Onderzoek Fortinet: duizenden verdachte websites gelinkt aan WK 2026

Vanaf 11 juni 2026 brengt het FIFA Wereld­kam­pi­oen­schap miljoenen suppor­ters, teams, sponsors, media­par­tijen en bedrijven samen tijdens een van de grootste sport­eve­ne­menten ter wereld. Naast de sportieve aantrek­kings­kracht vormt het toernooi echter ook een aantrek­ke­lijk doelwit voor cybercriminelen.

Grote inter­na­ti­o­nale evene­menten zorgen voor veel online acti­vi­teit en cyber­cri­mi­nelen spelen hier actief op in. Uit het 2026 WorldCup Cybert­h­reat Report van FortiGuard Labs blijkt dat tussen januari en mei 2026 meer dan 13.000 nieuwe domein­namen zijn gere­gi­streerd die gere­la­teerd zijn aan het WK 2026. Ongeveer 8,8% hiervan is geïden­ti­fi­ceerd als kwaad­aardig of verdacht. Dit laat zien dat cyber­cri­mi­nelen niet wachten tot de aftrap van het toernooi, maar hun acti­vi­teiten al ruim van tevoren voorbereiden.

Een snel groeiend dreigingslandschap

Het onderzoek laat een sterke toename zien van WK-gere­la­teerde domein­re­gi­stra­ties tussen maart en mei 2026. Veel van deze websites maken misbruik van FIFA-merken en bevatten verwij­zingen naar ticket­ver­koop, strea­ming­dien­sten, wedden­schappen en hospitalitydiensten.

Cyber­cri­mi­nelen hebben honderden nepweb­sites opgezet die op het eerste gezicht betrouw­baar lijken. Het doel is om bezoekers in enkele seconden te verleiden tot het delen van persoon­lijke gegevens of het uitvoeren van betalingen.

Ticketfraude en sociale media

Ticket­fraude behoort tot de meest voor­ko­mende drei­gingen. Omdat officiële tickets schaars zijn, zoeken suppor­ters vaak alter­na­tieve verkoop­ka­nalen via sociale media, adver­ten­ties, Telegram-groepen of door­ver­koop­plat­forms. FortiGuard Labs ontdekte ook meer dan 1.700 vermoe­de­lijke FIFA-gere­la­teerde imita­tie­ac­counts op sociale media en berich­ten­plat­forms. Bijna 90% hiervan bevond zich op Facebook en Instagram.

Deze accounts worden ingezet voor ticket­fraude, valse promoties, phis­hing­cam­pagnes, nep-livestreams, desin­for­matie en malwa­re­ver­sprei­ding. Doordat derge­lijke berichten vaak verschijnen binnen bestaande fancom­mu­ni­ties of discus­sie­groepen, zijn ze voor gebrui­kers moei­lijker te herkennen als frauduleus.

Nepvacatures misleiden werkzoekenden

Grote evene­menten creëren een tijde­lijke vraag naar personeel binnen onder meer hospi­ta­lity, logistiek, media en evene­men­ton­der­steu­ning. Ook hiervan maken cyber­cri­mi­nelen gebruik.

FortiGuard Labs iden­ti­fi­ceerde campagnes waarbij slacht­of­fers werden benaderd met nepva­ca­tures die zogenaamd afkomstig waren van FIFA of aange­sloten sponsors. Kandi­daten ontvingen uitno­di­gingen voor solli­ci­ta­tie­ge­sprekken en werden door­ge­stuurd naar phishingpagina’s met een nage­maakte Google-inlogomgeving.

Na het invoeren van hun gegevens kregen slacht­of­fers een fout­mel­ding te zien, terwijl hun inlog­ge­ge­vens onder­tussen werden onder­schept. Het onderzoek wijst op een geco­ör­di­neerde campagne waarbij meerdere frau­du­leuze websites gebruik­maakten van dezelfde analy­se­tools en infrastructuur.

Gelekte inloggegevens vergroten het risico

FortiGuard Labs trof tevens grote hoeveel­heden FIFA-gere­la­teerde gegevens aan in zoge­naamde stealer logs: datasets die zijn verzameld door malware die inlog­ge­ge­vens steelt.

Onder­zoe­kers iden­ti­fi­ceerden meer dan 4.600 FIFA-gere­la­teerde URL’s in deze datasets, evenals honderden accounts van FIFA-mede­wer­kers en ruim 270.000 accounts van gebrui­kers die FIFA-gere­la­teerde websites bezochten.

Hoewel niet alle gegevens nog actief hoeven te zijn, bieden derge­lijke datasets cyber­cri­mi­nelen moge­lijk­heden voor account­over­names, phis­hing­cam­pagnes, iden­ti­teits­fraude en zoge­naamde creden­tial stuffing-aanvallen.

Aanbevelingen voor organisaties en gebruikers

Het onderzoek onder­streept dat cyber­drei­gingen rondom grote evene­menten al ruim vóór de start van het evenement ontstaan. Orga­ni­sa­ties binnen onder andere sport, reizen, hospi­ta­lity, media, retail, finan­ciële dienst­ver­le­ning, overheid en infra­struc­tuur doen er daarom verstandig aan tijdig maat­re­gelen te nemen.

Aanbe­volen acties zijn onder meer:

• Monitoren van frau­du­leuze domein­namen en merkimitaties;
• Actief contro­leren op phis­hing­cam­pagnes en datalekken;
• Versterken van bevei­li­ging tegen malware en accountovernames;
• Bewust­wor­ding creëren onder mede­wer­kers en klanten;
• Gebruik­maken van uitslui­tend officiële ticketverkoopkanalen;
• Vermijden van downloads uit onof­fi­ciële bronnen;
• Veri­fi­ëren van vacatures via officiële websites;
• Extra alertheid bij dringende betaal­ver­zoeken of aanbie­dingen die te mooi lijken om waar te zijn.

^{Download hier het volledige rapport: https://www.fortinet.com/blog/threat-research/cybe​rcrim​inals​-are-​targe​ting-​the‑f​ifa‑w​orld-​cup‑2​026}