11 Haziran'da başlayan 2026 FIFA Dünya Kupası taraftarları, takımları, sponsorları, yayıncıları, konaklama sağlayıcılarını ve işletmeleri dünyanın en büyük spor etkinliklerinden birinde bir araya getiriyor. Ancak bu devasa organizasyon, siber suçlular için de çok büyük bir fırsat kapısı aralıyor.
Altyapılar çoktan kuruldu: Tehlike büyüyor
FortiGuard Labs'in araştırmasında paylaştığı veriler, 2026 FIFA Dünya Kupası ile bağlantılı siber suç altyapısının halihazırda aktif olarak çalıştığını gösteriyor. Ocak ve Mayıs 2026 ayları arasında, turnuva temalı 13 binden fazla yeni internet alan adı tescil edildi. Yapılan model analizleri ve dolandırıcılık incelemeleri, bu alan adlarının yaklaşık %8,8'inin zararlı veya şüpheli olduğunu ortaya koyuyor.
Mart ve Mayıs 2026 döneminde FIFA temalı alan adı tescillerinde çok ciddi bir artış yaşandığı gözlemleniyor. Bu sitelerin birçoğu FIFA markasını kötüye kullanırken; biletleme, yayın servisleri, bahis platformları ve konaklama gibi anahtar kelimeleri içeriyor.
Sahte bilet tuzağı ilk sırada
Bilet dolandırıcılıkları, piyasadaki bilet kıtlığını fırsat bildiği için en çok öne çıkan tehditler arasında yer alıyor. Resmi kanallardan bilet bulamayan taraftarlar çaresizce karaborsa sitelerine, sosyal medya gruplarına, Telegram kanallarına, arama motoru reklamlarına veya kişiden kişiye satış yapılan platformlara yöneliyor. Saldırganlar da bu aciliyet duygusunu kullanıp, kurbanları hızlı karar vermeye zorlamak için "sınırlı süreli sahte indirimler" sunuyor.
FortiGuard Labs, resmi FIFA sayfalarını birebir taklit ederek kişisel bilgileri, giriş şifrelerini, fatura ve ödeme verilerini toplayan çok sayıda sahte bilet sitesi tespit etti. Örneğin, Mayıs 2026'da tescil edilen bir alan adının FIFA içeriklerini kopyaladığı ve sahte bir ödeme ekranı kullanarak hassas verileri ele geçirdiği görülüyor.
Ayrıca yer altı forumlarında ve Telegram kanallarında reklamı yapılan bilet dolandırıcılıkları da raporda belgeleniyor. Bazı saldırılarda, teklifin daha inandırıcı ve eksiksiz görünmesi için sahte maç biletlerinin yanına sahte uçak ve otel paketleri de ekleniyor.
Sosyal medyada taklit hesap çılgınlığı
FortiGuard Labs, sosyal medya ve mesajlaşma platformlarında FIFA ile bağlantılı 1.700'den fazla şüpheli taklit hesap ve kanal saptadı. Bu vakaların neredeyse %90'ı Facebook ve Instagram üzerinde yoğunlaşıyor.
Söz konusu hesaplar; sahte promosyonlar, bilet dolandırıcılıkları, sahte canlı yayın linkleri, kimlik avı, bilgi kirliliği ve zararlı yazılım yaymak için kullanılıyor. Dahası siber suçlular, taraftarların takımlar, maçlar, seyahat planları ve bilet durumları hakkında sürekli konuştuğu bu mecralarda, insanlarla doğrudan ve masrafsız bir şekilde iletişime geçme şansı yakalıyor.
Kötü amaçlı yazılımlar da turnuvadaki tehdit ortamının bir parçası: Bahis ve canlı yayın uygulamalarına dikkat
Raporda, Dünya Kupası etkinlikleriyle ilişkilendirilmiş zararlı uygulamalara da dikkat çekiliyor. Tespit edilen '1xbet.exe' isimli çalıştırılabilir bir dosyanın, sistemde kalıcılık sağlama, şifreli iletişim kurma ve fidye yazılımı gibi davranma eğilimleri gösterdiği anlaşılıyor. FortiGuard Labs, bunun yanı sıra, üçüncü taraf indirme sitelerinde FIFA temalı şüpheli APK dosyaları da buldu.
Sahte iş ilanları, iş fırsatı arayan kişileri hedef alıyor
Dünya Kupası; geçici işçiler, yükleniciler, konaklama personeli, lojistik çalışanları, medya destek ekipleri ve etkinliğe özel roller için büyük bir istihdam alanı yaratıyor. Bu yoğun iş talebi de saldırganlara yeni bir malzeme veriyor.
Örneğin FortiGuard Labs, sahte FIFA iş ilanları ve sponsor işe alım gönderileri kullanan bir şifre hırsızlığı şebekesi ortaya çıkardı. Saldırganlar kurbanlara takvim davetleri gönderiyor ve onları sahte bir Google giriş sayfası barındıran kimlik avı sitelerine yönlendiriyor. Kullanıcılar şifrelerini girdiğinde karşılarına sıradan bir hata mesajı çıkıyor, bu esnada saldırganlar bilgileri çoktan ele geçirmiş oluyor.
Kimlik bilgilerinin açığa çıkması riskleri artırıyor
Raporda, siber hırsızların veri günlüklerinde (stealer logs) FIFA ile ilgili ciddi bir hareketlilik saptanıyor. FortiGuard Labs; Vidar, LummaC2 ve RedLine gibi kötü amaçlı yazılım aileleriyle bağlantılı veri günlüklerinde, FIFA ile ilişkili 4.600'den fazla internet adresi (URL) tespit etti. Yapılan incelemelerde, 260'tan fazla FIFA personeline ait kullanıcı bilgisi ile FIFA bağlantılı siteleri ziyaret eden kullanıcılara ve taraftarlara ait 270 binden fazla kimlik bilgisi bu sızıntı günlüklerinde açıkça görülüyor.
Bunlara ek olarak, FortiGuard Labs geçmiş veri sızıntısı havuzlarında FIFA çalışanı ve kuruluşlarına ait 1.500'den fazla hesap kaydı buldu.
Ne yapılması gerekiyor?
Güvenlik ekiplerinin; benzer alan adlarını, marka taklitlerini, zararlı reklamları, sahte sosyal medya profillerini ve çalışanlar ile müşterileri etkileyen şifre sızıntılarını yakından izlemesi önem taşıyor. Aynı zamanda kimlik avı, zararlı yazılımlar ve hesap ele geçirme saldırılarına karşı koruma sistemlerini gözden geçirmeleri gerekiyor.
Kullanıcı eğitimi de bu süreçte kritik bir rol oynuyor. Taraftarlara ve şirket çalışanlarına; resmi bilet kanallarını kullanmaları, üçüncü taraf APK dosyalarından uzak durmaları, canlı yayın linklerine şüpheyle yaklaşmaları, iş ilanlarını resmi sitelerden teyit etmeleri ve şüpheli acil ödeme taleplerine karşı tetikte olmaları gerektiği sürekli hatırlatılmalı.
Siber savunmacılar için alınacak en net ders oldukça basit: Saldırganlar ilgiyi takip ediyor. 2026 FIFA Dünya Kupası tüm dünyanın odak noktası haline gelmişken, siber suçlular bu durumdan çıkar sağlamak için altyapılarını çoktan hazır hale getiriyor. Bu yüzden herkesin hazırlıklarını buna göre yapması gerekiyor.
