Prima che il mondo del calcio inizi a sognare i prossimi Campionati Mondiali FIFA del 2026, in Nord America, un’altra partita, molto più pericolosa, si sta già giocando nel sottobosco del cybercrime. I grandi eventi globali sono da sempre una calamita per le attività fraudolente, e il prossimo World Cup non fa eccezione. Anzi, i segnali di un’imminente tempesta perfetta di frodi online sono già chiaramente visibili per chi sa dove guardare.
Il threat research team di BforeAI, PreCrime Labs, ha sollevato il coperchio su quella che è una preparazione meticolosa e anticipata da parte dei criminali informatici. Analizzando un cluster di 498 domini sospetti registrati in preparazione dei tornei FIFA, il team ha scoperto un ecosistema in fermento che sfrutta ogni possibile tema: dal merchandising contraffatto allo streaming illegale, dalle scommesse alle false piattaforme di biglietteria.
La tattica è collaudata: sfruttare il picco di attenzione e l’entusiasmo dei tifosi per confondere, truffare e infettare. Ma ciò che colpisce, in questo caso, è il tempismo. Non stiamo parlando di domini registrati all’ultimo minuto. Molti sono stati acquisiti con largo anticipo, alcuni addirittura per i Mondiali del 2030 e del 2034, in un processo noto come “aging” che permette ai domini di apparire più legittimi e affidabili agli occhi dei sistemi di sicurezza e delle vittime quando la campagna fraudolenta verrà finalmente lanciata.
L’arsenale del cattivo di turno
La ricerca del PreCrime Labs dipinge un quadro articolato della minaccia. I domini non sono tutti uguali e riflettono una specializzazione criminale in vari ambiti di frode.
La categoria più numerosa, con 56 domini, è quella legata al merchandising: siti che promettono maglie, sciarpe e gadget ufficiali delle squadre, ma che molto probabilmente si riveleranno negozi di prodotti contraffatti o, peggio, semplici trappole per raccogliere dati di pagamento senza mai consegnare la merce.
Subito dopo, con 55 domini, troviamo il tema dello streaming. “Guarda le partite in diretta gratuitamente” è un’esca potentissima che nasconde spesso malware, truffe per sottoscrizioni fittizie o tentativi di phishing per rubare le credenziali degli abbonamenti dei servizi legittimi.
Un’altra fetta significativa, 32 domini, è dedicata al betting e alle piattaforme di scommesse (slot, casino, bet), un settore già di per sé opaco e spesso utilizzato per riciclare denaro o come vettore per attacchi più sofisticati.
Particolarmente inquietanti sono i pochi, ma significativi, domini che includono termini come “login” o “register”. Questi sono i classici segnali di campagne di credential phishing, progettate per catturare le password degli utenti che si aspettano di doversi registrare per lotterie ufficiali dei biglietti o per accedere a contenuti esclusivi.
Geolocalizzazione e lingua: la doppia trappola
I criminali non si limitano a sfruttare il brand FIFA. Stanno già operando una sofisticata geolocalizzazione, prendendo di mira le città ospitanti. Nomi di dominio che includono Dallas, Atlanta, Kansas City, Philadelphia e Texas (23 in totale) suggeriscono campagne iper-localizzate, presumibilmente veicolate via SMS (smishing) o sui social media con messaggi del tipo: “Il tuo Fan ID per la partita di Dallas è incompleto” o “Aggiornamento urgente sull’orario della partita a Philadelphia”.
Anche la barriera linguistica viene abbattuta. I ricercatori hanno identificato siti in mandarino, chiaramente destinati a un pubblico cinese, che promuovevano scommesse e streaming illegale, e siti in spagnolo che prendevano di mira i tifosi messicani con false pagine di vendita biglietti, complete di loghi contraffatti di FIFA e VISA.
Dall’ICO al criticismo: tattiche ibride e insolite
L’analisi rivela anche tattiche più niche ma non per questo meno pericolose. Sono emersi domini che promuovevano “FIFA Coin”, una criptovaluta inesistente, invitando gli utenti a versare fondi in un wallet Ethereum statico in cambio di nulla – una classica truffa finanziaria detta “rug pull”.
Altri siti, invece, hanno adottato un approccio subdolo e inconsueto: invece di impersonare FIFA, la criticano. Un dominio analizzato si presentava come una pagina di attivismo, denunciando lo sfruttamento dei volontari non pagati e i costi economici dei Mondiali. Questo tipo di narrativa controversa può essere utilizzata per operazioni di influenza, campagne hacktiviste o semplicemente per attirare un pubblico specifico e reindirizzarlo verso piattaforme di raccolta fondi fasulle.
Implicazioni per la sicurezza
Il messaggio per gli esperti di sicurezza è chiaro: l’onda d’urto delle frodi legate al World Cup 2026 non è un problema del futuro. È un processo già in moto. L’uso massiccio di TLD a basso costo (.online, .xyz, .shop) e la registrazione attraverso registrar notoriamente permissivi rendono queste infrastrutture facili da erigere e altrettanto facili da abbandonare, complicando le tradizionali strategie di blacklisting.
La raccomandazione degli esperti è di passare a un modello proattivo e predittivo. È fondamentale monitorare non solo le keyword ovvie come “FIFA tickets”, ma anche le code lunghe dei termini di ricerca, come le combinazioni di nomi di città e anno dell’evento. Le aziende partner e gli sponsor ufficiali dovrebbero considerare la registrazione difensiva di domini across multiple TLDs.
La partita si gioca ora
Mentre le squadre si stanno ancora qualificando, i criminali informatici sono già in campo. La scoperta di centinaia di domini pre-registrati non è solo un campanello d’allarme; è la prova di un ecosistema criminale sofisticato che studia le abitudini umane, sfrutta l’emotività degli eventi sportivi e si muove con un anticipo inquietante.
La partita per proteggere i tifosi e le organizzazioni dai cyber risk del World Cup 2026 non inizierà a giugno del prossimo anno. È già iniziata, e il primo tempo è in dirittura d’arrivo.