2026 FIFA Dünya Kupası yaklaşırken, siber suçlular çok sayıda sahte alan adı, banka bilgilerini hedef alan kötü amaçlı yazılımlar ve FIFA’nın giriş sayfasını neredeyse birebir kopyalayarak hesapları ele geçiren operasyonlarla aktif hale geçti.
Saldırının Genel Çerçevesi
ABD, Kanada ve Meksika’da 16 şehirde düzenlenecek turnuvada milyonlarca taraftarın bilet talebi ve yüksek para akışı, dolandırıcılar için cazip bir ortam oluşturuyor. Yapılan analizlerde, 2025 Ağustos ayından bu yana 4.300’den fazla FIFA temalı sahte alan adı tespit edildi. Bunların merkezinde, Çin dilinde faaliyet gösteren ve 300’ün üzerinde sahte siteyi yöneten bir phishing grubu bulunuyor.
Sahte siteler, FIFA’nın resmi tek oturum açma sistemi PingIdentity’nin gerçek istemci kimlikleri kullanılarak oluşturuluyor. Görseller doğrudan FIFA sunucularından çekildiği için sayfalar oldukça inandırıcı görünüyor. Ancak kullanıcılar, giriş bilgilerini ve şifre sıfırlama taleplerini girdiklerinde hesapları ele geçirilip biletler dolandırıcılar tarafından satılabiliyor.
Hangi Sistemler Risk Altında?
Dolandırıcılık kampanyaları sadece sahte bilet satışlarıyla sınırlı değil. Korsan yayın uygulamaları içinde gizlenen bankacılık Truva atları, özellikle Android platformunda yaygın. Bu kötü amaçlı yazılımlar, erişilebilirlik izinlerini kullanarak telefonları kontrol ediyor, sahte banka giriş ekranları gösteriyor, klavye girdilerini kaydediyor ve tek kullanımlık doğrulama kodlarını ele geçiriyor.
Özellikle Massiv ve Perseus adlı zararlılar, Android cihazlarda finansal bilgileri çalmak için kullanılıyor. Perseus, eski Cerberus Truva atının kod tabanına dayanıyor ve not alma uygulamalarındaki şifreleri ve kripto kurtarma ifadelerini de okuyabiliyor.
Saldırı Zinciri ve Teknik Detaylar
- Başlangıç: Sosyal medya reklamları ve Telegram, WhatsApp gibi platformlar üzerinden sahte FIFA sitelerine trafik yönlendirilmesi.
- Phishing: Sahte giriş sayfaları ve şifre sıfırlama formlarıyla kullanıcı bilgileri ele geçirilmesi.
- Kötü Amaçlı Yazılım: Korsan yayın uygulamalarıyla Android bankacılık Truva atlarının cihazlara sızması.
- Hesap Ele Geçirme: Çalınan giriş bilgileriyle FIFA hesaplarının kontrolünün sağlanması ve biletlerin dolandırıcılarca satılması.
Ev Kullanıcıları İçin Riskler
FIFA temalı sahte sosyal medya hesapları ve reklam kampanyaları, kullanıcıları sahte ürünlere ve kimlik avı sayfalarına yönlendiriyor. Ayrıca, ev sahibi şehirlerdeki açık Wi-Fi ağları “kötü ikiz” saldırılarına karşı savunmasız. Bu ağlar, gerçek ağların kopyalarını oluşturarak kullanıcı trafiğini izleyebiliyor.
Android kullanıcıları, erişilebilirlik izinleri isteyen korsan yayın uygulamalarına karşı dikkatli olmalı. Banka ve e-posta hesaplarına açık Wi-Fi üzerinden giriş yapılması önerilmiyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Yeni FIFA temalı alan adlarını ve sahte giriş sayfalarını düzenli olarak izleyin.
- Çalışan ve müşteri giriş bilgilerini Vidar, LummaC2 ve RedLine gibi zararlı yazılım loglarında tarayın.
- Çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
- EDR ve SIEM sistemlerinde phishing ve kötü amaçlı yazılım göstergelerini takip edin.
- FIFA bilet satışlarında kripto para talep eden satıcılara karşı uyarı sistemleri kurun.
- Mobil cihazlarda erişilebilirlik izinlerini gereksiz uygulamalara vermeyi engelleyin.
- Ağ segmentasyonu ve Zero Trust mimarisi ile kötü amaçlı erişimleri sınırlandırın.
- Olay müdahale planlarını bilet dolandırıcılığı ve kimlik avı saldırılarına göre güncelleyin.
Bu dolandırıcılık dalgası, bilet arama ve satın alma yoğunluğunun artacağı 11 Haziran – 19 Temmuz tarihleri arasında daha da yoğunlaşacak. Kullanıcıların ve kurumların bu dönemde dikkatli olması kritik önem taşıyor.