Giả mạo website FIFA để phát tán mã độc

[Kaya]

Các chuyên gia an ninh mạng vừa cảnh báo về một chiến dịch tấn công mới, tin tặc dựng hàng loạt website giả mạo liên quan đến Liên đoàn Bóng đá Thế giới FIFA nhằm phát tán mã độc và đánh cắp thông tin người dùng.

Theo báo cáo, các đối tượng đứng sau chiến dịch đã lợi dụng sự quan tâm của người hâm mộ bóng đá đối với các giải đấu quốc tế để dụ nạn nhân truy cập vào những trang web có giao diện giống cổng thông tin chính thức của FIFA. Các website này thường được quảng bá qua mạng xã hội, email lừa đảo hoặc quảng cáo độc hại.​

Website giả mạo được thiết kế giống trang FIFA thật​

đã phát hiện hơn 4.300 tên miền giả mạo FIFA kể từ tháng 8/2025.

Một phần đáng chú ý của chiến dịch này được cho là do nhóm tội phạm mạng nói tiếng Trung mang tên “Ghost Stadium” vận hành. Nhóm này sử dụng hàng trăm domain phishing được xây dựng từ cùng một bộ công cụ, cho phép sao chép gần như hoàn hảo website chính thức của FIFA, bao gồm cả quy trình đăng nhập SSO.

Nhiều domain được dựng theo kỹ thuật “typosquatting” — lợi dụng lỗi gõ nhầm của người dùng.

Ví dụ:

• fiffa[.]com
• ww-fifa[.]com
• wvvw-fifa[.]com
• fifa-com[.]com
• fifa-ticket[.]live
• jobs-fifa[.]com
• fifa-hiring[.]com
• fifaworldcup26[.]sale
• worldcup26ticket[.]com

Các website này thường thay đổi nhẹ tên miền hoặc sử dụng đuôi domain khác như:

• .xyz
• .live
• .sale
• .org
• .help
• .cam

Khi người dùng truy cập, website sẽ yêu cầu tải xuống tập tin, tiện ích mở rộng hoặc ứng dụng “hỗ trợ xem trận đấu”. Thực tế đây là mã độc được cài cắm sẵn nhằm chiếm quyền kiểm soát thiết bị hoặc đánh cắp dữ liệu.​

Không chỉ phishing thông thường​

Theo giới chuyên gia, nhiều website giả mạo hiện nay không còn là những trang phishing đơn giản mà được xây dựng như một “hệ sinh thái FIFA giả”. Một số trang:

• Sao chép toàn bộ HTML từ website thật
• Lấy trực tiếp hình ảnh và biểu tượng từ FIFA
• Tích hợp biểu mẫu đăng nhập giả
• Chèn quảng cáo độc hại
• Chuyển hướng người dùng sang các trang thanh toán giả

Người dùng khi nhập: họ tên, địa chỉ, số điện thoại, email, thông tin thẻ ngân hàng... có thể bị đánh cắp toàn bộ dữ liệu để phục vụ gian lận tài chính hoặc đánh cắp danh tính. Trong một số trường hợp, nạn nhân còn bị lừa mua vé giả hoặc các gói dịch vụ VIP không tồn tại.

Lợi dụng tâm lý người hâm mộ bóng đá​

Giới chuyên gia nhận định đây là hình thức tấn công dựa nhiều vào kỹ thuật social engineering. Tin tặc tận dụng tâm lý muốn xem trực tiếp trận đấu miễn phí, săn vé hoặc theo dõi tin nóng liên quan đến bóng đá để dẫn dụ nạn nhân.

Các chiến dịch giả mạo theo chủ đề thể thao thường tăng mạnh vào thời điểm diễn ra các giải đấu lớn do lượng tìm kiếm và truy cập tăng đột biến. Điều này khiến người dùng dễ mất cảnh giác hơn so với các email lừa đảo truyền thống.​

Nguy cơ từ các website giả mạo ngày càng tinh vi​

Các chuyên gia cảnh báo nhiều website giả mạo hiện nay sử dụng:​

• Tên miền gần giống FIFA thật​
• Chứng chỉ HTTPS hợp lệ​
• Giao diện chuyên nghiệp​
• Hệ thống chuyển hướng nhiều lớp​
• Cloud hosting để che giấu hạ tầng​

Điều này khiến việc nhận biết bằng mắt thường trở nên khó khăn hơn rất nhiều. Ngoài ra, nhiều trang còn tích hợp cơ chế kiểm tra môi trường để né tránh sandbox hoặc hệ thống phân tích bảo mật tự động.

Người dùng được khuyến cáo:​

• Chỉ truy cập gõ trực tiếp đến website chính thức của FIFA trên thanh địa chỉ thay vì tìm qua Google​
• Không tải ứng dụng xem bóng đá từ nguồn lạ​
• Không cài tiện ích trình duyệt không rõ nguồn gốc​
• Kiểm tra kỹ tên miền trước khi đăng nhập​
• Bật xác thực đa yếu tố (MFA) cho các tài khoản quan trọng​
• Sử dụng phần mềm bảo mật có khả năng phát hiện phishing và malware​

Doanh nghiệp cũng nên tăng cường giám sát lưu lượng truy cập tới các tên miền đáng ngờ liên quan đến sự kiện thể thao quốc tế để phát hiện sớm nguy cơ xâm nhập.​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview