La Coupe du Monde de la FIFA 2026 arrive et les cybercriminels sont déjà prêts ! Plusieurs campagnes, dont celle menée par GHOST STADIUM, s’appuient sur plus de 4 300 domaines frauduleux pour tenter de piéger les supporters afin de mettre la main sur leur identifiant et leur voler de l’argent.
Un clone pixel-perfect du site web de la FIFA
La campagne menée par le pirate surnommé GHOST STADIUM a été mise en place dans le but de faire de l’argent, et non pour distribuer des logiciels malveillants. La cible : la Coupe du Monde de football, organisée dans trois pays (États-Unis, Canada et Mexique) du 11 juin au 19 juillet 2026. Plus de 6 millions de supporters sont attendus dans les stades et la demande en billets est très forte : plus de 150 millions de personnes ont fait une demande dans les 15 jours qui ont suivi la mise en vente.
“Cette demande colossale – et l’urgence qu’elle suscite chez les supporters désespérés de se procurer des billets – a fait de ce tournoi de football un véritable aimant pour les fraudeurs.”, explique GROUP-IB dans son rapport à propos de cette campagne. Les supporters, c’est justement eux qui sont directement ciblés par GHOST STADIUM.
Le pirate a développé un kit de phishing basé sur React permettant de générer une copie presque parfaite du site officiel fifa.com. C’est en effet via ce site web que les supporters doivent effectuer l’achat de billets. D’après les chercheurs, il ne s’agit pas d’une vulgaire copie du site de la FIFA.
Elle reproduit également le flux d’authentification unique (SSO) officiel de la FIFA, normalement fourni par PingIdentity, en allant jusqu’à exploiter l’identifiant client (client_id) extrait du site légitime. “Il est important de noter que les paramètres de la page de phishing comprennent p1:reset:userPassword, qui autorise la réinitialisation du mot de passe – ce qui permet au pirate de bloquer immédiatement l’accès aux comptes des utilisateurs légitimes après avoir capturé leurs identifiants. “, précise le rapport.
GHOST STADIUM, ce n’est pas une dizaine de domaines malveillants. Non, c’est bien plus, notamment parce qu’il y aurait au moins 3 groupes sur le coup. Voici quelques chiffres qui montre l’étendue de cette campagne débutée en août 2025 :
Plus de 4 300 domaines frauduleux imitant la page web de la FIFA ont été enregistrés.
Plus de 300 domaines exécutent activement cette infrastructure.
Environ 3 800 domaines sont actuellement en standby, prêts à être activé à l’approche du tournoi.
Il y a des noms de domaine trompeurs (typosquatting), comme par exemple www-fifa[.]com[.]co, au lieu de fifa.com.
Source : Group-IB
Ces pirates opéreraient plusieurs types d’arnaques, dont le vol d’identifiants (via infostealer), la vente de faux billets (avec notamment des prix compris entre 1 500 et plus de 10 000 dollars par billet), des boutiques de marchandises contrefaites et de fausses plateformes de streaming. Le tout en utilisant le contexte de la Coupe du monde 2026 pour piéger les supporters.
“Les pertes financières liées à la seule fraude aux billets premium et VIP (environ 25 % du total) sont estimées entre 71 et 474 millions de dollars pour l’ensemble de la campagne. Le montant total des pertes causées par la campagne de phishing menée par GHOST STADIUM, tous niveaux confondus, pourrait atteindre plusieurs milliards de dollars.”, peut-on lire dans le rapport.
Facebook Ads et le sentiment d’urgence comme piège
Pour attirer du trafic vers ses domaines de phishing, la campagne GHOST STADIUM s’appuie sur de la publicité, notamment sur Facebook grâce au programme Facebook Ads. Ainsi, ils peuvent sponsoriser des publications pour les diffuser au plus grand nombre dans l’objectif de renvoyer les utilisateurs vers les pages falsifiées.
Pour inciter les victimes à cliquer, les pirates jouent sur le principe du syndrome FOMO :
L’affichage de prix dérisoires, par exemple 60 dollars pour des billets dont la valeur officielle se chiffre en milliers de dollars.
Des comptes à rebours associés à des messages de type “premier arrivé, premier servi”.
Une fois sur le site, l’internaute se retrouve face à un parcours qui simule un processus d’achat légitime : sélection du match, de la catégorie de siège, puis redirection vers une fausse page de connexion. Si la victime tente d’acheter, un formulaire collecte de nombreuses données personnelles (nom, prénom, e-mail, téléphone, adresse complète, ville, état/province, code postal, pays et instructions de livraison) via une requête POST, avant de l’amener vers une fausse page de paiement.
Ce sont des mécaniques habituelles, mais qui continuent de fonctionner. Surtout quand il y a des dizaines de millions d’acheteurs potentiels.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.