🌐 Contexte

Publié le 26 mai 2026 par Netcraft, cet article de recherche documente les campagnes frauduleuses en cours exploitant la Coupe du Monde FIFA 2026 comme leurre. La majorité de l’infrastructure identifiée est encore en phase de staging, positionnée pour activation à l’approche du tournoi.

🎟️ Fraudes aux billets et hôtels

Netcraft a identifié un cluster de domaines homogènes enregistrés le 19 mai 2025, tous suivant la convention de nommage fifaworldcup2026[ville]hotels[.]com, couvrant les villes hôtes (Boston, Dallas, Houston, Los Angeles, Miami, New York, Philadelphia, Seattle, Toronto, Vancouver, Guadalajara, Mexico City, Monterrey). Ces domaines ne servent pas encore de contenu actif mais présentent des indicateurs de staging frauduleux.

Des sites de vente de billets frauduleux ont également été détectés, notamment worldcup2026ticket[.]shop, se réclamant de partenaires officiels FIFA et redirigeant les utilisateurs vers WhatsApp. Un canal Telegram t[.]me/FIFAWorldCup_Tickets redirige vers fifacollect[.]info, dont les intentions réelles restent non confirmées.

Des ventes de billets avec paiement en cryptomonnaie sont également observées sur des forums cybercriminels.

🎰 Scams aux paris sportifs (“Scambling”)

Deux modèles opératoires distincts ont été identifiés :

  • Plateformes non régulées : sites fonctionnels acceptant les dépôts mais refusant sélectivement les retraits
  • Sites d’usurpation : clones de plateformes légitimes pour voler des identifiants

Le domaine worldcup2026bitcoinbettingpredictions[.]net imite Dexsport, une plateforme de paris en cryptomonnaies. Le site présente des signes de génération par IA (problèmes d’images, commentaires de code caractéristiques) et une fonctionnalité partielle. L’absence de géo-blocage suggère un ciblage délibéré de régions où les paris sont interdits.

Sur des forums cybercriminels, des discussions portent sur le cloaking pour publicités Facebook liées aux offres de paris sportifs.

💰 Monétisation de trafic

Des utilisateurs de forums cybercriminels discutent de la monétisation de trafic lié à la Coupe du Monde via des plateformes CPA/affiliation. Les plateformes MGID et AdMaven ont été recommandées pour monétiser du trafic sports/streaming/live-score.

🔮 Projections

Netcraft anticipe une montée en charge de l’activité frauduleuse à l’approche du tournoi, incluant des faux services de streaming susceptibles de distribuer des malwares ou des pages de phishing de credentials.

📋 Type d’article

Publication de recherche CTI à visée de sensibilisation, documentant une infrastructure de menace en phase de préparation autour d’un événement mondial.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1608.005 — Stage Capabilities: Link Target (Resource Development)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1056.003 — Input Capture: Web Portal Capture (Collection)

IOC

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ netcraft.com — source non référencée (0pts)
  • ✅ 13741 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 19 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/4 IOCs confirmés externellement (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.netcraft.com/blog/2026-world-cup-scams-targeting-fans