Menjelang gelaran Piala Dunia FIFA 2026, para peneliti keamanan siber menemukan lonjakan besar dalam kampanye phishing yang menargetkan para penggemar sepak bola di seluruh dunia. Awalnya, kampanye ini hanya terdeteksi menggunakan sekitar 79 domain palsu. Namun, hasil investigasi terbaru menunjukkan skala serangan ternyata jauh lebih besar dari perkiraan awal.
Baca Juga : Add-on Mozilla Jadi Target Phishing, Begini Cara Menghindarinya
Berdasarkan laporan terbaru, jaringan phishing tersebut kini telah berkembang menjadi sedikitnya 222 domain yang tersebar di 203 alamat IP unik. Jumlah ini hampir tiga kali lebih besar dibanding laporan sebelumnya dan menunjukkan bahwa operasi penipuan digital ini terus berkembang secara agresif.
Para pelaku memanfaatkan berbagai situs tiruan yang dibuat menyerupai halaman resmi FIFA. Mulai dari halaman pembelian tiket palsu, toko online tiruan, hingga halaman login palsu yang dirancang untuk menerima semua kredensial yang dimasukkan korban tanpa disadari.
Tujuan utama serangan ini cukup jelas, yaitu mencuri data akun serta pembayaran dari para penggemar sepak bola yang ingin membeli tiket atau mengikuti informasi resmi terkait turnamen Piala Dunia 2026.
Peneliti dari Flare dalam laporannya yang dibagikan kepada Cyber Security News (CSN) mengungkapkan bahwa mereka berhasil menemukan skala penuh operasi ini setelah memperluas investigasi menggunakan passive DNS records, certificate transparency logs, dan enrichment data WHOIS.
Hasil penyelidikan menunjukkan bahwa serangan ini bukan dijalankan oleh satu kelompok tunggal. Sebaliknya, terdapat setidaknya empat klaster operator berbeda yang menjalankan modus serupa dan menargetkan event yang sama.
Infrastruktur Penipuan Terus Bertambah
Kampanye phishing ini juga belum menunjukkan tanda-tanda melambat. Dalam 17 hari pertama April 2026 saja, tercatat ada 52 domain baru yang didaftarkan dan hampir setiap hari muncul domain tambahan baru.
Menariknya, tiga tanggal tertentu yaitu 27 Maret, 28 Maret, dan 17 November 2025 menyumbang lebih dari 36 persen total pendaftaran domain dalam dataset investigasi.
Dengan semakin dekatnya jadwal Piala Dunia 2026, infrastruktur phishing ini diperkirakan masih akan terus berkembang. Karena itu, tim keamanan siber maupun para penggemar sepak bola diminta untuk tetap waspada terhadap berbagai situs mencurigakan yang mengatasnamakan FIFA.
Kampanye Phishing Piala Dunia Gunakan Ratusan Domain
Investigasi awal sebelumnya hanya menemukan 79 domain typosquatting yang dihosting pada 14 alamat IP. Namun kini, dataset terbaru mengonfirmasi keberadaan 222 domain, di mana sebanyak 206 domain masih aktif dan tersebar di 203 alamat IP berbeda.
Artinya, jumlah domain meningkat sekitar 2,8 kali lipat, sementara jejak hosting bertambah lebih dari 14 kali dibanding laporan awal.
Sebanyak 80,6 persen alamat IP diketahui berada di belakang layanan Cloudflare. Para peneliti menyebut para pelaku kemungkinan memanfaatkan Cloudflare sebagai reverse proxy untuk menyembunyikan server asli mereka.
Selain itu, ditemukan lima alamat IP yang menghosting beberapa domain phishing sekaligus. Bahkan satu IP tercatat terhubung dengan delapan situs penipuan berbeda.
Cloudflare sendiri telah menandai tiga domain dalam dataset tersebut sebagai situs phishing yang dicurigai berbahaya, sehingga memperkuat indikasi bahwa aktivitas ini memang merupakan operasi penipuan terorganisir.
Dua Registrar Kuasai Mayoritas Infrastruktur
Dalam investigasi ini, registrar GNAME.COM masih menjadi penyedia domain yang paling banyak digunakan, dengan sekitar 94 domain atau sekitar 42 persen dari total infrastruktur phishing yang ditemukan.
Sementara itu, GoDaddy berada di posisi kedua dengan 42 domain. Jika digabungkan, kedua registrar ini menguasai sekitar 61 persen dari keseluruhan jaringan phishing yang terdeteksi.
Para peneliti menyarankan agar tim perlindungan merek dan keamanan digital memprioritaskan pelaporan massal terhadap kedua registrar tersebut sebagai langkah tercepat untuk menurunkan sebagian besar jaringan phishing.
Empat Klaster Operator Berbeda di Balik Serangan
Salah satu temuan paling menarik dalam investigasi ini adalah adanya empat klaster operator berbeda yang menjalankan kampanye phishing secara terpisah.
- Cluster A mengoperasikan sekitar 86 domain yang meniru langsung alamat resmi fifa.com.
- Cluster B menggunakan 14 domain berekstensi .shop dengan nama generik yang tidak terlihat berhubungan dengan FIFA, tetapi mengarah ke halaman penipuan yang sama.
- Cluster C terdiri dari tiga domain .cn yang terhubung ke satu akun Gmail dan diduga berasal dari aktor independen berbasis di China.
- Cluster D menggunakan identitas registran palsu bernama “888 World Cup Management Co Ltd” yang secara terang-terangan merujuk ke turnamen Piala Dunia.
Meski seluruh klaster memakai template halaman dan target korban yang sama, pola digital yang ditemukan menunjukkan bahwa mereka kemungkinan menggunakan scam kit serupa, bukan berasal dari satu organisasi terpusat.
Karena itu, para peneliti menilai metode deteksi phishing kini harus dilakukan pada level kampanye, bukan hanya berdasarkan domain satu per satu.
Baca Juga : Hacker Manfaatkan AppSheet, Netlify, dan Telegram untuk Phishing Facebook
Indicators of Compromise (IoCs)
| Type | Indicator | Description |
|---|---|---|
| IP Address | 38[.]246[.]249[.]74 | Top hosting IP, tied to 8 campaign domains |
| IP Address | 154[.]39[.]81[.]213 | Hosting IP tied to 6 campaign domains |
| IP Address | 148[.]178[.]16[.]48 | Hosting IP tied to 5 campaign domains |
| IP Address | 154[.]86[.]0[.]33 | Shared campaign hosting IP |
| IP Address | 104[.]225[.]235[.]49 | Shared campaign hosting IP |
| [email protected] | Registrant email linked to 14 Cluster B .shop domains | |
| [email protected] | Registrant email linked to 3 Cluster C .cn domains | |
| Registrant Organization | 888 shi jie bei guan li you xian gong si | Cluster D fake registrant identity |
| Registrant Contact | Bill John / Newark | Cluster B placeholder identity tied to 14 .shop domains |
| TLS Certificate Hash | 1b02595c66a13a4a5a523a76de25803bdb950623 | Shared across 3 campaign domains |
| TLS Certificate Hash | fc1db8def38bb08010bb8f8ac14d5e498ff8ff43 | Shared across 2 campaign domains |
| TLS Certificate Hash | 3b8bb7631b39f455d31544b55ba97b49ab1888c1 | Shared across 2 campaign domains |
| TLS Certificate Hash | fb0498ab592232747a4d90aa150ee4e0506869ca | Shared across 2 campaign domains |
| Domain | fifa-com[.]store | Cloudflare-flagged suspected phishing domain |
| Domain | fifa-com[.]site | Cloudflare-flagged suspected phishing domain |
| Domain | fifa-com[.]shop | Cloudflare-flagged suspected phishing domain |
| Domain | dustdigitalsw[.]shop | Cluster B domain repurposed for fraud |
| Domain | https-fifa[.]cn | Cluster C domain |
| Domain | ww-fifaweb[.]cn | Cluster C domain |
| Domain | fifawebsite[.]cn | Cluster C domain |
| Domain | www-fifaworldcup[.]one | Cluster D domain |
| Domain | www-fifaworldcup[.]vip | Cluster D domain |
| Domain | fifa-com[.]one | Cluster D domain |
Catatan: Seluruh alamat IP dan domain sengaja dibuat dalam format defanged menggunakan “[.]” untuk mencegah akses tidak sengaja atau hyperlink otomatis. Gunakan kembali format normal hanya pada platform threat intelligence terpercaya seperti MISP, VirusTotal, atau SIEM internal.
