2026年国际足联世界杯将于北京时间6月12日凌晨3:00拉开帷幕。这场全球顶级体育盛会吸引了全球各地的球迷、球队、赞助商、转播商、酒店服务供应商以及多家企业，但同时也为网络犯罪分子提供了可乘之机。

大型国际体育赛事往往万众瞩目，使搜索量激增，群情高涨，数字交易海量涌现。球迷们忙着搜索门票、旅行优惠套餐、周边商品、直播流媒体、博彩网站、招聘岗位和赛事动态。与此同时，各大机构忙于物流调度、人员配置、行程安排、客户服务、媒体对接以及与第三方协调。威胁行为者早已预判到这些场景，并对此加以利用。

FortiGuard Labs（FortiGuard全球威胁研究与响应实验室）发布的《2026年国际足联世界杯网络威胁态势报告》显示，与本届世界杯相关的网络犯罪基础设施已经投入运作。从2026年1月到5月，以本届世界杯为主题的新注册域名已经超过13,000个。通过模式分析和诈骗行为识别，其中约8.8%域名被判定为恶意或可疑域名。

这一数据表明，威胁行为者并没有等到赛事开幕再动手，他们早已提前布局。

快速增长的威胁态势

报告显示，从2026年3月到5月，以 “FIFA”（国际足联）为主题的域名注册量大幅攀升，其中许多域名盗用了国际足联的品牌标识，还嵌入了与票务、流媒体服务、博彩平台和接待服务相关的词汇。

威胁行为者创建了数百个虚假网站，这些网站看起来非常逼真，在球迷们搜索门票、转卖方案、赛事直播、旅行套餐和官方周边商品的几秒钟内，这些网站就能快速赢得球迷们的信任。而这短短的几秒就足以让威胁行为者得手。

报告梳理了九大类以“FIFA”为主题的威胁：

· 钓鱼攻击和虚假票务网站

· 通过海外通讯工具和其他渠道推广的转售票务诈骗

· 假冒的周边商品店铺

· 恶意的博彩和流媒体应用程序

· 可能携带潜在恶意软件的第三方Android安装包（APK）下载渠道

· 社交媒体仿冒账号

· 虚假的招聘启事和招工陷阱

· 加密货币诈骗和虚假空投

· 与窃取恶意软件和历史泄露数据相关的凭证泄露

种种迹象表明，围绕本届世界杯已经形成了一个覆盖面极其广泛的网络犯罪生态系统，威胁远远超出了单一诈骗类型、平台或受害群体的范畴。

虚假票务仍然是最危险的诱饵之一

票务诈骗是最显而易见的威胁之一，因为它们利用了赛事门票的稀缺性。当球迷在官方渠道买不到门票时，往往会立即求助于转售网站、社交媒体群组、海外通讯工具、搜索广告或P2P交易市场。攻击者利用用户这种急切的心理，推出各种虚假的限时折扣，诱导用户在仓促之间下单、受骗。

FortiGuard Labs发现了大量仿冒国际足联官方网站的虚假票务网站，这些网站专门收集个人信息、账号登录详情、账单信息和支付数据。在一个典型的案例中，一个于2026年5月注册的域名复制了国际足联官网的内容，并通过伪造的结账页面来窃取受害者的敏感信息。

该报告还记载了在地下论坛和海外通讯工具上推广的票务诈骗。一些推广活动甚至将伪造的比赛门票与假冒的机票、酒店套餐捆绑在一起销售，使这些优惠套餐看起来更完整、更可信。

这些诈骗之所以能够奏效，正是因为预判了典型球迷的行为。急于买票的用户不会像安全分析师那样思考，他们只想在门票售罄之前抢到一个座位。

社交媒体仿冒行为扩大了攻击面

FortiGuard Labs在社交媒体和即时通讯平台上发现了超过1,700个涉嫌仿冒、与“FIFA”相关的账号和频道。其中近90%出现在Facebook和Instagram上。

这些账号被用于发布虚假促销信息、进行票务诈骗、散播虚假直播链接、发起钓鱼攻击、传播错误信息、分发恶意软件。此外，它们还为攻击者提供了一种可以直接联系海量球迷的低成本方式，因为球迷们经常在社交媒体上讨论球队、赛事、出行计划和剩余门票情况。

社交媒体诈骗尤其具有欺骗性，因为它们常常混在正常的用户对话中。例如，粉丝群里潜伏的假票贩子、比赛开始之前分享的直播链接，或者一个带有“FIFA”标识的账号，这些看起来都足够可信，很容易诱使用户点击访问。

恶意软件也是赛事威胁态势的一部分

报告重点指出了与世界杯相关的恶意应用程序，并监测到了一个名为“1xbet.exe”的可执行文件，它表现出持久化、加密通信和疑似勒索软件的行为特征。此外，FortiGuard Labs还在第三方下载网站上发现了多个可疑的、以“FIFA”为主题的APK文件。

这点至关重要，因为大型体育赛事通常会带动对于博彩应用程序、直播工具、比分追踪器和推广类应用程序的需求。攻击者会利用这一需求来分发看似合法的伪造软件或植入木马的软件。

而用户从非官方来源安装应用程序可能会将设备暴露给间谍软件、凭证窃取工具、远程控制工具或其他恶意软件。当用户为了观看直播、获取促销优惠或访问博彩平台而忽略安全警告时，这种风险会进一步加剧。

虚假招聘信息瞄准求职者

在世界杯期间，对于临时工、承包商、接待服务人员、物流人员、媒体支持以及各种赛事特定岗位的需求都在激增。这种需求为攻击者提供了另一个极具吸引力的目标。

例如，FortiGuard Labs监测到一起窃取凭证攻击活动，该活动利用了仿冒的国际足联相关工作广告和赞助商招聘启事。攻击者会发送日程邀请，将受害者引导到带有伪造谷歌登录页面的钓鱼网站。当受害者输入凭证信息后，就会收到一条通用报错提示，而攻击者则在后台窃取他们的凭证信息。

多个仿冒国际足联、赞助商及其附属机构的域名共享同一个Google Analytics跟踪ID，证明了这是一场有组织的攻击活动。该凭证窃取过程还采用了由Render托管的API，展示了攻击者如何利用合法的云服务，轻松地部署恶意基础设施，并使其与正常网络活动难以区分。

凭证泄露加剧了风险

该报告还在窃密日志遥测数据中发现了与国际足联相关活动的证据。FortiGuard Labs在窃密日志中检测到超过4,600个与国际足联相关的网址，这些网址与Vidar、LummaC2和RedLine等恶意软件家族有关联。

同时，FortiGuard Labs在基于分隔符的窃密日志数据中发现了超过260个国际足联的员工凭证，以及超过27万个访问国际足联相关网站的用户和球迷的凭证。此外，研究人员还在过去的泄露数据集中发现了超过1,500条与国际足联相关的员工及机构账户记录。

这并不意味着所有泄露的账户当前都处于活跃状态或正在被利用。然而，威胁行为者可以获取这些数据，并将其用于凭证填充、账户劫持、定向钓鱼攻击、身份冒充和欺诈行为。在这场全球瞩目的赛事期间，即使是已经过时的凭证，一旦与新型社会工程学手段和诱饵结合使用，也可以被加以利用。

现在你该怎么做

2026年国际足联世界杯的威胁态势提醒我们，重大活动在开始之前就已经存在网络风险。因此，体育、旅行、酒店餐饮、媒体、零售、金融、政府、交通和关键基础设施等领域的机构需要尽早启动安全防御。

安全团队需要监控相似的域名、品牌仿冒行为、恶意广告、虚假社交媒体资料，以及涉及员工、合作伙伴和客户的凭证泄露情况，还要评估针对钓鱼攻击、恶意软件、凭证窃取和账户劫持的防护措施是否到位。

用户安全教育同样非常重要。Fortinet在此提醒广大球迷：购票请选择官方票务渠道；避免使用第三方APK；要谨慎对待直播链接；求职要通过官方网站核实招聘信息；对看似可疑的紧急付款请求要保持警惕。

对于防御者而言，必须提高警惕：攻击者善于利用公众的注意力。随着2026年国际足联世界杯吸引了全球的目光，网络犯罪分子早已搭建好网络犯罪基础设施，准备从中牟利。你一定做好相应的安全防护。