FIFA WM 2026: Für ausgewählte Fussballfans beginnt der Kartenvorverkauf für die Fussball-Weltmeisterschaft 2026 in Nordamerika. Hat bereits gefälschte Angebote zu Livestreams, Tickets und Fanartikeln entdeckt.
Check Point® Software Technologies Ltd. warnt im Zuge des bevorstehenden Ticketverkaufs der Fussball-Weltmeisterschaft 2026 in Nordamerika bereits vor Betrugsversuchen im Zusammenhang mit dem Sportspektakel. Die Sicherheitsforscher haben eine unmittelbare Gefahr in Form von über 4’300 neu registrierten Domains im Internet aufgedeckt, die den Namen «FIFA», «Weltmeisterschaft» oder die Namen der Austragungsstädte tragen.
Die erste Ticketverkaufsphase der FIFA WM 2026 hat bereits begonnen. Fans, die an der Vorverkaufsverlosung (9. -19. 09 2025) teilgenommen hatten, wurden am 29. September über das Ergebnis informiert. Der Ticketkauf für die dann ausgewählten Nutzer beginnt am 1. Oktober 2025. Hacker aber wollen aus dem Ansturm auf Tickets und Fanartikel Kapital schlagen.
Die Domänen werden für Angriffswellen vorbereitet
Viele dieser Adressen wirken auf den ersten Blick harmlos. Im Gesamtbild zeigt sich jedoch ein anderes Muster: Die Domains entstehen schubweise, konzentrieren sich auf auffällig wenige Registrierstellen, folgen ähnlichen Namenskonventionen und entsprechen obendrein einer vergleichbaren DNS-Infrastruktur – als stammten sie allesamt aus derselben Vorlage.
Nach Einschätzung der Sicherheitsexperten sind die Domains Bausteine einer Infrastruktur, die für künftige Betrugswellen vorbereitet werden. Teilweise werben sie für nichtexistierende Tickets, locken mit angeblichen Livestreams, hinter denen sich Schad-Software verbirgt, oder bieten gefälschte Fanartikel feil. Besorgniserregend sind zudem Hinweise auf koordinierte Angriffe: Bot-Netze könnten Warteschlangen für Ticketverkäufe lahmlegen oder durch künstlich erzeugte Nachfrage die Preise in die Höhe treiben. In Untergrundforen werden für diese Taktiken bereits passende Werkzeuge und Anleitungen gehandelt. Sichtbar ist derzeit weniger der Betrug selbst als vielmehr das Fundament für diesen – aufgebaut im Schatten des bevorstehenden Turniers.
Das frühe Erstellungsdatum soll Vertrauen erzeugen
Einer der deutlichsten Indikatoren für die Koordinierung dieser Angriffe ist der Zeitpunkt. Der Datensatz zeigt, dass im kurzen Zeitfenster zwischen dem 8. und 12. August 2025 fast 1’500 Domänen registriert wurden, wobei anfangsSeptember ein weiterer Höhepunkt zu verzeichnen war. Dieses Muster passt nicht zum sonstigem Kaufverhalten von Fussballfans und lässt stattdessen auf eine automatisierte Massenbeschaffung schliessen. Die Taktik der Domänenalterung war ebenfalls offensichtlich. Mehrere Domains wurden nicht nur für 2026, sondern auch für künftige Weltmeisterschaften wie 2030 und 2034 registriert. Diese Registrierungen, die jahrelang ruhen, dienen dazu, eine passive Legitimität zu erlangen, bevor sie aktiviert werden – eine übliche Strategie bei Betrugskampagnen, die den Ruf prominenter Marken ausnutzen wollen.
Drei Lockmittel: Streaming, Fanartikel und Tickets
Die Domänen sind auf drei Lockmittel ausgerichtet: gefälschte Tickets, Waren und illegales Streaming. Einige Cluster fokussierten sich auf eins dieser Angebote, z. B. fifa2026ticketsmiami[.]com, während andere mehrere Köder in einer einzigen Domain kombinierten, z. B. fifa2026tickets-streamlive[.]com. Letzteres deutet auf die Verwendung von Vorlagenhin, bei denen die Drahtzieher die Themen variieren und gleichzeitig eine einheitliche Struktur beibehalten können. Streaming-Begriffe («HD», «watch live», «gratis») waren weit verbreitet, während Domains, die sich auf Tickets bezogen, weniger häufig vorkamen, aber angesichts des hohen Verlusts pro Opfer einen grösseren finanziellen Schaden verursachten. Unter Merchandise-Domains wurden Trikots, Trikotsätze und Bekleidung in mehreren Sprachen, insbesondere in Spanisch und Portugiesisch, vermarktet.
