Un réseau mis en place par des pirates chinois clone l’univers FIFA pour aspirer comptes, paiements et billets, avant la Coupe du monde 2026 aux États-Unis, au Canada et au Mexique. Un air de déjà vu aprés les Jeux Olympiques de Paris, en 2024.Souvenez-vous ! Les Jeux Olympiques de 2024, Paris 2024, avaient attirés la foule et un rendez-vous qui a marqué les lignes historiques de la compétition sportive. Les pirates informatiques n’étaient pas en reste en ouvrant des dizaines de fausses pages et boutiques. Missions des gentils hackers malveillants : siphoner les données, volées des informations bancaires, piéger des ordinateurs et leurs utilisateurs.
Depuis quelques semaines, une campagne d’hameçonnage vise les supporters de la Coupe du monde 2026 avec plus d’un millier de domaines frauduleux imitant l’écosystème officiel du tournoi. Le scénario est précis : attirer les fans par de fausses offres, voler leurs identifiants, récupérer leurs moyens de paiement, puis monétiser les comptes compromis. Les billets premium, proposés entre 1 500 $ (1 380 euros) et plus de 10 000 $ (9 200 euros), concentrent une partie du risque financier. Les pertes potentielles pourraient atteindre des milliards. (surtout à la vue de billets officiels à plusieurs millions de dollars : merci les tarifs evolutifs !!!)
Une mécanique d’usurpation très structuréeLa Coupe du monde 2026 attire déjà les criminels numériques. Son format inédit, 48 équipes et 104 matchs répartis entre les États-Unis, le Canada et le Mexique, crée une surface d’attaque exceptionnelle. Chaque recherche de billet devient une occasion d’interception. Chaque supporter pressé, une cible possible. Billets pour les matchs, mais aussi les transports en commun à moindre coût.
Depuis août 2025, plusieurs centaines de noms de domaine trompeurs ont été enregistrés pour imiter le site officiel de la FIFA. IB parle de son côté de 4 200 faux sites ! Parmi eux, plus de 300 hébergent déjà une infrastructure frauduleuse. Environ 3 800 autres restent inactifs, ou dormants, avec la capacité d’être activés à mesure que la demande grimpera. Cette réserve donne aux fraudeurs une profondeur opérationnelle : ils peuvent remplacer rapidement un site bloqué, relancer une campagne publicitaire ou segmenter les victimes par langue, pays ou type de billet.
Le groupe Chinois nommé « Le fantôme des stades » [Ghost Stadium] apparaît comme l’acteur le plus structuré. Repéré pour la première fois en novembre 2025, il a bâti un clone très proche de l’environnement officiel. Les pages ne se limitent pas à un faux formulaire grossier. Elles reproduisent le parcours de connexion, l’apparence visuelle et les étapes attendues par un fan qui pense rejoindre son compte légitime.
Le piège est d’autant plus efficace qu’il simule le système d’authentification associé au fournisseur d’identité de la FIFA comme ZATAZ vous le montre dans cette vidéo. Après la saisie des identifiants, l’utilisateur est redirigé discrètement vers le véritable site. Cette bascule donne l’impression que la connexion a fonctionné. En réalité, les informations ont déjà été capturées. Le faux portail peut aussi pousser une réinitialisation de mot de passe, ce qui permet aux attaquants de verrouiller l’accès du propriétaire légitime.
À ce stade, l’intérêt criminel dépasse la simple collecte de données. Un compte compromis peut contenir des billets authentiques, des informations personnelles et des traces de paiement. Les billets peuvent ensuite être revendus, parfois à prix réduit pour accélérer l’écoulement, parfois à prix fort sur des marchés parallèles. Le compte devient un actif, exploitable dans plusieurs chaînes de fraude.
Le kit d’hameçonnage utilise Layui 2.7.6m, une bibliothèque chinoise d’interface utilisateur open source, peu répandue hors de cette communauté de développement. Des commentaires en chinois figurent aussi dans le code source. Mais soyons trés clair, cela ne veut dire. Effacer ses rtaces débutent souvent par en inventer.
L’infrastructure montre des certificats SSL partagés et des identifiants Meta Pixel identiques sur plus de 300 domaines, reliant les sites aux mêmes comptes publicitaires Facebook.
Publicités, billets VIP et pertes potentiellesLa diffusion repose surtout sur des publicités payantes Facebook. Elles promettent des places à 60 $ (55,20 euros), alors que certains billets officiels atteignent des montants de plusieurs milliers de dollars. Le message joue sur l’urgence, avec une logique de « premier arrivé, premier servi » un peu comme le cas des concerts de Céline Dion, BTS, des montres Swatch – Piguet ou de la Finale de la Coupe de France de foot ou de Rugby. Ce ressort classique contourne la prudence : le supporter ne veut pas rater l’occasion, clique vite, puis renseigne ses données.
Le Service de veille et d’investigation de ZATAZ recensé 47 sites frauduleux consacrés uniquement aux billets premium et VIP. Les prix affichés y varient de 1 500 $ (1 380 euros) à plus de 10 000 $ (9 200 euros). Visiter l’un de ces sites pirates via la vidéo, ci-dessous.
Le risque cyber tient aussi à la durée. Le tournoi débute le 11 juin, mais les infrastructures sont déjà prêtes. Les domaines dormants permettent d’attendre le bon moment : tirage, ouverture de nouvelles phases de vente, qualification d’une équipe populaire ou annonce de billets supplémentaires. Les attaquants peuvent caler leurs campagnes sur les pics émotionnels du calendrier sportif.
merci à ZATAZ
