Công ty an ninh mạng Fortinet (Mỹ) vừa cho biết: Nghiên cứu của FortiGuard Labs cho thấy tội phạm mạng đang lợi dụng Giải vô địch bóng đá thế giới (FIFA World Cup 2026) để tăng cường các hoạt động lừa đảo trực tuyến, vé giả, phần mềm độc hại, mạo danh và đánh cắp thông tin đăng nhập.

Ảnh do AI Google Gemini tạo. Thanks.

Ngày 11-6-2026, Giải FIFA World Cup 2026 (diễn ra ở Mỹ, Canada và Mexico) chính thức khai mạc, quy tụ đông đảo người hâm mộ, các đội tuyển, nhà tài trợ, các cơ quan truyền thông, nhà cung cấp dịch vụ khách sạn và các doanh nghiệp nhiều ngành nghề tại một trong những sự kiện thể thao lớn nhất thế giới. Điều này đang tạo ra cơ hội đáng kể cho tội phạm mạng.

Các sự kiện thể thao quốc tế lớn vốn thu hút sự quan tâm, nhu cầu tìm kiếm thông tin cao và thúc đẩy khối lượng giao dịch số khổng lồ. Người hâm mộ có nhu cầu đa dạng từ tìm kiếm vé và các ưu đãi du lịch, cho đến các hoạt động live stream, cá cược, cơ hội việc làm hay chỉ đơn giản là cập nhật thông tin sự kiện. Trong khi đó, các tổ chức liên quan cũng đang tập trung xử lý nhiều hoạt động quan trọng như hậu cần, bố trí nhân sự, sắp xếp di chuyển, chăm sóc khách hàng, truyền thông và phối hợp với các bên thứ ba. Nắm bắt được bối cảnh này, các tác nhân đe dọa đã nhanh chóng chuẩn bị và bắt đầu khai thác các cơ hội này.

Nghiên cứu mới từ FortiGuard Labs tiết lộ rằng cơ sở hạ tầng tội phạm mạng liên quan đến FIFA World Cup 2026 đã đi vào hoạt động. Từ tháng 1 đến tháng 5-2026, hơn 13.000 tên miền mới mang chủ đề FIFA World Cup 2026 đã được đăng ký. Khoảng 8,8% trong số các tên miền này đã được xác định là độc hại hoặc đáng ngờ thông qua phân tích mẫu và hoạt động lừa đảo.

Số lượng đó cho thấy các tác nhân đe dọa không chờ đợi trận đấu khai mạc. Chúng đã “xuất phát” sớm.

Thực trạng các mối đe dọa đang gia tăng nhanh chóng

Nghiên cứu FortiGuard Labs chỉ ra sự gia tăng đáng kể về số lượng đăng ký tên miền liên quan đến FIFA từ tháng 3 đến tháng 5-2026, với nhiều tên miền lạm dụng thương hiệu FIFA và bao gồm các thuật ngữ liên quan đến vé, dịch vụ phát trực tuyến, nền tảng cá cược và dịch vụ khách sạn.

Số lượng tên miền được đang ký có yếu tố FIFA tăng mạnh trong giai đoạn gần tới ngày khai mạc giải.

Các tác nhân đe dọa đã tạo ra hàng trăm trang web giả mạo trông hợp pháp và đáng tin đến mức có thể chiếm được lòng tin của người hâm mộ trong vài giây ngay khi họ tìm kiếm vé, các thông tin phát trực tuyến trận đấu, các gói du lịch và hàng hóa liên quan đến sự kiện. Chỉ vài giây mất cảnh giác, cánh cửa dẫn đến một vụ lừa đảo đã rộng mở.

Báo cáo đã xác định một số mối đe dọa chính liên quan đến sự kiện:

• Các trang web lừa đảo và bán vé giả mạo

• Lừa đảo bán lại vé được quảng bá qua Telegram và các kênh khác

• Các cửa hàng bán hàng giả mạo

• Các ứng dụng cá cược và phát trực tuyến độc hại

• Bộ ứng dụng Android (APK) của bên thứ ba có nguy cơ chứa phần mềm độc hại

• Tài khoản mạo danh trên mạng xã hội

• Các bài đăng tuyển dụng giả mạo và các chiêu trò dụ dỗ tuyển dụng

• Lừa đảo tiền điện tử và các chương trình tặng tiền ảo giả mạo

• Lộ thông tin đăng nhập liên quan đến phần mềm độc hại đánh cắp thông tin và dữ liệu

Những phát hiện này cho thấy sự tồn tại và phát triển của một hệ sinh thái tội phạm mạng rộng lớn xoay quanh giải đấu. Mối đe dọa này vượt xa một loại hình lừa đảo, nền tảng hoặc nhóm nạn nhân cụ thể.

Vé giả vẫn là một trong những hình thức lừa đảo rủi ro cao nhất

Các vụ lừa đảo vé là một trong những mối đe dọa dễ nhận thấy nhất vì chúng lợi dụng sự khan hiếm. Người hâm mộ không thể mua vé qua các kênh chính thức thường chuyển sang các trang web bán lại, các nhóm mạng xã hội, kênh Telegram, quảng cáo tìm kiếm hoặc các “chợ đen”. Kẻ tấn công đánh vào tâm lý nóng vội của người hâm mộ bằng cách quảng cáo các chương trình giảm giá có thời hạn ngắn nhằm gây áp lực buộc nạn nhân đưa ra quyết định nhanh chóng.

FortiGuard Labs đã xác định được nhiều trang web bán vé giả mạo bắt chước các trang chính thức của FIFA để thu thập thông tin cá nhân, thông tin đăng nhập, dữ liệu thanh toán và hóa đơn. Ví dụ, một tên miền được đăng ký vào tháng 5-2026 đã sao chép nội dung của FIFA và sử dụng quy trình thanh toán giả mạo để thu thập thông tin nhạy cảm của nạn nhân.

Báo cáo cũng ghi nhận các vụ lừa đảo vé được quảng cáo trên các diễn đàn ngầm và kênh Telegram. Một số chiến dịch đã kết hợp vé xem trận đấu giả mạo với các gói vé máy bay và khách sạn giả mạo để làm cho các ưu đãi đầy đủ, thuận tiện và đáng tin cậy hơn.

Phương thức lừa đảo này hoạt động dựa trên dự đoán hành vi điển hình của người hâm mộ. Một người dùng đang cố gắng mua vé có thể không suy nghĩ như một nhà phân tích an ninh. Họ đang cố gắng bảo đảm có được một chỗ ngồi trước khi nó biến mất.

Giả mạo trên mạng xã hội mở rộng phạm vi tấn công

FortiGuard Labs đã xác định hơn 1.700 tài khoản và kênh nghi ngờ giả mạo liên quan đến FIFA trên các nền tảng mạng xã hội và nhắn tin. Gần 90% trường hợp này xảy ra trên Facebook và Instagram.

Những tài khoản này có thể bị lợi dụng cho các hoạt động quảng cáo giả mạo, lừa đảo vé, liên kết phát trực tiếp gian lận, thực hiện tấn công phishing, thông tin sai lệch và phát tán phần mềm độc hại. Ngoài ra, đây cũng là một phương thức có chi phí thấp giúp kẻ tấn công tiếp cận trực tiếp người hâm mộ, đặc biệt khi họ thường xuyên thảo luận về đội bóng, trận đấu, kế hoạch di chuyển và tình trạng vé trên các nền tảng trực tuyến.

Các vụ lừa đảo trên mạng xã hội đặc biệt thuyết phục vì chúng thường xuất hiện trong các cuộc trò chuyện hợp pháp. Ví dụ, một người bán vé giả mạo trong một nhóm người hâm mộ, một liên kết phát trực tiếp được chia sẻ ngay trước trận đấu hoặc một tài khoản có thương hiệu FIFA có thể trông đủ đáng tin cậy để khiến người dùng nhấp chuột.

Phần mềm độc hại – mối đe dọa đáng lưu tâm trong các giải đấu

Báo cáo cũng nhấn mạnh sự xuất hiện của các ứng dụng độc hại liên quan đến những hoạt động xoay quanh World Cup. Một tệp thực thi được phát hiện với tên ‘1xbet.exe,’ cho thấy dấu hiệu của sự tồn tại dai dẳng, liên lạc được mã hóa và có thể là hành vi của phần mềm tống tiền. FortiGuard Labs cũng tìm thấy các tệp APK đáng ngờ theo chủ đề FIFA trên các trang web tải xuống của bên thứ ba.

Điều này rất quan trọng vì các sự kiện thể thao lớn thường làm tăng nhu cầu về các ứng dụng cá cược, công cụ phát trực tiếp, theo dõi tỷ số và ứng dụng khuyến mãi. Kẻ tấn công khai thác nhu cầu này bằng cách phân phối phần mềm giả mạo hoặc phần mềm nhiễm mã độc Trojan trông có vẻ hợp pháp.

Việc cài đặt ứng dụng từ các nguồn không chính thức có thể khiến thiết bị của bạn bị tấn công bởi phần mềm gián điệp, đánh cắp thông tin đăng nhập, công cụ truy cập từ xa hoặc các phần mềm độc hại khác. Rủi ro này tăng lên khi người dùng bỏ qua các cảnh báo bảo mật để truy cập vào các luồng phát trực tiếp, chương trình khuyến mãi hoặc nền tảng cá cược.

Các tin tuyển dụng giả mạo nhắm vào những người đang tìm kiếm cơ hội việc làm

Giải vô địch bóng đá thế giới cũng tạo ra nhu cầu về lao động thời vụ, nhà thầu, nhân viên phục vụ, nhân viên hậu cần, hỗ trợ truyền thông và các nhân sự hỗ trợ khác cho sự kiện. Nhu cầu này cung cấp cho kẻ tấn công một mục tiêu hấp dẫn khác để khai thác.

Ví dụ, FortiGuard Labs đã xác định một kế hoạch đánh cắp thông tin đăng nhập sử dụng các tin tuyển dụng  giả mạo liên quan đến FIFA và các bài đăng tuyển dụng của nhà tài trợ. Kẻ tấn công đã gửi lời mời tham dự sự kiện trên lịch và hướng nạn nhân đến các trang web lừa đảo với trang đăng nhập Google giả mạo. Khi nạn nhân nhập thông tin đăng nhập, họ nhận được một thông báo lỗi chung chung, cho phép kẻ tấn công thu thập thông tin của họ.

Nhiều tên miền mạo danh FIFA, nhà tài trợ và các tổ chức liên kết đã chia sẻ cùng một ID theo dõi Google Analytics, cho thấy một chiến dịch phối hợp. Quá trình đánh cắp thông tin đăng nhập đã sử dụng API được lưu trữ trên Render, cho thấy cách kẻ tấn công có thể khai thác các dịch vụ đám mây hợp pháp để triển khai cơ sở hạ tầng độc hại dễ dàng hơn và gây khó khăn trong việc phân biệt với hoạt động web thông thường.

Lộ thông tin đăng nhập làm tăng mức độ rủi ro

Báo cáo cũng tìm thấy bằng chứng về hoạt động liên quan đến FIFA trong dữ liệu nhật ký của phần mềm đánh cắp thông tin. FortiGuard Labs đã phát hiện hơn 4.600 URL liên kết với FIFA trong nhật ký của phần mềm đánh cắp thông tin, được kết nối với các họ phần mềm độc hại như Vidar, LummaC2 và RedLine. Ngoài ra, nghiên cứu đã phát hiện hơn 260 thông tin đăng nhập của nhân viên FIFA và hơn 270.000 thông tin đăng nhập từ người dùng và người hâm mộ truy cập các trang web liên quan đến FIFA trong dữ liệu nhật ký của phần mềm đánh cắp thông tin dựa trên dấu phân cách.

Thêm vào đó, FortiGuard Labs đã tìm thấy hơn 1.500 bản ghi về tài khoản nhân viên và tổ chức liên quan đến FIFA trong các bộ dữ liệu vi phạm trước đây.

Điều này không có nghĩa là tất cả các tài khoản bị lộ hiện đang hoạt động hoặc đang bị khai thác. Tuy nhiên, các tác nhân đe dọa hiện có quyền truy cập vào dữ liệu có thể tạo điều kiện cho việc đánh cắp thông tin đăng nhập, chiếm đoạt tài khoản, lừa đảo có chủ đích, mạo danh và gian lận. Trong các sự kiện toàn cầu quan trọng, ngay cả thông tin đăng nhập lỗi thời cũng có thể bị khai thác khi kết hợp với các chiến thuật và chiêu trò kỹ thuật mới.

Chúng ta nên làm gì?

Bối cảnh các mối đe dọa xung quanh sự kiện FIFA World Cup 2026 là lời nhắc nhở rằng các sự kiện quan trọng luôn tiềm ẩn rủi ro an ninh mạng từ trước ngày khai mạc. Do đó, các tổ chức trong lĩnh vực thể thao, du lịch, khách sạn, truyền thông, bán lẻ, tài chính, chính phủ, vận tải và cơ sở hạ tầng trọng yếu cần bắt đầu chuẩn bị phòng thủ từ sớm.

Các đội ngũ an ninh mạng cần giám sát các tên miền giả mạo, mạo danh thương hiệu, quảng cáo độc hại, hồ sơ mạng xã hội giả mạo và rò rỉ thông tin đăng nhập liên quan đến nhân viên, đối tác và khách hàng. Họ cũng nên đánh giá các biện pháp bảo vệ chống lại lừa đảo trực tuyến, phần mềm độc hại, đánh cắp thông tin đăng nhập và chiếm đoạt tài khoản.

Nâng cao nhận thức của người dùng là ưu tiên quan trọng. Người hâm mộ và nhân viên nên được nhắc nhở sử dụng các kênh bán vé chính thức, tránh sử dụng các ứng dụng APK của bên thứ ba, thận trọng với các liên kết phát trực tiếp, xác minh các bài đăng tuyển dụng trên các trang web chính thức và cảnh giác với các yêu cầu thanh toán khẩn cấp có vẻ đáng ngờ.

Đối với những người bảo vệ an ninh mạng, bài học quan trọng nhất rất đơn giản: Kẻ tấn công tận dụng sự chú ý. Với việc FIFA World Cup 2026 thu hút sự chú ý trên toàn thế giới, tội phạm mạng đã và đang thiết lập cơ sở hạ tầng để tận dụng lợi thế. Bạn cần chuẩn bị những phương án phòng thủ thích hợp.

Bạn đọc có thể download báo cáo FIFA World Cup 2026: Cyberthreat Landscape Report của Fortinet/ FortiGuard Labs tại đây.

Tham khảo: Cybercriminals Are Targeting the FIFA World Cup 2026

T.T.X.

Có tham khảo thông tin từ nguồn do Fortinet cung cấp.