Rund um die Fußball-WM 2026 läuft eine breit aufgestellte Betrugsinfrastruktur. Geklonte FIFA-Seiten übernehmen Konten, Banking-Trojaner verstecken sich in illegalen Streaming-Apps, gestohlene Zugangsdaten kursieren bereits in Stealer-Logs. FBI und Sicherheitsforscher sind alarmiert, das Zeitfenster für Angriffe reicht bis zum Schlusspfiff am Finaltag.
Zur FIFA WM 2026 läuft eine Betrugsinfrastruktur aus geklonten Login-Seiten, Banking-Trojanern und Stealer-Logs. FBI und Sicherheitsforscher warnen vor dem aktiven Angriffsfenster.
Sicherheitsforscher und das FBI warnen vor einer Betrugswelle, die Fans der Fußball-WM 2026 bereits vor dem Anpfiff angegriffen hatte. Tausende nachgeahmte FIFA-Domains, präparierte Streaming-Apps mit Banking-Schadcode und mindestens eine Operation mit einer überzeugend kopierten Anmeldeseite bilden ein abgestimmtes Vorgehen. Das Turnier in den USA, Mexiko und Kanada zieht über sechs Millionen Besucher in 16 Städte, und FIFA verzeichnete in den ersten 15 Tagen mehr als 150 Millionen Ticketanfragen. Damit ist das Turnier rund dreißigfach überzeichnet, was Knappheit, Zeitdruck und schnelle Zahlungen erzeugt.
Die ausführlichsten Erkenntnisse stammen von Group-IB. Das Unternehmen verfolgt seit August 2025 mehr als 4.300 betrügerische FIFA-Domains. Im Zentrum steht eine finanziell motivierte, chinesischsprachige Operation, die Group-IB als Ghost-Stadium bezeichnet. Ein einzelnes Phishing-Kit läuft über mehr als 300 dieser Seiten.
Die Fälschung kopiert fifa.com nahezu vollständig und ahmt das echte Single Sign-on nach, das PingIdentity betreibt. Die Angreifer übernehmen sogar die originale Client-ID der Live-Seite. Die Bilder lädt die Phishing-Seite direkt von den FIFA-Servern, womit sie authentisch wirkt und Erkennungsmechanismen für kopierte Grafiken umgeht. Eine zusätzliche Funktion verursacht den größten Schaden. Die Seite fordert auch zum Zurücksetzen des Passworts auf. Nach Eingabe der Daten sperrt der Angreifer das Opfer aus dem eigenen FIFA-Konto aus und verkauft die zugehörigen Tickets weiter.
Den Großteil des Traffics liefern Facebook-Anzeigen mit identischen Tracking-Codes über den gesamten Cluster, dazu Verweise auf Telegram, WhatsApp und in Suchergebnissen. Die Bezahlung läuft über fünf Wege. Dazu zählen direkte Karteneingabe, externe Payment-Gateways, Geldtransfer-Apps (Chime und Nequi), auf Mexiko beschränkte Prozessoren und eine Krypto-Option, die eine Kartenzahlung in Kryptowährung umwandelt und eine Rückbuchung erschwert. Die offizielle FIFA-Ticketing-Plattform akzeptiert keine Kryptowährung, daher ist ein solcher Zahlungsweg ein deutliches Warnsignal. Group-IB beziffert allein den Schaden aus dem Betrug mit Premium- und Hospitality-Tickets auf 71 bis 474 Millionen US-Dollar und hält eine Gesamtsumme im Milliardenbereich für möglich. Die Angaben beruhen auf der sichtbaren Infrastruktur und sind keine bestätigten Verluste.
Group-IB bleibt nicht die einzige Quelle. FortiGuard Labs zählte zwischen Januar und Mai mehr als 13.000 WM-bezogene Domains, von denen rund 8,8 Prozent bösartig oder verdächtig sind. Die FBI-Warnung listet Dutzende gefälschte FIFA-Domains, von falsch geschriebenen Nachahmungen bis zu unechten FIFA-Karriereseiten.
Der Ticketbetrug bildet nur einen Teil. Group-IB fand zusätzlich Shops mit gefälschten Fanartikeln, Streaming-Seiten, die eine Abo-Gebühr kassieren und danach Schadcode mit Fernsteuerung installieren, sowie Wett-Seiten, die Passfotos und Selfies für Identitätsdiebstahl sammeln. Bitdefender dokumentierte separat FIFA-Lotterie-Mails mit versprochenen Auszahlungen bis zu zwei Millionen US-Dollar. Ein Markt für Phishing-as-a-Service verkauft fertige Betrugskits und Ticketkauf-Bots. Die Abschaltung eines einzelnen Betreibers zeigt dadurch kaum Wirkung.
Banking-Trojaner in inoffiziellen Streaming-Apps
Für Fans auf der Suche nach kostenlosen Übertragungen liegt die größere Gefahr auf dem Smartphone. ThreatFabric registrierte rund um das jüngste Champions-League-Finale einen Anstieg bösartiger inoffizieller Streaming-Apps, viele davon als Nachahmung der bekannten Anwendung RojaDirecta, und rechnet zur WM mit einer Wiederholung in größerem Umfang.
Kaspersky verband diese Apps mit Android-Banking-Trojanern und benannte zwei Familien, Massiv und Perseus. Die Apps stehen nicht im Google Play Store, eine Installation setzt also das Wegklicken der Schutzhinweise voraus. Nach der Installation nutzt der Schadcode die Bedienungshilfen von Android und übernimmt das Gerät. Er legt gefälschte Bank-Anmeldemasken über echte Apps, protokolliert Eingaben, fängt Einmalcodes aus SMS und Authenticator-Apps ab und steuert den Bildschirm aus der Ferne. Perseus baut auf dem geleakten Code des älteren Trojaners Cerberus auf und durchsucht zusätzlich Notiz-Apps nach gespeicherten Passwörtern und Krypto-Wiederherstellungsphrasen. Ein deutliches Warnsignal ist eine Streaming-App, die Zugriff auf die Bedienungshilfen verlangt, denn dafür gibt es keinen legitimen Grund.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Gestohlene FIFA-Zugangsdaten kursieren bereits. Fortinet fand über 270.000 Nutzer-Logins sowie mehr als 4.600 FIFA-Webadressen in Stealer-Logs, darunter Vidar, LummaC2 und RedLine. Auch die WLANs in den Gastgeberstädten bilden ein Problem. Eine Kaspersky-Erhebung in Mexiko-Stadt, Monterrey und Guadalajara fand rund 17 Prozent unsichere offene Zugangspunkte, bei fast der Hälfte der gesicherten Netze zudem aktives WPS-Pairing. Beide Lücken erleichtern Evil-Twin-Hotspots, die ein echtes Netz nachbilden und den Datenverkehr mitlesen.
Sicherheitsteams sollten neue FIFA-bezogene Domains und nachgeahmte Login-Seiten überwachen, Mitarbeiter- und Kundenkonten prüfen, die in den genannten Stealer-Logs auftauchen, und die Betrugsabteilung auf Spitzen bei Ticket- und Rückbuchungsfällen bis Mitte Juli vorbereiten. Meta reagiert ebenfalls. Der Konzern zeigt inzwischen Warnhinweise, sobald Nutzer auf Facebook nach FIFA-Tickets suchen, und schaltete gemeinsam mit Visa ein Facebook-Netzwerk ab, das über gefälschte WM-Seiten betrügerisches Glücksspiel bewarb. Das FBI bittet Geschädigte um eine Meldung über IC3.
Fazit
Rund um die Fußball-WM 2026 läuft eine arbeitsteilige Betrugsinfrastruktur aus geklonten Domains, Banking-Trojanern und gehandelten Zugangsdaten. Group-IB zählt rund 3.800 weitere betrügerische FIFA-Domains, die geparkt und bereit zur Aktivierung bleiben. Das aktive Zeitfenster reicht vom 11.06.2026 bis zum 19.07.2026, wenn die Suche nach Tickets, Streams und Reisen ihren Höhepunkt erreicht.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/44/f344ddcd3196424fec2b6dfee47c9401/0131774513v2.jpeg "Zur FIFA WM 2026 läuft eine Betrugsinfrastruktur aus geklonten Login-Seiten, Banking-Trojanern und Stealer-Logs. FBI und Sicherheitsforscher warnen vor dem aktiven Angriffsfenster. (Bild: © Md - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/04/e504ded8e3980c3450515c0cf26f3219/0131850207v1.jpeg "Bundesinnenminister Alexander Dobrindt (links) und Verfassungsschutz-Chef Sinan Selen bringen das Schild des neu eröffneten GAZ Hybrid an. (Bild: BMI/ Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/ba/20/ba201096ba677db6891d89b8e1aae49b/0131819588v2.jpeg "Die IT/OT-Konvergenz in Produktionsumgebungen vergrößert die Angriffsfläche und macht klassische IT-Sicherheitskonzepte wirkungslos. Kontinuierliches Monitoring und klare Reaktionsprozesse sind die Grundlage wirksamer OT-Security. (Bild: © Chopang.studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad502b4e6f95fb83049dfc5cd9407334/0131394188v1.jpeg "Ari Albertini, CEO von FTAPI, weist darauf hin, dass moderne Cyberangriffe oft gezielt auf die Kommunikationsfähigkeit von Unternehmen zielten. Wer Krisenkommunikation erst im Ernstfall improvisiere, habe bereits verloren. Resilienz entstehe vor der Krise, nicht währenddessen. (Bild: Ftapi)")
:quality(80)/p7i.vogel.de/wcms/63/d3/63d346764ebaa0c2bad14b8ed9bd6f32/0131796099v2.jpeg "kube-bench und Trivy prüfen Kubernetes-Cluster auf Konfigurationsmängel und Image-Schwachstellen. Die Kombination liefert die Grundlage für gezielte Härtungsmaßnahmen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/48/b84864615be4c39d60b362d02ae2a0e4/0131407472v1.jpeg "Die T Cloud Pulic ist nun Bestandteil des Rahmenvertrags für Cloud- und KI-Lösungen für Behörden. Damit sollen langwierige Einzelvergaben entfallen. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/5d/45/5d457334dfe581150c0174eeff401aba/0131803117v2.jpeg "Die Schwachstelle CVE-2025-48595 erlaubt lokale Rechteausweitung auf allen aktuellen Android-Versionen. Googles Juni-Update schließt die aktiv ausgenutzte Lücke. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c3/f7/c3f770c0a014cde634c15f31e8d72586/0131795069v2.jpeg "Die Kernel-Lücke Dirty Frag ermöglicht Rechteausweitung und Deanonymisierung in Tails. Das Notfall-Update 7.8.1 schließt die Schwachstelle CVE-2026-43503. (Bild: © Sashkin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/19/591997efd7d2209cab3d4ca07e984947/0131806544v2.jpeg "KI-generierter Code und wachsende Codebasen überfordern klassische AppSec-Audits. Kontinuierliche, in den Entwicklungszyklus eingebettete Sicherheitsprüfungen ersetzen das veraltete Modell. (Bild: © Nattanon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/66/71661611e59b8408605b7db7dcbec0e4/0131759983v2.jpeg "Die Hälfte der ISX-Tour ist geschafft: Nach München geht es jetzt weiter nach Hamburg und Düsseldorf. (Bild: Vogel-IT Akademie)")
:quality(80)/p7i.vogel.de/wcms/6e/82/6e82fdbb739cd087a830e083304efddd/0131257592v1.jpeg "Robert Frank von DigiCert skizziert in seinem Beitrag, warum die digitale Vertrauensinfrastruktur aus DNS und Public Key Infrastructure jetzt auf ein neues Fundament gestellt werden muss, und warum die nötigen Arbeiten sowohl organisatorisch dieselben Teams betreffen als auch in dieselbe Zeit fallen. (Bild: DigiCert)")
:quality(80)/p7i.vogel.de/wcms/0e/77/0e7755d3244b65ac9dcf77251d1f5246/0131519002v1.jpeg "Die EU-Verordnung eIDAS 2.0 schafft zwar einen standartisierten Rahmen für digitale Identitäten, wird von Unternehmen aber als komplex und teuer empfunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fa/cb/facb0d5e6dc1c1e60f5cbb2f5a3b1407/0131578214v1.jpeg "Für den Autor ist Informationssicherheit kein Komplex, den die IT-Abteilung allein adressieren kann, sondern ein Management-, Organisations- und Kulturthema. (Bild: ParinApril – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/35/6c/356caa9a803d537b037b692f49d26996/0131734025v1.jpeg "Während Millionen Fans die WM-Spiele verfolgen, arbeiten Cyberkriminelle im Hintergrund. Das Betrugsnetzwerk Ghost-Stadium hat über 4.300 Domains für Phishing und Ticketbetrug aufgebaut. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/44/e4/44e42874c27645151b96b2bd2c2fa911/0131280762v1.jpeg "Der Cybersicherheitsmonitor 2026 zeigt: Viele Internetnutzerinnen und Internetnutzer unterschätzen ihr persönliches Risiko, Opfer von Cyberkriminalität zu werden. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/03/6d03e8e4496516646b8a93d674107534/0127046964v2.jpeg "Cyberkriminelle spähen potenzielle Opfer aus, um sie später auszutricksen. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/fa/65fac0e7d0218d8ab2255a1fefcf4ec8/0124956647v1.jpeg "Group-IB veröffentlicht eine Liste mit den aktivsten Cybercrime-Gruppen des Jahres. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/6c/356caa9a803d537b037b692f49d26996/0131734025v1.jpeg "Während Millionen Fans die WM-Spiele verfolgen, arbeiten Cyberkriminelle im Hintergrund. Das Betrugsnetzwerk Ghost-Stadium hat über 4.300 Domains für Phishing und Ticketbetrug aufgebaut. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/58/8258f77602765b44d67c3a2130f4aefd/0127117122v1.jpeg "DNS-Datenanalysen belegen, dass Vane Viper in etwa 50 Prozent der Kundennetzwerke von Infoblox sichtbar ist. (Bild: © Gold - stock.adobe.com)")