ItWorks.id- Ajang olahraga berskala internasional (Piala DUnia FIFA) selalu memicu antusiasme tinggi, meningkatkan volume pencarian di internet, membangkitkan emosi para penggemar, serta mendorong lonjakan transaksi digital. Riset FortiGuard Labs mengungkap moment ini juga mendorong pelaku kejahatan siber melakukan aksinya, memanfaatkan tingginya antusiasme terhadap turnamen untuk melancarkan penipuan dan mencuri kredensial pengguna.
Pesta olahraga dunia -Piala Dunia FIFA 2026, sejak 11 Juni telah berlangsung meriah yang mempertemukan para penggemar sepak bola, tim peserta, sponsor, penyiar, penyedia layanan hospitality, hingga berbagai pelaku bisnis dalam salah satu ajang olahraga terbesar di dunia. Namun, di balik euforia tersebut, turnamen ini juga menghadirkan peluang besar bagi para pelaku kejahatan siber.
Hasil riset terbaru FortiGuard Labs mengungkap bahwa infrastruktur siber yang berkaitan dengan Piala Dunia FIFA 2026 telah aktif beroperasi. Sepanjang periode Januari hingga Mei 2026, lebih dari 13.000 domain baru bertema Piala Dunia FIFA 2026 telah didaftarkan. Dari jumlah tersebut, sekitar 8,8% teridentifikasi sebagai domain berbahaya atau mencurigakan berdasarkan analisis pola dan aktivitas penipuan. “Besarnya jumlah tersebut menunjukkan bahwa pelaku ancaman tidak menunggu hingga pertandingan pembuka dimulai. Mereka sudah mulai beroperasi,”ungkap sumber Fortinet yang dilansir dalam rilis pers (24/06/2026).
Lanskap Ancaman Berkembang Pesat
Penelitian ini menemukan lonjakan signifikan dalam pendaftaran domain bertema FIFA selama periode Maret hingga Mei 2026. Banyak di antaranya menyalahgunakan identitas merek FIFA serta menggunakan kata kunci yang berkaitan dengan penjualan tiket, layanan streaming, platform taruhan, maupun layanan hospitality.
Para pelaku ancaman telah membuat ratusan situs web palsu yang tampak cukup meyakinkan untuk memperoleh kepercayaan penggemar selama beberapa detik krusial saat mereka mencari tiket pertandingan, opsi penjualan kembali tiket, layanan streaming, paket perjalanan, maupun merchandise resmi. Bagi pelaku kejahatan siber, beberapa detik tersebut sudah cukup untuk menjalankan aksinya.
Laporan ini mengidentifikasi sejumlah kategori utama ancaman siber bertema FIFA, antara lain:
- Situs phishing dan penjualan tiket palsu
- Penipuan penjualan kembali tiket yang dipromosikan melalui Telegram dan berbagai kanal lainnya
- Toko daring palsu yang menjual merchandise
- Aplikasi taruhan dan streaming berbahaya
- File Android Package Kit (APK) dari pihak ketiga yang berpotensi mengandung malware
- Akun media sosial yang menyamar sebagai pihak resmi
- Lowongan pekerjaan dan proses rekrutmen palsu
- Penipuan mata uang kripto serta airdrop palsu
- Kebocoran kredensial yang berkaitan dengan stealer malware (malware pencuri data) dan data hasil pelanggaran keamanan di masa lalu
Temuan tersebut menunjukkan terbentuknya ekosistem kejahatan siber yang luas dan terorganisasi dengan memanfaatkan momentum penyelenggaraan turnamen. Ancaman ini jauh melampaui satu jenis penipuan, satu platform, maupun satu kelompok tertentu.
Penipuan Tiket Masih Menjadi Umpan dengan Risiko Tertinggi
Penipuan penjualan tiket merupakan salah satu ancaman yang paling menonjol karena memanfaatkan kelangkaan tiket. Penggemar yang gagal memperoleh tiket melalui jalur resmi sering kali beralih ke situs penjualan kembali, grup media sosial, kanal Telegram, iklan di mesin pencari, maupun marketplace antar pengguna. Kondisi mendesak tersebut dimanfaatkan para pelaku dengan menawarkan diskon palsu dalam waktu terbatas guna mendorong korban mengambil keputusan secara terburu-buru.
FortiGuard Labs menemukan banyak situs penjualan tiket palsu yang meniru tampilan laman resmi FIFA untuk mengumpulkan informasi pribadi, data akun, detail penagihan, hingga informasi pembayaran. Dalam salah satu kasus, sebuah domain yang didaftarkan pada Mei 2026 menyalin konten resmi FIFA sekaligus menggunakan halaman checkout palsu untuk mencuri informasi sensitif milik korban.
Laporan ini juga mendokumentasikan berbagai penipuan tiket yang dipromosikan melalui forum underground maupun kanal Telegram. Beberapa kampanye bahkan menawarkan paket lengkap berupa tiket pertandingan palsu yang dipadukan dengan tiket pesawat dan pemesanan hotel palsu agar penawaran tersebut tampak lebih meyakinkan.
Penipuan semacam ini efektif karena dirancang berdasarkan perilaku umum para penggemar. Pengguna yang sedang berusaha mendapatkan tiket umumnya tidak berpikir layaknya seorang analis keamanan siber. Yang ada di benaknya hanyalah mendapatkan tiket sebelum habis terjual.
Penyamaran di Media Sosial Memperluas Celah Serangan
FortiGuard Labs mengidentifikasi lebih dari 1.700 akun dan kanal yang diduga menyamar sebagai entitas terkait FIFA di berbagai platform media sosial dan aplikasi perpesanan. Hampir 90% dari kasus tersebut ditemukan di Facebook dan Instagram.
Akun-akun palsu ini dimanfaatkan untuk menjalankan berbagai modus kejahatan, mulai dari promosi palsu, penipuan penjualan tiket, penyebaran tautan streaming pertandingan palsu, phishing, penyebaran disinformasi, hingga distribusi malware. Selain itu, media sosial menjadi sarana yang murah dan efektif bagi pelaku ancaman untuk berinteraksi langsung dengan para penggemar, mengingat banyak pengguna secara aktif membahas tim favorit, jadwal pertandingan, rencana perjalanan, maupun ketersediaan tiket.
Penipuan melalui media sosial sangat meyakinkan karena sering kali muncul di tengah percakapan yang tampak sah. Misalnya, penjual tiket palsu di dalam grup penggemar, tautan streaming yang dibagikan sesaat sebelum pertandingan dimulai, atau akun yang menggunakan identitas visual FIFA sehingga terlihat cukup kredibel untuk mendorong pengguna mengkliknya.
Malware Juga Menjadi Bagian dari Lanskap Ancaman Selama Turnamen
Laporan ini juga menyoroti keberadaan aplikasi berbahaya yang dikaitkan dengan aktivitas seputar Piala Dunia. Salah satu file eksekusi yang terdeteksi, ‘1xbet.exe,’ menunjukkan indikasi mekanisme persistence, komunikasi terenkripsi, serta kemungkinan perilaku ransomware. Selain itu, FortiGuard Labs juga menemukan sejumlah file APK bertema FIFA yang mencurigakan di berbagai situs unduhan pihak ketiga.
Temuan ini menjadi perhatian karena ajang olahraga besar umumnya mendorong meningkatnya permintaan terhadap aplikasi taruhan, layanan streaming pertandingan, pelacak skor, maupun aplikasi promosi. Pelaku ancaman memanfaatkan kondisi tersebut dengan menyebarkan perangkat lunak palsu atau aplikasi yang telah disusupi (trojanized software) namun dibuat seolah-olah merupakan aplikasi resmi.
Menginstal aplikasi dari sumber yang tidak resmi dapat membuka peluang masuknya spyware, malware pencuri kredensial, remote access tools (RAT), maupun berbagai jenis malware lainnya ke dalam perangkat pengguna. Risiko ini semakin besar ketika pengguna mengabaikan peringatan keamanan demi mengakses layanan streaming, promosi, atau platform taruhan.
Lowongan Kerja Palsu Menargetkan Mereka yang Sedang Mencari Peluang
Penyelenggaraan Piala Dunia juga menciptakan kebutuhan akan tenaga kerja sementara, kontraktor, staf hospitality, personel logistik, tim pendukung medis, hingga berbagai posisi khusus yang berkaitan dengan penyelenggaraan acara. Tingginya permintaan tersebut membuka peluang baru bagi pelaku ancaman.
Sebagai contoh, FortiGuard Labs mengidentifikasi skema pencurian kredensial yang memanfaatkan iklan lowongan kerja palsu terkait FIFA maupun proses rekrutmen yang mengatasnamakan sponsor resmi. Dalam skema tersebut, pelaku mengirimkan undangan kalender kepada calon korban, kemudian mengarahkan mereka ke situs phishing yang menampilkan halaman login Google palsu. Ketika korban memasukkan kredensialnya, mereka hanya menerima pesan kesalahan (error message) biasa, sementara data login tersebut telah berhasil dicuri oleh pelaku.
FortiGuard Labs juga menemukan sejumlah domain yang menyamar sebagai FIFA, sponsor resmi, maupun organisasi afiliasi menggunakan Google Analytics tracking ID yang sama. Temuan ini mengindikasikan adanya kampanye terkoordinasi. Proses pencurian kredensial tersebut memanfaatkan API yang di-hosting di layanan Render, memperlihatkan bagaimana pelaku ancaman memanfaatkan layanan cloud yang sah untuk membangun infrastruktur berbahaya sehingga aktivitasnya semakin sulit dibedakan dari lalu lintas web normal.
Kebocoran Kredensial Meningkatkan Tingkat Risiko
Laporan ini juga menemukan bukti aktivitas terkait FIFA dalam data telemetri stealer logs. FortiGuard Labs mendeteksi lebih dari 4.600 URL yang berkaitan dengan FIFA di dalam stealer logs, yang terhubung dengan keluarga malwareseperti Vidar, LummaC2, dan RedLine. Selain itu, penelitian ini mengungkap lebih dari 260 kredensial milik karyawan FIFA, serta lebih dari 270.000 kredensial milik pengguna dan penggemar yang mengakses situs-situs terkait FIFA dalam log pencurian data berbasis delimiter.
Di samping itu, FortiGuard Labs juga menemukan lebih dari 1.500 catatan akun milik karyawan maupun organisasi terkait FIFA dalam kumpulan data hasil pelanggaran keamanan (breach datasets) yang pernah terjadi sebelumnya.
Temuan tersebut bukan berarti seluruh akun yang terekspos masih aktif atau sedang dieksploitasi. Namun, data yang tersedia memberikan peluang bagi pelaku ancaman untuk melakukan berbagai serangan seperti credential stuffing, pengambilalihan akun (account takeover), phishing yang lebih tertarget, penyamaran identitas (impersonation), hingga berbagai bentuk penipuan lainnya. Dalam ajang global yang menjadi sorotan dunia, bahkan kredensial lama sekalipun masih dapat dimanfaatkan ketika dipadukan dengan teknik rekayasa sosial (social engineering) dan berbagai umpan serangan terbaru.
Langkah yang Perlu Dilakukan Mulai Sekarang
Lanskap ancaman yang mengiringi Piala Dunia FIFA 2026 menjadi pengingat bahwa risiko siber sudah muncul jauh sebelum sebuah ajang besar dimulai. Oleh karena itu, organisasi yang bergerak di sektor olahraga, travel, hospitality, media, ritel, keuangan, pemerintahan, transportasi, hingga infrastruktur kritis perlu mulai mempersiapkan langkah-langkah pertahanannya sejak dini.
Tim keamanan siber perlu secara aktif memantau keberadaan domain yang menyerupai domain resmi, penyalahgunaan identitas merek, iklan berbahaya, akun media sosial palsu, serta potensi kebocoran kredensial yang melibatkan karyawan, mitra bisnis, maupun pelanggan. Selain itu, organisasi juga perlu mengevaluasi efektivitas perlindungan terhadap ancaman phishing, malware, pencurian kredensial, serta pengambilalihan akun.
Edukasi kepada pengguna juga memegang peranan penting. Penggemar maupun karyawan perlu diingatkan agar selalu menggunakan kanal penjualan tiket resmi, menghindari mengunduh file APK dari sumber pihak ketiga, berhati-hati terhadap tautan streaming pertandingan, memverifikasi lowongan pekerjaan melalui situs resmi, serta mewaspadai permintaan pembayaran yang bersifat mendesak atau terlihat mencurigakan.
Bagi tim pertahanan, pelajaran terpenting dari temuan ini sangat jelas: pelaku ancaman selalu memanfaatkan momentum ketika perhatian publik sedang tertuju pada suatu peristiwa besar. Dengan Piala Dunia FIFA 2026 yang akan menjadi pusat perhatian dunia, para penjahat siber telah lebih dulu membangun infrastruktur untuk memanfaatkan situasi tersebut. Karena itu, organisasi perlu melakukan persiapan yang sepadan.
