สรุปสั้น
บริษัท Group-IB, FortiGuard Labs, ThreatFabric และ Kaspersky ร่วมกับ FBI ออกคำเตือนเรื่องการฉ้อโกงในธีม FIFA World Cup 2026 ที่เริ่มระบาดก่อนการแข่งขันหลายเดือน โดยมีเว็บไซต์ปลอมถูกจดทะเบียนกว่า 4,300 โดเมนตั้งแต่เดือนสิงหาคม 2568 กลุ่มที่บริษัท Group-IB ตั้งชื่อว่า GHOST STADIUM ซึ่งพูดภาษาจีน ได้สร้างหน้าล็อกอินปลอมที่เลียนแบบเว็บไซต์ FIFA ได้อย่างแนบเนียน รวมถึงดึงรูปภาพจากเซิร์ฟเวอร์ FIFA จริงเพื่อหลบเลี่ยงการตรวจจับ
นอกจากฟิชชิงตั๋วแล้ว ยังมีมัลแวร์ธนาคารบน Android ซ่อนอยู่ในแอปสตรีมผิดกฎหมาย และโดเมนปลอมอีกกว่า 3,800 โดเมนยังจอดรอพร้อมเปิดใช้งาน ความเสียหายคาดการณ์อยู่ที่ 71–474 ล้านดอลลาร์สหรัฐเฉพาะจากตั๋วพรีเมียม ยังไม่มีวิธีแก้ไขแบบรวมศูนย์ — ต้องอาศัยความตระหนักรู้ของผู้ใช้งาน
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 ว่า ปฏิบัติการฉ้อโกงในธีม FIFA World Cup 2026 ได้เริ่มดำเนินการแล้วก่อนที่การแข่งขันจะเปิดฉากในวันที่ 11 มิถุนายน 2569 ซึ่งจะจัดขึ้นใน 16 เมืองในสหรัฐอเมริกา แคนาดา และเม็กซิโก โดยมีแฟนบอลคาดว่าจะเดินทางมามากกว่า 6 ล้านคน FIFA รายงานว่ามีคำขอซื้อบัตรมากกว่า 150 ล้านใบในช่วง 15 วันแรก ทำให้การแข่งขันมีคนต้องการมากกว่าจำนวนที่มีอยู่ถึง 30 เท่า สถานการณ์นี้สร้างโอกาสทองให้แก่มิจฉาชีพที่เข้าใจว่าแฟนบอลที่วิตกกังวลเรื่องบัตรพร้อมจ่ายเงิน Group-IB ติดตามโดเมนปลอมเกี่ยวกับ FIFA กว่า 4,300 โดเมนที่จดทะเบียนตั้งแต่สิงหาคม 2568 และพบกลุ่มหลักชื่อ GHOST STADIUM ที่ใช้ชุดฟิชชิงเดียวกันในการควบคุมกว่า 300 เว็บไซต์ในจำนวนนั้น
ด้าน FortiGuard Labs นับโดเมนธีม World Cup ที่จดทะเบียนระหว่างเดือนมกราคมถึงพฤษภาคมได้มากกว่า 13,000 โดเมน โดย 8.8% มีลักษณะเป็นอันตรายหรือน่าสงสัย FBI ก็ได้ออกประกาศเตือนและแสดงรายการโดเมน FIFA ปลอมหลายสิบรายการ ตั้งแต่โดเมนที่สะกดผิดไปจนถึงหน้าสมัครงาน FIFA ปลอม ThreatFabric พบแอปสตรีมผิดกฎหมายที่แพร่มัลแวร์ธนาคาร Android 2 ตัวคือ Massiv และ Perseus ซึ่ง Perseus สร้างจาก Cerberus malware ที่รั่วออกมาก่อนหน้านี้ มัลแวร์เหล่านี้ใช้ฟีเจอร์ Accessibility ของ Android เพื่อสร้างหน้าล็อกอินธนาคารปลอม บันทึกการกดแป้นพิมพ์ และดักรหัส OTP
รายละเอียดช่องโหว่ที่ถูกใช้
GHOST STADIUM ใช้กลวิธีหลายชั้นเพื่อหลบเลี่ยงการตรวจจับ โดยหน้าฟิชชิงดึงรูปภาพจากเซิร์ฟเวอร์ FIFA จริงโดยตรง ทำให้เครื่องมือที่ตรวจจับรูปภาพที่คัดลอกไม่สามารถตรวจพบได้ นอกจากนี้ยังคัดลอก Client ID จริงของ PingIdentity ที่ FIFA ใช้ในระบบ Single Sign-On เพื่อให้หน้าล็อกอินดูน่าเชื่อถือมากขึ้น เมื่อเหยื่อกรอกข้อมูล ผู้โจมตีจะสามารถล็อกบัญชีและนำบัตรที่ผูกกับบัญชีนั้นไปขายต่อได้ การรับชำระเงินรองรับ 5 ช่องทาง รวมถึงคริปโตเคอร์เรนซีซึ่งเป็นตัวบ่งชี้ชัดเจนของการโกง เพราะระบบออกบัตรอย่างเป็นทางการของ FIFA ไม่เคยรับชำระเงินเป็นคริปโต Kaspersky ยังพบว่า Wi-Fi ในเมืองเจ้าภาพของเม็กซิโก 10-12% เป็นเครือข่ายเปิดที่ไม่มีรหัสผ่าน ซึ่งเปิดช่องให้มิจฉาชีพสร้าง Evil Twin hotspot
ผลกระทบต่อไทย
แม้ว่าการแข่งขันจะอยู่ในทวีปอเมริกา แต่แฟนบอลชาวไทยจำนวนมากอาจพยายามซื้อบัตรออนไลน์หรือดูผ่านแอปสตรีมที่ไม่เป็นทางการ กลุ่มมิจฉาชีพใช้ช่องทาง Facebook ads, Telegram, WhatsApp และผลการค้นหาในการดึงเหยื่อ ซึ่งคนไทยใช้แพลตฟอร์มเหล่านี้เป็นประจำ ข้อมูลล็อกอิน FIFA ของคนทั่วโลกรวมถึงคนไทยอาจถูกขโมยผ่านมัลแวร์ Vidar, LummaC2 และ RedLine ที่ Fortinet พบว่ามีข้อมูลล็อกอิน FIFA หลายแสนชุดอยู่ในระบบ นอกจากนี้แอป Android สตรีมเถื่อนที่มีมัลแวร์ธนาคารอาจแพร่กระจายผ่าน Telegram ของไทย ซึ่งเป็นช่องทางหลักในการแชร์ไฟล์ APK ในประเทศ
คำแนะนำ
ซื้อบัตรและชมการถ่ายทอดสดผ่านเว็บไซต์ fifa.com เท่านั้น โดยพิมพ์ URL เองแทนที่จะคลิกผ่านโฆษณาหรือผลการค้นหา เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) บนบัญชี FIFA และตรวจสอบว่าไม่มีใครเข้าถึงบัญชีโดยไม่ได้รับอนุญาต หลีกเลี่ยงแอปสตรีมที่ไม่ได้อยู่ใน Google Play อย่างเด็ดขาด หากแอปขอสิทธิ์ Accessibility ให้ปฏิเสธทันที ผู้ขายบัตรที่ขอรับชำระเป็นคริปโตหรือโอนเงินผ่าน app ส่วนตัวทุกรายถือว่าเป็นมิจฉาชีพ สำหรับทีมความปลอดภัยองค์กร ควรเฝ้าระวังโดเมน FIFA ใหม่ ตรวจสอบล็อกของ Vidar, LummaC2 และ RedLine เพื่อหาข้อมูลรับรองที่ถูกขโมย และเตรียมทีมป้องกันการฉ้อโกงสำหรับช่วงกรกฎาคม 2569
