Thought Leadership
Für ausgewählte Fußballfans beginnt bald der Kartenvorverkauf für die FIFA WM 2026 in Nordamerika. Check Point hat bereits gefälschte Angebote zu Livestreams, Tickets und Fanartikeln entdeckt.
Check Point Software Technologies Ltd., ein Anbieter von Cyber-Sicherheitslösungen, warnt im Zuge des bevorstehenden Ticketverkaufs der Fußball-Weltmeisterschaft 2026 in Nordamerika bereits vor Betrugsversuchen im Zusammenhang mit dem Sportspektakel. Die Sicherheitsforscher haben eine unmittelbare Gefahr in Form von mehr als 4300 neu registrierten Domains im Internet aufgedeckt, die den Namen „FIFA“, „Weltmeisterschaft“ oder die Namen der Austragungsstädte tragen.
Die erste Ticketverkaufsphase hat bereits begonnen. Fans, die an der Vorverkaufsverlosung (9. bis 19. September 2025) teilgenommen hatten, werden am 29. September über das Ergebnis informiert. Der Ticketkauf für die dann ausgewählten Nutzer beginnt am 1. Oktober 2025. Hacker aber wollen aus dem Ansturm auf Tickets und Fanartikel Kapital schlagen.
Die Domänen werden für Angriffswellen vorbereitet
Viele dieser Adressen wirken auf den ersten Blick harmlos. Im Gesamtbild zeigt sich jedoch ein anderes Muster: Die Domains entstehen schubweise (siehe Abbildung 1), konzentrieren sich auf auffällig wenige Registrierstellen, folgen ähnlichen Namenskonventionen und entsprechen obendrein einer vergleichbaren DNS-Infrastruktur – als stammten sie allesamt aus derselben Vorlage.
Nach Einschätzung der Sicherheitsexperten sind die Domains Bausteine einer Infrastruktur, die für künftige Betrugswellen vorbereitet werden. Teilweise werben sie für nichtexistierende Tickets, locken mit angeblichen Livestreams, hinter denen sich Schad-Software verbirgt, oder bieten gefälschte Fanartikel feil. Besorgniserregend sind zudem Hinweise auf koordinierte Angriffe: Bot-Netze könnten Warteschlangen für Ticketverkäufe lahmlegen oder durch künstlich erzeugte Nachfrage die Preise in die Höhe treiben. In Untergrundforen werden für diese Taktiken bereits passende Werkzeuge und Anleitungen gehandelt. Sichtbar ist derzeit weniger der Betrug selbst als vielmehr das Fundament für diesen – aufgebaut im Schatten des bevorstehenden Turniers.
Das frühe Erstellungsdatum soll Vertrauen erzeugen
Einer der deutlichsten Indikatoren für die Koordinierung dieser Angriffe ist schlicht der Zeitpunkt. Der Datensatz zeigt, dass in dem kurzen Zeitfenster zwischen dem 8. und 12. August 2025 fast 1500 Domänen registriert wurden, wobei Anfang September ein weiterer Höhepunkt zu verzeichnen war. Dieses Muster passt nicht zum sonstigem Kaufverhalten von Fußballfans und lässt stattdessen auf eine automatisierte Massenbeschaffung schließen. Die Taktik der Domänenalterung war ebenfalls offensichtlich. Mehrere Domains wurden nicht nur für 2026, sondern auch für künftige Weltmeisterschaften wie 2030 und 2034 registriert. Diese Registrierungen, die jahrelang ruhen, dienen dazu, eine passive Legitimität zu erlangen, bevor sie aktiviert werden – eine übliche Strategie bei Betrugskampagnen, die den Ruf prominenter Marken ausnutzen wollen.
Domains auf wenige Registrierstellen konzentriert
Die betrügerischen Registrierungen sind nicht gleichmäßig über alle Registrierstellen verteilt. Der Großteil der Domains konzentriert sich auf eine Handvoll Registrierungssstellen für den Einzelhandel; hauptsächlich GoDaddy, Namecheap, Gname, Dynadot und Porkbun. Cyber-Kriminelle bevorzugen diese Anbieter wegen ihrer Größe, regelmäßiger Sonderangebote und der einfachen Automatisierung von Massenregistrierungen. Die Verteilung der Top-Level-Domains zeigt ein ähnliches Bild: „.com“ dominiert und macht mehr als die Hälfte der Stichproben aus, während eine lange Reihe von TLDs mit niedrigen Zugangsbarrieren wie “.online”, “.shop”, “.store” und “.football” kostengünstige Alternativen für Angreifer bieten, die Angriffe skalieren wollen.
Geografische und zielgruppengerechte Ansprache
Geografische Hinweise zeigen: Die Angreifer nehmen präzise Zielgruppen auf der ganzen Welt, aber auch lokale Märkte ins Visier. Domains, die Namen von Gastgeberländern (USA, Mexiko, Kanada) und Austragungsstädten (Dallas, Miami, Toronto, Vancouver, Mexiko-Stadt) enthalten, waren besonders auffällig. Sie sollen die SEO-Relevanz erhöhen und reisenden Fußballfans vertrauenswürdiger erscheinen. Die sprachliche Anpassung veranschaulicht diese Fokussierung: Englisch dominiert bei Streaming-Betrügereien, die weltweit möglichst viele Menschen reinlegen sollen, bei Ticket- und Merchandise-Betrügereien wird vorrangig Spanisch und Portugiesisch verwendet, um auf lateinamerikanische Fans zu zielen, und Französisch erscheint in kleineren Kampagnen, die wahrscheinlich auf europäische Fans ausgerichtet sind.
Drei Lockmittel: Streaming, Fanartikel und Tickets
Die Domänen sind auf drei Lockmittel ausgerichtet: gefälschte Tickets, Waren und illegales Streaming. Einige Cluster fokussierten sich auf eins dieser Angebote, z. B. fifa2026ticketsmiami[.]com, während andere mehrere Köder in einer einzigen Domain kombinierten, z. B. fifa2026tickets-streamlive[.]com. Letzteres deutet auf die Verwendung von Vorlagen hin, bei denen die Drahtzieher die Themen variieren und gleichzeitig eine einheitliche Struktur beibehalten können. Streaming-Begriffe („HD“, „watch live“, „gratis“) waren weit verbreitet, während Domains, die sich auf Tickets bezogen, weniger häufig vorkamen, aber angesichts des hohen Verlusts pro Opfer einen größeren finanziellen Schaden verursachten. Unter Merchandise-Domains wurden Trikots, Trikotsätze und Bekleidung in mehreren Sprachen, insbesondere in Spanisch und Portugiesisch, vermarktet.
Überschneidungen in der Infrastruktur
Die Analyse der DNS-Einträge ergab die wiederholte Verwendung identischer Nameserver in verschiedenen Domänengruppen. Das lässt darauf schließen, dass es sich nicht um Dutzende unabhängige Akteure handelt, sondern um eine kleine Anzahl semiprofessioneller Betreiber, die große Portfolios verwalten. Diese Überschneidung in Verbindung mit synchronisierten Registrierungen und ähnlichen lexikalischen Mustern unterstützt Check Points Hypothese, dass es sich um eine koordinierte Kampagne handelt.
Kampagnen auf mehreren Plattformen
Domains allein reichen aber nicht aus, um das Risiko der Operation in ihrer Gesamtheit zu verdeutlichen. Ihre wahre Gefahr zeigt sich, wenn sie über mehrere Plattformen hinweg verstärkt wird. In Telegram-Kanälen wurde bereits für „exklusive Tickets“ und gefälschte Trikots geworben. In Dark-Web-Foren finden sich immer wieder Threads, in denen sowohl gefälschte Tickets als auch Tools für Phishing oder Zahlungsbetrug unter der FIFA-Marke angeboten werden. Social-Media-Seiten, die sich oft als „offizielle“ Seiten ausgeben, sollen den Verkehr auf diese Domains lenken, während bösartige Anzeigen in den Suchergebnissen das Potenzial haben, die eigenen FIFA-Websites im Ranking zu übertreffen.
Es handelt sich also nicht um eine Reihe von eigenständigen Betrügereien, sondern um ein Ökosystem, das sich von Domainregistrierungen über Untergrundmarktplätze bis hin zu den gängigen sozialen Kanälen erstreckt.
Ticketing-Missbrauch und fortgeschrittene Taktiken
Am besorgniserregendsten sind wahrscheinlich die Bedrohungen für die Ticketing-Infrastruktur der FIFA selbst. Es gibt Hinweise darauf, dass Bot-Netze bereits darauf vorbereitet sind, die Warteschlangen für Eintrittskarten zu überschwemmen, in großem Umfang Bestände zu erwerben und zu überhöhten Preisen weiterzuverkaufen. Diese Bot-gesteuerten Nachfrageschübe stören auch die dynamischen Preisgestaltungsalgorithmen, sodass Fans mit höheren Preisen konfrontiert werden. Parallel dazu verkaufen Dark-Web-Anbieter offen Bot-Kits, Proxy-Farmen und Playbooks zur Umgehung von Konten, die auf die Systeme der FIFA zugeschnitten sind.
Die im September 2025 von der FTC eingereichte Klage gegen Live Nation/Ticketmaster zeigt, wie die Automatisierung durch Scalper bereits große Ticketing-Plattformen destabilisiert hat, und verdeutlicht die Anfälligkeit von Veranstaltungen mit hoher Nachfrage, wie der Fußballweltmeisterschaft, für ähnlichen Missbrauch.
Rufschädigung von Ereignis und Veranstalter
Die Auswirkungen dieser Kampagne betrifft viele Interessengruppen rund um die Fußballweltmeisterschaft. Fans sind dem Risiko zahlreicher Betrügereien ausgesetzt: gefälschte (teure) Tickets, Phishing von Zugangsdaten während des Vorverkaufs und mit Malware verseuchten Streams. Die FIFA und ihre Sponsoren sehen sich mit einer Verwässerung ihrer Marke, mit gefälschtem Handel und mit Rufschädigung konfrontiert, welche die offiziellen Kanäle untergraben könnte.
Austragungsstädte und -orte werden in die Bedrohungslandschaft hineingezogen, da geografisch verankerte Betrügereien mit gefälschten Angeboten zu Unterkünften, Transport und Bewirtung auf Reisende abzielen. Schließlich besteht die Gefahr, dass ein breiteres Internet-Ökosystem – Registrierstellen, Werbenetzwerke, Messaging-Plattformen – als Verstärker für die Verbreitung von Kampagnen ausgenutzt wird.
Was aus IT-Sicherheitsperspektive zu tun ist
Die Beweise deuten auf ein bereits funktionierendes Betrugssystem hin, das nur darauf wartet, aktiviert zu werden. Die Eindämmung muss daher jetzt und nicht erst im Jahr 2026 beginnen. Die kontinuierliche Überwachung von Kombinationen aus „FIFA + Jahr + Stadt“ in mehreren Sprachen sollte Priorität haben, wobei Partnerschaften mit Registrierstellen eine schnelle Löschung von synchronisierten Domain-Bursts ermöglichen. Die am häufigsten ausgenutzten Registrierstellen, wie GoDaddy und Namecheap, müssen unter Druck gesetzt werden, um strengere Prüfungen und Reaktionen auf Missbrauchsversuche durchzusetzen. Die kanalübergreifende Sammlung von Informationen über Telegram, Dark-Web-Foren und Werbeplattformen ist ebenfalls unerlässlich, um Verteilerknoten zu entdecken.
Ticketing-Systeme müssen sofort gegen Automatisierung gestärkt werden. Verhaltenserkennungs- und Anti-Bot-Maßnahmen sollten in die Vorverkaufs- und Lotteriephasen eingebettet werden, um sicherzustellen, dass Anstürme als feindliche Signale, nicht als legitime Nachfrage behandelt werden. Die FIFA und ihre Partner sollten auch ein präventives Such- und Werbekonzept verfolgen, indem sie verifizierte Domains und Anzeigen lange vor dem Vorverkauf platzieren, um betrügerische Angebote auszuschließen.
Wie sich Fußballfans schützen können
Schließlich müssen auch die Fans selbst sensibilisiert werden, da der menschliche Faktor oft die größte Schwachstelle darstellt. Praktische Schritte umfassen:
- Tickets nur bei offiziellen Quellen kaufen: Die FIFA wird autorisierte Verkaufskanäle veröffentlichen. Im Zweifelsfall sollten Fans sich direkt auf der offiziellen Website vergewissern.
- Vorsichtig mit Links walten lassen: Gefälschte „Fan-ID“-Mails oder „Zeitplan-Updates“ sind gängige Phishing-Tricks. Fußballfans sollten es vermeiden, auf verdächtige Links oder Anhänge zu klicken.
- Domain-Namen prüfen: Betrügerische Websites verwenden oft raffinierte Rechtschreibfehler (z. B. com). Nutzer sollten URL daher immer genau unter die Lupe nehmen.
- Angeboten keinen Glauben schenken, wenn sie zu gut sind, um wahr zu sein: Versprechungen von garantierten Tickets, frühzeitigem Zugang oder hohen Rabatten sind fast immer ein Warnsignal.
- Sicherheitstools verwenden: Browser, Antiviren- und Sicherheits-Software sollten immer auf dem neuesten Stand gehalten werden, um bösartige Domains, Phishing-Versuche und betrügerische Werbung zu blockieren.
Durch die Kombination von systemischen Maßnahmen und der Sensibilisierung der Benutzer kann das Ökosystem des Betrugs frühzeitig erodiert werden, bevor es ausgereift ist.
(ds/Check Point Software)
