

IOC

[‘fifawcdallas[.]com’, ‘fifa2026atl[.]com’, ‘kansascityunitycup2026[.]com’, ‘2026texasworldcup[.]com’, ‘worldcup26texas[.]com’, ‘getworldcup2026tickets[.]com’, ‘fifaworldcupmerch2026[.]com’, ‘fifastore[.]shop’, ‘ultrasfootball[.]shop’, ‘retrofootballjerseys[.]shop’, ’theworldcup2026[.]store’, ‘watchfootball-live[.]com’, ‘footballtv[.]online’, ‘fifaworldcup-login[.]com’, ‘fifaworldcup-register[.]com’, ‘football88[.]bet’, ‘vtkbet[.]football’, ‘worldcupcanadavisa[.]com’, ‘fifacuphotels[.]com’, ‘fifaworldcupstadiucom’, ‘fifaclubwccom’, ‘fifa-live-shijubei[.]com’, ‘fifaworldcupusa’]

🔗 Source originale : https://bfore.ai/report/suspicious-domain-activity-2026-fifa-world-cup-tournament/