🌐 Contexte
Publié le 14 mai 2026 sur le blog de Check Point Research, ce rapport analyse la menace cybercriminelle croissante liée à la FIFA World Cup 2026, dont les matchs se déroulent aux États-Unis, au Canada et au Mexique. L’analyse couvre la période de novembre 2025 à début mai 2026.
📈 Hausse des cyberattaques dans les pays hôtes
En avril 2026, les trois pays hôtes ont tous enregistré une augmentation du nombre moyen hebdomadaire de cyberattaques par organisation :
- 🇲🇽 Mexique : 3 548 attaques/semaine/organisation (+5% MoM, +4% YoY)
- 🇨🇦 Canada : 1 649 attaques/semaine/organisation (+12% MoM, +18% YoY)
- 🇺🇸 États-Unis : 1 497 attaques/semaine/organisation (+8% MoM, +1% YoY)
Les secteurs Médias & Divertissement, Hôtellerie, Voyage & Loisirs et Transport & Logistique sont particulièrement touchés.
🎯 Explosion des enregistrements de domaines malveillants
Depuis novembre 2025, les enregistrements de domaines contenant les mots-clés “FIFA” ou “World Cup” ont connu une croissance exponentielle :
- Multiplication par 4x entre février et avril 2026
- 9 741 enregistrements en avril 2026, soit 5x le pic observé lors de la Coupe du Monde Qatar 2022
- En avril 2026 : 1 domaine sur 65 confirmé comme suspect ou malveillant
- Début mai 2026 : ratio dégradé à 1 domaine sur 41, avec 3 056 nouveaux domaines enregistrés
Check Point attribue cette accélération à l’utilisation d’outils d’IA et d’automatisation permettant de déployer des sites frauduleux à grande échelle.
🕵️ Exemples de domaines malveillants identifiés
- fifaofficialstore[.]shop (créé mars 2026) : imite le FIFA Store officiel, propose des maillots et souvenirs avec des remises allant jusqu’à 80%, vise à collecter des données financières et personnelles.
- fifa2026guess[.]com (créé avril 2026) : plateforme gamifiée frauduleuse promettant des gains quotidiens ($3/jour pour $10 investis) via des votes pour des équipes, avec options de dépôt/retrait et parrainage.
- fortune-worldcup2026[.]com[.]cn (créé avril 2026) : plateforme de paris sportifs en chinois se présentant comme “officielle”, proposant paris sportifs, eSports et jeux de loterie avec bonus élevés.
📋 Type d’article
Il s’agit d’une publication de recherche de Check Point Research visant à documenter et quantifier la menace cybercriminelle opportuniste liée à un événement sportif mondial majeur, en s’appuyant sur des données de télémétrie et des exemples concrets de domaines malveillants.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1056.003 — Input Capture: Web Portal Capture (Collection)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
IOC
- Domaines :
fifaofficialstore.shop— VT · URLhaus · ThreatFox - Domaines :
fifa2026guess.com— VT · URLhaus · ThreatFox - Domaines :
fortune-worldcup2026.com.cn— VT · URLhaus · ThreatFox
🟢 Indice de vérification factuelle : 78/100 (haute)
- ✅ blog.checkpoint.com — source reconnue (liste interne) (20pts)
- ✅ 5492 chars — texte complet (fulltext extrait) (15pts)
- ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 1/3 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
- ✅ 5 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
fifaofficialstore.shop(domain) → VT (15/91 détections)
🔗 Source originale : https://blog.checkpoint.com/research/before-the-first-whistle-how-cyber-criminals-are-targeting-world-cup-2026/amp/