404 Not Found
Writer
Một chiến dịch lừa đảo quy mô lớn đang nhắm trực diện vào người hâm mộ bóng đá toàn cầu khi mùa giải FIFA World Cup 2026 đang đến gần. Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch phishing có tên “GHOST STADIUM”, với hơn 300 tên miền giả mạo đã được triển khai nhằm đánh cắp tài khoản và thông tin tài chính của người dùng.
Theo các báo cáo phân tích, chiến dịch này lợi dụng sức nóng khổng lồ của nhu cầu mua vé World Cup, khi hơn 150 triệu lượt đăng ký vé đã được ghi nhận chỉ trong hai tuần đầu mở bán. Chính sự khan hiếm và tâm lý “sợ bỏ lỡ” này đã trở thành mảnh đất màu mỡ để tội phạm mạng dựng lên hàng loạt trang web giả mạo, sao chép gần như hoàn chỉnh giao diện cổng bán vé và đăng nhập chính thức của FIFA.
Điểm đáng lo ngại là GHOST STADIUM không phải một hoạt động đơn lẻ mà là một hệ sinh thái lừa đảo vận hành có tổ chức. Các chuyên gia của Group-IB cho biết đã ghi nhận ít nhất bốn nhóm tội phạm độc lập, sáu mô hình gian lận khác nhau và hơn 3.500 tên miền giả mạo liên quan đến việc mạo danh FIFA. Trong đó, nhóm đứng sau GHOST STADIUM được đánh giá là một tác nhân nói tiếng Trung, hoạt động vì mục đích tài chính và vận hành chiến dịch có mức độ tự động hóa cao.
Các hình thức tấn công được triển khai đồng thời gồm: trang đăng nhập giả để đánh cắp tài khoản, website bán vé giả, cửa hàng hàng hóa giả mạo, nền tảng xem trực tuyến lậu, trang cá cược, và cả các chiến dịch phát tán mã độc đánh cắp thông tin. Mỗi nhánh đều có cách kiếm tiền riêng, khiến toàn bộ hệ thống trở nên phân tán và khó bị triệt phá đồng loạt.
Không chỉ dừng ở lừa đảo trực tiếp, dữ liệu rò rỉ còn cho thấy hơn 2.500 tài khoản người dùng FIFA đã bị rao bán trên các chợ đen với giá chỉ từ vài USD đến vài chục USD mỗi tài khoản. Nguồn dữ liệu này phần lớn đến từ các chiến dịch mã độc đánh cắp thông tin như Vidar và Lumma, vốn lây lan qua phần mềm lậu, quảng cáo độc hại hoặc các kênh chia sẻ công cụ gian lận.
Đáng chú ý, các trang giả mạo trong chiến dịch GHOST STADIUM được xây dựng rất tinh vi, sử dụng công nghệ sao chép giao diện gần như tuyệt đối, thậm chí mô phỏng cả luồng đăng nhập chính thức của FIFA. Sau khi nạn nhân nhập thông tin, hệ thống có thể ngay lập tức thay đổi mật khẩu và chuyển hướng về trang thật, khiến người dùng khó nhận ra mình vừa bị chiếm quyền truy cập.
Một điểm kỹ thuật khác cho thấy mức độ tổ chức cao là việc các tên miền giả đều sử dụng chung hệ thống theo dõi quảng cáo, cho thấy khả năng cao toàn bộ chiến dịch được vận hành tập trung và có sử dụng quảng cáo mạng xã hội để kéo người dùng vào bẫy.
Các chuyên gia cảnh báo, với sức nóng của World Cup, các chiến dịch lừa đảo kiểu này sẽ tiếp tục gia tăng cả về quy mô lẫn mức độ tinh vi. Người dùng được khuyến cáo chỉ truy cập và mua vé qua các kênh chính thức của FIFA, tuyệt đối cảnh giác với quảng cáo giảm giá bất thường, lời mời chào “vé gấp”, hoặc các trang yêu cầu đăng nhập lại tài khoản.
Song song đó, việc bật xác thực hai lớp và theo dõi hoạt động đăng nhập bất thường được xem là biện pháp cơ bản nhưng hiệu quả để giảm thiểu nguy cơ bị chiếm đoạt tài khoản trong giai đoạn cao điểm này.
Chiến dịch GHOST STADIUM là lời nhắc rõ ràng rằng mỗi kỳ sự kiện thể thao lớn không chỉ là sân chơi của người hâm mộ, mà còn là thời điểm vàng để tội phạm mạng khai thác lòng tin và sự háo hức của hàng triệu người trên toàn thế giới.
Theo các báo cáo phân tích, chiến dịch này lợi dụng sức nóng khổng lồ của nhu cầu mua vé World Cup, khi hơn 150 triệu lượt đăng ký vé đã được ghi nhận chỉ trong hai tuần đầu mở bán. Chính sự khan hiếm và tâm lý “sợ bỏ lỡ” này đã trở thành mảnh đất màu mỡ để tội phạm mạng dựng lên hàng loạt trang web giả mạo, sao chép gần như hoàn chỉnh giao diện cổng bán vé và đăng nhập chính thức của FIFA.
Điểm đáng lo ngại là GHOST STADIUM không phải một hoạt động đơn lẻ mà là một hệ sinh thái lừa đảo vận hành có tổ chức. Các chuyên gia của Group-IB cho biết đã ghi nhận ít nhất bốn nhóm tội phạm độc lập, sáu mô hình gian lận khác nhau và hơn 3.500 tên miền giả mạo liên quan đến việc mạo danh FIFA. Trong đó, nhóm đứng sau GHOST STADIUM được đánh giá là một tác nhân nói tiếng Trung, hoạt động vì mục đích tài chính và vận hành chiến dịch có mức độ tự động hóa cao.
Các hình thức tấn công được triển khai đồng thời gồm: trang đăng nhập giả để đánh cắp tài khoản, website bán vé giả, cửa hàng hàng hóa giả mạo, nền tảng xem trực tuyến lậu, trang cá cược, và cả các chiến dịch phát tán mã độc đánh cắp thông tin. Mỗi nhánh đều có cách kiếm tiền riêng, khiến toàn bộ hệ thống trở nên phân tán và khó bị triệt phá đồng loạt.
Không chỉ dừng ở lừa đảo trực tiếp, dữ liệu rò rỉ còn cho thấy hơn 2.500 tài khoản người dùng FIFA đã bị rao bán trên các chợ đen với giá chỉ từ vài USD đến vài chục USD mỗi tài khoản. Nguồn dữ liệu này phần lớn đến từ các chiến dịch mã độc đánh cắp thông tin như Vidar và Lumma, vốn lây lan qua phần mềm lậu, quảng cáo độc hại hoặc các kênh chia sẻ công cụ gian lận.
Đáng chú ý, các trang giả mạo trong chiến dịch GHOST STADIUM được xây dựng rất tinh vi, sử dụng công nghệ sao chép giao diện gần như tuyệt đối, thậm chí mô phỏng cả luồng đăng nhập chính thức của FIFA. Sau khi nạn nhân nhập thông tin, hệ thống có thể ngay lập tức thay đổi mật khẩu và chuyển hướng về trang thật, khiến người dùng khó nhận ra mình vừa bị chiếm quyền truy cập.
Một điểm kỹ thuật khác cho thấy mức độ tổ chức cao là việc các tên miền giả đều sử dụng chung hệ thống theo dõi quảng cáo, cho thấy khả năng cao toàn bộ chiến dịch được vận hành tập trung và có sử dụng quảng cáo mạng xã hội để kéo người dùng vào bẫy.
Các chuyên gia cảnh báo, với sức nóng của World Cup, các chiến dịch lừa đảo kiểu này sẽ tiếp tục gia tăng cả về quy mô lẫn mức độ tinh vi. Người dùng được khuyến cáo chỉ truy cập và mua vé qua các kênh chính thức của FIFA, tuyệt đối cảnh giác với quảng cáo giảm giá bất thường, lời mời chào “vé gấp”, hoặc các trang yêu cầu đăng nhập lại tài khoản.
Song song đó, việc bật xác thực hai lớp và theo dõi hoạt động đăng nhập bất thường được xem là biện pháp cơ bản nhưng hiệu quả để giảm thiểu nguy cơ bị chiếm đoạt tài khoản trong giai đoạn cao điểm này.
Chiến dịch GHOST STADIUM là lời nhắc rõ ràng rằng mỗi kỳ sự kiện thể thao lớn không chỉ là sân chơi của người hâm mộ, mà còn là thời điểm vàng để tội phạm mạng khai thác lòng tin và sự háo hức của hàng triệu người trên toàn thế giới.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
