O FBI e pesquisadores de segurança alertaram que uma onda massiva de golpes usando a Copa do Mundo FIFA 2026 já está ativa, com mais de 4.300 domínios fraudulentos, malware bancário em aplicativos de streaming e um grupo identificado como GHOST STADIUM operando centenas de sites de phishing que copiam o login oficial da FIFA. Os golpes incluem venda de ingressos falsos, roubo de credenciais e trojans bancários para Android.
Operação GHOST STADIUM
Um grupo de língua chinesa financeiramente motivado, batizado de GHOST STADIUM pela Group-IB, opera um kit de phishing único distribuído em mais de 300 sites fraudulentos. As páginas são cópias quase perfeitas do fifa.com, incluindo a replicação do sistema de single sign-on PingIdentity com o client ID genuíno copiado do site oficial. As imagens são carregadas diretamente dos servidores da própria FIFA para aumentar a credibilidade.
O fluxo do ataque segue um padrão eficiente: a página falsa solicita uma redefinição de senha, o atacante bloqueia a vítima fora da conta e revende os ingressos vinculados. O tráfego é direcionado por anúncios no Facebook, Telegram, WhatsApp e resultados de busca. A Group-IB estima perdas entre US$ 71 milhões e US$ 474 milhões apenas com fraudes de ingressos premium e hospitalidade.
O primeiro alerta sobre golpes da Copa 2026 havia sido emitido em maio, mas a campanha se expandiu significativamente nas últimas semanas.
Malware bancário em apps
A ThreatFabric e a Kaspersky identificaram aplicativos não oficiais de streaming — muitos se passando pelo RojaDirecta — que instalam trojans bancários Android das famílias Massiv e Perseus. Esses apps não estão no Google Play e exigem sideloading, contornando as verificações de segurança do dispositivo.
Uma vez instalados, os malwares utilizam ferramentas de acessibilidade do Android para sobrepor telas falsas de login bancário sobre apps reais, registrar teclas digitadas, interceptar códigos de autenticação por SMS e controlar a tela remotamente. O Perseus, construído sobre o código vazado do trojan Cerberus, também acessa aplicativos de notas para roubar senhas salvas e frases de recuperação de criptomoedas.
A ThreatFabric alerta que o sinal mais evidente de comprometimento é um app de streaming solicitar permissão de acessibilidade — ele não tem motivo legítimo para exigir esse acesso.
| Vetor de ataque | O que faz | Sinal de alerta |
|---|---|---|
| Sites de phishing FIFA | Rouba credenciais e revende ingressos | URL diferente de fifa.com |
| Apps de streaming falsos | Instala trojan bancário (Massiv/Perseus) | Pede permissão de acessibilidade |
| E-mails de loteria FIFA | Promete prêmios de até US$ 2 milhões | FIFA não realiza sorteios por e-mail |
| Lojas de mercadoria falsas | Vende produtos que nunca chegam | Gráficas de baixa qualidade no site |
| Sites de apostas falsos | Coleta passaportes e selfies | Pede documentos além do normal |
Como identificar os golpes
Os números são alarmantes: a FortiGuard Labs identificou mais de 13.000 domínios com temas da Copa registrados entre janeiro e maio de 2026, sendo 8,8% classificados como maliciosos ou suspeitos. A Bitdefender mapeou mais de 55 campanhas publicitárias no Facebook e Instagram promovendo kits falsos, adesivos Panini falsificados e páginas de phishing. A Fortinet encontrou 1.700 perfis falsos da FIFA, sendo 90% concentrados no Facebook e Instagram.
O FBI recomenda acessar o site da FIFA digitando o endereço manualmente, usar marcadores salvos para páginas de login, ativar autenticação multifator em todas as contas e rejeitar qualquer forma de pagamento em criptomoedas — a FIFA nunca aceita cripto. Desconfie de anúncios que redirecionam para sites fora do domínio oficial e evite redes Wi-Fi abertas nas cidades-sede, onde ataques de “evil twin” podem interceptar dados.
As credenciais roubadas por malware como Vidar, LummaC2 e RedLine já estão circulando em mercados clandestinos com centenas de milhares de logins e mais de 4.600 endereços web da FIFA, segundo a Fortinet.