Nu het aftellen naar het WK voetbal 2026 is begonnen, zijn cybercriminelen al in actie gekomen. Ze bouwen een digitale infrastructuur om misbruik te maken van de opwinding onder fans en om de ticketverkoop te verstoren. Nieuw onderzoek van Check Point Research onthult een gecoördineerde campagne waarbij duizenden valse domeinen, botnets en phishingtools worden opgezet, allemaal vermomd als legitieme websites van FIFA en gaststeden.
Sinds 1 augustus 2025 heeft Check Point meer dan 4.300 nieuw geregistreerde domeinen geïdentificeerd die FIFA, ‘World Cup’, of toernooisteden zoals Dallas, Miami, Toronto en Mexico-Stad nabootsen. Deze registraties zijn niet willekeurig, maar komen in gesynchroniseerde golven, maken vaak gebruik van identieke dns-infrastructuur en zijn geconcentreerd rond een handvol registrars die bulkregistraties faciliteren, zoals GoDaddy, Namecheap, Dynadot en Gname.
Verontrustend is volgens de it-beveiliger dat veel van deze domeinen zijn ontworpen voor langdurig gebruik, met verwijzingen naar FIFA 2030 en 2034. Deze strategie van ‘domain aging’ geeft oplichters de mogelijkheid om in de loop der tijd geloofwaardigheid op te bouwen, wat een veelgebruikte tactiek is bij gerichte merkimitatie.
Presale-phishing op komst
De eerste ticketingfase van FIFA is al begonnen. Fans die zich tussen 9 en 19 september inschreven voor de vroege loting, worden op 29 september op de hoogte gebracht van de resultaten. Geselecteerde gebruikers kunnen vanaf 1 oktober tickets kopen. Dit tijdvenster is ideaal voor fraude, aldus Check Point.
Het is de verwachting dat cybercriminelen inboxen en zoekmachines zullen overspoelen met phishingmails, vervalste ticketbevestigingen en nep-wachtrijportals, allemaal getimed om samen te vallen met officiële FIFA-communicatie. De kans op succes is groter wanneer er urgentie is. ‘Cybercriminelen wachten niet op 2026. Ze stemmen hun planning af op die van FIFA’, concludeert Zahier Madhar, cybersecurity expert en evangelist bij Check Point Software Technologies.
Verstoring van de kaartverkoop en misbruik van botnets
Naast eenvoudige oplichting ontdekte Check Point bewijs van systematische aanvallen gericht op het ondermijnen van Fifa’s ticketingsysteem. Botnets worden getraind om voorverkoopwachtrijen te overspoelen, populaire tickets massaal op te kopen en dynamische prijsmodellen te manipuleren. Op ondergrondse marktplaatsen worden aangepaste toolkits en proxyfarms verkocht, inclusief specifieke instructies voor FIFA, vergelijkbaar met tactieken die eerder gebruikt zijn tegen platforms zoals Ticketmaster.
Deze campagne is niet alleen opportunistisch, maar georganiseerd, stelt de beveiliger vast. En tenzij er nu wordt ingegrepen, zal ze blijven groeien in lijn met de wereldwijde aandacht voor het toernooi. Fans worden blootgesteld aan phishing, financiële fraude en malware via valse ticketsites en livestreaming-oplichting. Fifa en sponsoren worden geconfronteerd met merkimitatie, verlies van webverkeer en namaakhandel. Gaststeden en -locaties kunnen te maken krijgen met reizigers die het doelwit worden van geografisch specifieke oplichting in verband met accommodatie, vervoer of horeca. Het internetecosysteem, inclusief advertentienetwerken, registrars en berichtenplatforms, loopt het risico een distributiekanaal voor fraude te worden, aldus Check Point.
Bevindingen van Check Point Research
• 4.300+ FIFA-gerelateerde domeinen geregistreerd in minder dan 60 dagen, met piekmomenten tussen 8–12 augustus en begin september;
• Concentratie van registrars bij GoDaddy, Namecheap, Gname en Dynadot, wat bulkautomatisering en snelle inzet mogelijk maakt;
• Taalgerichte targeting per doelgroep: Engels voor livestreaming, Spaans en Portugees voor ticketing en merchandising, Frans voor Europese markten;
• Top-level domeinen zoals .com, .shop, .store, .online en .football, vaak gekozen vanwege lage kosten en weinig restricties;
• DNS-overlap wijst op gecentraliseerde controle door kleine groepen semi-professionele oplichters met gescripte fraudekits;
• Telegramkanalen en dark web-fora promoten nu al neptickets, namaakartikelen en toolkits voor betalingsfraude.
