Het FIFA Wereldkampioenschap start op 11 juni 2026 en brengt miljoenen supporters, teams, sponsors, mediabedrijven en bedrijven samen. Net die schaal en internationale zichtbaarheid maken het evenement aantrekkelijk voor cyber-criminelen. Grote sportevenementen zorgen voor pieken in on-line zoekgedrag, ticket-verkoop, streaming, reisboekingen en commerciële acties. Daar spelen aanvallers op in met websites en accounts die op het eerste gezicht betrouwbaar lijken.

Volgens het 2026 WorldCup Cyberthreat Report van FortiGuard Labs werden tussen januari en mei 2026 meer dan 13.000 nieuwe domeinnamen geregistreerd die gelinkt zijn aan het WK 2026. Ongeveer 8,8 procent daarvan werd geïdentificeerd als kwaadaardig of verdacht.

De cijfers tonen aan dat cyber-criminelen hun infrastructuur al maanden voor de start van het toernooi opzetten. Vooral tussen maart en mei 2026 nam het aantal WK-gerelateerde domeinregistraties sterk toe. Veel van die websites gebruiken verwijzingen naar FIFA-merken, ticket-verkoop, streaming-diensten, weddenschappen of hospitality-formules.

Doel van dergelijke websites is vaak om bezoekers snel te laten klikken, betalen of persoonlijke gegevens te laten invullen. Daarbij wordt gebruik gemaakt van herkenbare visuele elementen, urgentieboodschappen en aanbiedingen die inspelen op de schaarste van tickets of de populariteit van livestreams.

Ticket-fraude en valse sociale media-accounts

Ticket-fraude is één van de belangrijkste dreigingen in het onderzoek. Doordat officiële tickets schaars kunnen zijn, zoeken supporters vaak alternatieve kanalen via sociale media, advertenties, doorverkoopplatformen, Telegram-groepen of fan communities. Net daar proberen fraudeurs slachtoffers te bereiken.

FortiGuard Labs ontdekte meer dan 1.700 vermoedelijke FIFA-gerelateerde imitatie-accounts op sociale media en berichtenplatformen. Bijna 90 procent daarvan bevond zich op Facebook en Instagram. De accounts worden ingezet voor onder meer ticket-fraude, valse promoties, phishing-campagnes, nep-livestreams, desinformatie en malware-verspreiding.

Omdat frauduleuze berichten vaak verschijnen in bestaande fan-omgevingen of discussiegroepen, zijn ze voor gebruikers moeilijker te herkennen. De context wekt vertrouwen terwijl de achterliggende links of betaalverzoeken frauduleus kunnen zijn.

Ook werkzoekenden geviseerd met nepvacatures

Naast supporters worden ook werkzoekenden geviseerd. Grote evenementen creëren tijdelijk extra vraag naar personeel in sectoren zoals hospitality, logistiek, media, beveiliging en evenementondersteuning. Cyber-criminelen gebruiken die context om nepvacatures te verspreiden.

Volgens FortiGuard Labs werden slachtoffers benaderd met vacatures die zogenaamd afkomstig waren van FIFA of aangesloten sponsors. Kandidaten kregen uitnodigingen voor sollicitatiegesprekken en werden doorgestuurd naar phishing-pagina’s met een nagemaakte Google inlog-omgeving.

Na het invoeren van hun gegevens kregen gebruikers een foutmelding te zien terwijl hun inlog-gegevens ondertussen werden onderschept. Volgens het onderzoek wijst de gebruikte infrastructuur op een gecoördineerde campagne waarbij meerdere frauduleuze websites dezelfde analyse-tools en technische componenten gebruikten.

Gelekte gegevens verhogen risico op account-overnames

FortiGuard Labs trof ook grote hoeveelheden FIFA-gerelateerde gegevens aan in zogenaamde stealer logs. Dat zijn data sets die worden opgebouwd door malware die inlog-gegevens van besmette toestellen steelt.

De onderzoekers identificeerden meer dan 4.600 FIFA-gerelateerde URL’s in dergelijke data sets. Daarnaast vonden ze honderden accounts van FIFA-medewerkers en meer dan 270.000 accounts van gebruikers die FIFA-gerelateerde websites bezochten.

Niet alle gegevens hoeven nog actief of bruikbaar te zijn maar dergelijke data sets kunnen cyber-criminelen wel helpen bij account-overnames, phishing-campagnes, identiteitsfraude en credential stuffing-aanvallen. Bij credential stuffing worden eerder gelekte gebruikersnamen en wachtwoorden automatisch getest op andere websites en platformen.

Organisaties moeten al vóór het evenement ingrijpen

Het onderzoek onderstreept dat cyber-dreigingen rond grote evenementen niet pas tijdens het evenement ontstaan. De voorbereiding gebeurt maanden voordien, via domeinregistraties, sociale media-accounts, phishing-pagina’s en data-verzameling.

Fortinet raadt organisaties in onder meer sport, reizen, hospitality, media, retail, financiële dienstverlening, overheid en infrastructuur aan om proactief maatregelen te nemen. Daarbij gaat het onder meer om het monitoren van frauduleuze domeinnamen en merkimitaties, het controleren op phishing-campagnes en datalekken, het versterken van beveiliging tegen malware en account-overnames en het verhogen van bewustwording bij medewerkers en klanten.

Voor eindgebruikers blijven basismaatregelen belangrijk: tickets alleen kopen via officiële kanalen, downloads uit onofficiële bronnen vermijden, vacatures controleren via officiële websites en extra voorzichtig zijn bij dringende betaalverzoeken of aanbiedingen die te mooi lijken om waar te zijn.