Falten deu dies perquè arrenqui el Mundial 2026 — el major torneig de futbol de la història, amb 48 seleccions i més de 100 partits entre l’11 de juny i el 19 de juliol als Estats Units, el Canadà i Mèxic — i els ciberdelinqüents porten setmanes preparant el major operatiu de phishing relacionat amb un esdeveniment esportiu que es recorda. La companyia de ciberseguretat ESET ha identificat una xarxa de llocs web fraudulents que repliquen amb precisió gairebé perfecta el disseny, els menús, els fluxos de compra i fins i tot els processos de registre de la web oficial de la FIFA, amb l’objectiu de robar dades personals, contrasenyes i informació bancària d’aficionats que busquen entrades, marxandísia o qualsevol producte relacionat amb el torneig. La FIFA ha recordat oficialment que l’única plataforma de venda d’entrades és FIFA.com/tickets.

Què està passant amb les webs falses del Mundial 2026?

  • ESET va identificar múltiples pàgines fraudulentes dissenyades específicament per simular ser llocs oficials de la FIFA o de venda d’entrades del Mundial 2026. Copien colors oficials, fotografia promocional, menús de navegació, formularis de compra i fluxos de pagament.
  • Els dominis detectats incorporen paraules clau com “FIFA”, “World Cup” o “Mundial 2026” acompanyades de termes de venda com “shop”, “store” o “tickets”, amb extensions sospitoses com .shop, .store o .site. Typosquatting a escala industrial.
  • L’objectiu és triple: robatori de dades bancàries, de credencials de comptes i de dades personals per a futures campanyes d’enginyeria social.
  • Els canals de distribució són principalment xarxes socials, missatges privats a WhatsApp i Telegram, i correus de phishing amb ofertes d’“entrades de darrera hora”.
  • La FIFA va confirmar que les entrades oficials del Mundial 2026 només poden adquirir-se a través de FIFA.com/tickets.

Per què el Mundial 2026 és el major ganxo de phishing de l’any

  1. L’escala és sense precedència. 48 seleccions significa que gairebé la meitat del món té un equip al torneig. El volum d’aficionats que busquen entrades és global i massiú.
  2. Les entrades són escasses i la urgència és real. Les entrades per al Mundial 2026 es van esgotar en hores als canals oficials. Això empeny milions d’aficionats a buscar en canals no oficials.
  3. La sofisticació de les rèpliques supera edicions anteriors. Les webs falses de 2026 tenen HTTPS vàlid, disseny responsive i formularis de pagament funcionals.
  4. La distribució via xarxes socials és massiva i barata. Un atacant pot arribar a desenes de milers d’aficionats amb pocs euros de publicitat.

Com funcionen aquestes estafes: del typosquatting a l’enginyeria social emocional

  1. Registre massiú de dominis typosquatting. Dominis amb “FIFA” o “Mundial 2026” amb extensions .shop, .store, .site. El cost és de pocs euros per domini.
  2. Clonatge de la web oficial. El resultat és visualment indistingible per a un usuari no entrenat.
  3. Activació del ganxo emocional. La pàgina falsa mostra “entrades disponibles” amb urgència artificial.
  4. Formulari de compra i robatori de dades. La víctima introdueix dades personals i bancàries que són robades.
  5. Post-explotació. Les dades robades es venen al mercat underground o s’usen en frau financer directe.

Lliçons clau per a empreses: el risc no és només personal

  • Els empleats compren des de dispositius corporatius. Un empleat que accedeix a una web de phishing des del seu portàtil corporatiu pot comprometre cookies de sessió, credencials de VPN o SSO i el propi dispositiu.
  • La reutilització de contrasenyes és el vector d’entrada corporatiu més comú. Si un empleat fa servir la mateixa contrasenya a la web falsa que al seu compte corporatiu, l’atacant obté accés directe als sistemes de l’empresa.
  • Com verificar que un lloc és legítim: verificar que el domini sigui exactament FIFA.com/tickets; desconfiar de qualsevol canal no oficial que ofereixi entrades disponibles per a partits exhaurits; mai accedir a webs de compra d’entrades des d’un enllaç a xarxes socials.
  • Aprofitar el Mundial com a cas de conscienciació. Un simulacre de phishing temàtic del Mundial és un dels exercicis amb major taxa d’impacte de l’any.

La ciberseguretat com a prioritat estratègica

El phishing del Mundial 2026 no és una amenaça nova: és la mateixa enginyeria social de sempre, aplicada al major catalitzador d’urgència emocional de l’any. Per a les empreses, el missatge és que la conscienciació no és un esdeveniment anual: és un procés continu que cal activar especialment quan la superfície d’enginyeria social s’expandeix.

Apolo Cybersecurity: conscienciació, simulacres i protecció davant phishing temàtic

A Apolo Cybersecurity ajudem empreses a protegir els seus empleats i sistemes davant campanyes de phishing temàtic com les del Mundial 2026: simulacres de phishing personalitzats, formació pràctica en detecció de dominis falsos i typosquatting, configuració de filtres DNS, monitoratge de credencials corporatives al mercat underground i resposta a incidents.

Si la teva empresa té empleats apassionats pel futbol — i gairebé totes en tenen —, els pròxims 50 dies són els de major risc de phishing de l’any.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity