كشفت جروب-آي بي، الشركة الرائدة في ابتكار تقنيات الأمن السيبراني التنبؤية للتحقيق في الجرائم الرقمية ومنعها ومكافحتها، عن منظومة احتيال واسعة النطاق ومتطورة تستهدف بشكل مباشر بطولة كأس العالم لكرة القدم FIFA 2026 المقبلة. ومن خلال قدراتها التنبؤية في استخبارات التهديدات والاحتيال، تمكن باحثو جروب-آي بي من تحديد البنية التحتية للحملة وتتبعها قبل أشهر من انطلاق البطولة، ما أتاح للمؤسسات والمستهلكين اتخاذ إجراءات وقائية قبل وقوع خسائر واسعة النطاق. وقبيل المباراة الافتتاحية المقررة في 11 يونيو، حدد الباحثون أكثر من 4300 نطاق احتيالي ينتحل الهوية الرقمية الرسمية لـFIFA، إلى جانب ستة مخططات احتيالية متوازية وأربعة أطراف مهددة مستقلة. وتشير التقديرات إلى أن الخسائر المالية المحتملة الناتجة عن الحملة الرئيسية قد تصل إلى مليارات الدولارات.
وتتمحور هذه الأنشطة الإجرامية حول جهة مهددة تحمل اسم “GHOST STADIUM”، وهي جهة ذات دوافع مالية تدير شبكة تصيد احتيالي متطورة للغاية عبر أكثر من 300 نطاق نشط. ومن خلال نهجها الاستخباراتي المرتكز على تحليل الخصوم، تمكن باحثو جروب-آي بي من رسم خريطة ليس فقط للبنية التحتية الخبيثة، بل أيضاً للأساليب التشغيلية والأنماط التكتيكية والمنظومة الداعمة للحملة.
أبرز نتائج البحث
من المتوقع أن تكون بطولة كأس العالم لكرة القدم FIFA 2026 أكبر حدث رياضي في التاريخ. وستُقام البطولة في ثلاث دول هي الولايات المتحدة الأمريكية وكندا والمكسيك خلال الفترة من 11 يونيو إلى 19 يوليو 2026، وتشمل 104 مباريات تُقام في 16 مدينة. ويُعد حجم البطولة غير مسبوق، إذ تتوقع منظمة الفيفا (FIFA) حضور أكثر من ستة ملايين مشجع إلى الملاعب، بمتوسط 450 ألف زائر لكل مدينة. كما تم تقديم أكثر من 150 مليون طلب للحصول على التذاكر خلال أول 15 يوماً فقط من فترة البيع، ما يجعل الإقبال على هذه النسخة أعلى بنحو 30 مرة مقارنة بالبطولات السابقة.
وقد أدى هذا الطلب الهائل والإلحاح الكبير لدى الجماهير للحصول على التذاكر إلى جعل البطولة هدفاً رئيسياً لعمليات الاحتيال. وقبيل انطلاق البطولة، كشف باحثو جروب-آي بي عن منظومة واسعة من الأنشطة الاحتيالية التي تستهدف جمهور البطولة حول العالم. وأسفر التحقيق عن النتائج التالية:
- بنية تحتية ضخمة: تم تسجيل أكثر من 4300 نطاق احتيالي منذ أغسطس 2025. وبينما يتم استخدام أكثر من 300 نطاق حالياً في تشغيل بنى تحتية للتصيد الاحتيالي، فإن نحو 3800 نطاق أخرى لا تزال في وضعية “الانتظار” وجاهزة للتفعيل مع اقتراب موعد البطولة.
- هندسة احتيالية متقنة: أنشأت مجموعة GHOST STADIUM نسخة شبه مطابقة للموقع الرسمي لمنظمة FIFA ولآلية تسجيل الدخول الموحد الشرعية (Single Sign-On – SSO) المعتمدة عبر نظام PingIdentity. وتتميز الحزمة الاحتيالية بقدرتها على الترجمة التلقائية إلى 11 لغة، كما تستفيد مباشرة من الأصول الرسمية للعلامة التجارية الخاصة بـFIFA عبر شبكة توصيل المحتوى بهدف تجاوز وسائل الكشف الأمنية التقليدية.
- استغلال مكثف للإعلانات الرقمية: يعتمد المحتالون بشكل كبير على إعلانات فيسبوك لاستقطاب الضحايا، مستخدمين أساليب مصطنعة لإثارة الاستعجال وعروضاً بأسعار منخفضة للغاية للتذاكر، مثل بيع مقاعد مميزة مقابل 60 دولاراً فقط.
- مخاطر مالية هائلة: تقدر جروب-آي بي بشكل متحفظ أن عمليات الاحتيال المرتبطة بفئات التذاكر المميزة وباقات الضيافة وحدها قد تتسبب بخسائر تتراوح بين 71 مليوناً و474 مليون دولار. أما إجمالي الخسائر المحتملة عبر جميع مستويات الحملة فقد يصل إلى مليارات الدولارات.
- ارتفاع تداول بيانات الاعتماد في الشبكة المظلمة: يتم حالياً تداول وبيع أكثر من 2500 زوج صالح من بيانات اعتماد حسابات FIFA في أسواق الشبكة المظلمة، نتيجة حملات واسعة النطاق لبرمجيات سرقة المعلومات.
وتؤكد هذه النتائج مجتمعة أن الجرائم السيبرانية لم تعد تقتصر على عمليات احتيال منفردة، بل تطورت إلى منظومات احتيالية صناعية متكاملة. فالبنى التحتية للتصيد الاحتيالي، وبيانات الاعتماد المسروقة، والأسواق المزيفة، والإعلانات عبر وسائل التواصل الاجتماعي، وحملات البرمجيات الخبيثة باتت تعمل بصورة مترابطة لتعظيم الأرباح الإجرامية وتوسيع نطاق الهجمات عالمياً.
مخططات الاحتيال التي تستهدف المشجعين: من التذاكر الوهمية إلى منصات البث المزيفة
كشف التحقيق أيضاً أن جهات التهديد تستغل الطلب الكبير على التذاكر عبر شبكة متطورة من مخططات الاحتيال المتوازية. وعلى الرغم من استضافة البطولة في الولايات المتحدة وكندا والمكسيك، فإن الحملة ذات طبيعة عالمية وتستهدف عشاق كرة القدم في مختلف أنحاء العالم من خلال بنى تحتية إجرامية مترابطة وعمليات احتيال عابرة للحدود.
وتتصدر هجمات التصيد الاحتيالي لبيانات الاعتماد هذه الأنشطة، حيث يتم خداع المشجعين لإدخال بيانات تسجيل الدخول الخاصة بهم عبر بوابات تسجيل دخول موحد مزيفة، ما يؤدي إلى الاستيلاء السريع على الحسابات. وغالباً ما يترافق ذلك مع عمليات بيع تذاكر وهمية تستخدم مسارات دفع مزيفة تهدف إلى سرقة الأموال عبر نماذج بطاقات ائتمان مزورة، ووسائل دفع محلية، وتطبيقات تحويل الأموال بين الأفراد، ومنصات العملات المشفرة.
ولا تقتصر أنشطة المجرمين على بيع التذاكر فقط، بل تمتد إلى استهداف مختلف جوانب تجربة المشجعين. ففي أسواق أمريكا اللاتينية، ينشط المهاجمون في تشغيل متاجر إلكترونية مزيفة لبيع منتجات مقلدة مرتبطة بالبطولة. وعلى المستوى العالمي، يقع المشجعون الباحثون عن وسائل بديلة لمتابعة المباريات ضحية لمنصات بث مزيفة تطلب رسوم اشتراك مقابل بث مباشر يُفترض أنه مجاني، بينما تقوم في الواقع بإصابة أجهزتهم ببرمجيات حصان طروادة للتحكم عن بُعد.
وتستند العديد من هذه العمليات الاحتيالية الموجهة للمستهلكين إلى منظومة قوية من برمجيات سرقة المعلومات. ومن خلال استخدام عائلات معروفة من البرمجيات الخبيثة مثل Vidar وLumma، تستطيع جهات التهدد جمع البيانات المخزنة في المتصفحات على نطاق عالمي بشكل مستمر. وتشكل هذه المسارات الإجرامية المتعددة والمتقاطعة تهديداً منظماً وشاملاً للمستهلكين حول العالم.
استجابة الإطار الموحد لمكافحة الاحتيال السيبراني Cyber Fraud Fusion (CFF)
تكشف منظومة الاحتيال التي تستهدف بطولة كأس العالم لكرة القدم FIFA 2026 عن نقطة ضعف جوهرية في الأساليب الحالية التي تعتمدها المؤسسات لمواجهة حملات الاحتيال واسعة النطاق، وهي الاستجابة المنعزلة وغير المتكاملة. فسرعة وتعقيد وحجم عمليات الاحتيال الحديثة تتطلب الانتقال من نهج إزالة التهديدات بعد وقوعها إلى نهج تنبؤي قائم على المعلومات الاستخباراتية، يهدف إلى تحديد التهديدات وتعطيلها قبل وصولها إلى الضحايا. ولم يعد إغلاق المواقع الاحتيالية المنفردة كافياً لمواجهة سلاسل التصيد الاحتيالي الصناعية القائمة على نموذج “التصيد الاحتيالي كخدمة”.
وتُظهر نتائج البحث أن هذه المشكلة لا يمكن أن تعالجها أي جهة بمفردها. فقد تجد الجهات المالكة للعلامات التجارية صعوبة في إزالة جميع النطاقات المنتحلة لهويتها، كما قد لا تتمكن المؤسسات المالية من تجميد جميع قنوات الدفع المستخدمة، بينما لا تستطيع جهات إنفاذ القانون ملاحقة جميع الجهات المشغلة لهذه الأنشطة. ويتطلب الحجم الكبير للحملة وطبيعتها متعددة القنوات استجابة منسقة تعتمد بنية دفاعية تعكس حجم الترابط والتعقيد في الهجوم نفسه.
ويقدم الإطار الموحد لمكافحة الاحتيال السيبراني (Cyber Fraud Fusion) هذه البنية الدفاعية من خلال ربط قدرات الكشف والرصد، والمعلومات الاستخباراتية، والوقاية، والتحذير على مستوى المنظومة، والتحقيقات، ضمن نظام موحد قادر على التنبؤ بعمليات الاحتيال وتعطيلها قبل وقوع الخسائر.
توصيات للمستخدمين والمشجعين
في ظل اعتماد مجرمي الإنترنت على أساليب متزايدة التطور لاستغلال الطلب غير المسبوق على تذاكر البطولة، تؤكد جروب-آي بي أهمية توخي الحذر والالتزام بالإجراءات التالية لضمان تجربة شراء آمنة وحماية البيانات الشخصية والمالية:
- شراء التذاكر حصرياً عبر البوابة الرسمية لـFIFA على الموقع الإلكتروني fifa.com، والتعامل بحذر شديد مع أي عروض بيع خارج هذه القناة الرسمية.
- اعتبار أي عرض لتذاكر FIFA يشترط الدفع بالعملات المشفرة عملية احتيالية، إذ لا تقبل منصة التذاكر الرسمية أي مدفوعات بالعملات الرقمية.
- التحقق بعناية من اسم النطاق قبل إدخال أي بيانات اعتماد. ويُعد fifa.com النطاق الرسمي الوحيد، وليس أي نطاقات مشابهة مثل fifa-com أو www-fifa أو أي امتدادات بديلة أخرى.
- تفعيل المصادقة متعددة العوامل على حساب FIFA فوراً، وتغيير كلمة المرور في حال عدم تحديثها مؤخراً.
- تجنب النقر على إعلانات التذاكر المرتبطة بـFIFA عبر Facebook أو Instagram أو Telegram أو WhatsApp، إذ تتم عمليات البيع الشرعية حصراً من خلال القنوات الرسمية لـFIFA وليس عبر الإعلانات على وسائل التواصل الاجتماعي.
- في حال إدخال بيانات الاعتماد مسبقاً في موقع مشبوه، يجب تغيير كلمة المرور فوراً، ومراجعة الحساب للتأكد من عدم وجود عمليات نقل تذاكر غير مصرح بها، والتواصل مع البنك أو مزود خدمة الدفع في حال إجراء أي عملية دفع.
