Piala Dunia FIFA 2026 belum juga dimulai, tapi ancaman siber yang mengincar para penggemarnya sudah lebih dulu bergulir. Enam juta lebih penonton diperkirakan memadati 16 kota di Amerika Serikat, Kanada, dan Meksiko, sementara FIFA mencatat lebih dari 150 juta permintaan tiket hanya dalam 15 hari pertama.
Baca Juga: Gemini Bisa Dimanipulasi Cukup dengan Notifikasi WhatsApp Berbahasa Asing
Kelangkaan tiket, antusiasme tinggi, dan perputaran uang yang masif menciptakan target empuk bagi para penipu.
Dilansir dari The Hacker News, peneliti keamanan dan FBI telah mengeluarkan peringatan bahwa serangkaian penipuan bertema Piala Dunia sudah mulai menyasar para penggemar. Temuan ini mencakup ribuan domain palsu FIFA, malware perbankan yang disusupkan ke aplikasi streaming ilegal, serta upaya pencurian akun melalui halaman login tiruan yang sangat meyakinkan.
Baca Juga: Google Hadirkan Gemini Go untuk Ponsel Android Go, Asisten AI Ringan Kini Tersedia
Group-IB, perusahaan intelijen siber, melacak lebih dari 4.300 domain penipuan bertema FIFA yang terdaftar sejak Agustus 2025. Di balik sebagian besar situs ini, ada kelompok berbahasa Mandarin yang mereka sebut GHOST STADIUM, yang menjalankan satu perangkat phishing (phishing kit) di lebih dari 300 situs sekaligus.
Tiruan halaman login FIFA yang mereka buat nyaris sempurna. Situs palsu itu menyalin sistem single sign-on resmi FIFA yang dikelola PingIdentity, lengkap dengan client ID asli yang diambil dari situs sesungguhnya.
Gambar-gambar pun diambil langsung dari server FIFA, sehingga halaman tiruan terlihat autentik dan lolos dari deteksi alat keamanan yang biasa menandai gambar hasil salinan.
Bahaya terbesar ada pada fitur reset password yang disematkan di halaman login palsu tersebut. Begitu korban memasukkan kredensial, penyerang bisa langsung mengunci pemilik akun asli dan menjual kembali tiket yang terhubung dengan akun itu.
Sebagian besar lalu lintas ke situs-situs ini berasal dari iklan Facebook dengan kode pelacak yang sama di seluruh klaster, ditambah tautan di Telegram, WhatsApp, dan hasil mesin pencari. Pembayaran ditawarkan melalui lima metode, termasuk kartu kredit langsung, gateway pembayaran eksternal, aplikasi transfer seperti Chime dan Nequi, pemroses khusus Meksiko, serta opsi kripto yang mengubah pembayaran kartu menjadi mata uang digital—yang jauh lebih sulit dilacak dan dikembalikan.
Fakta bahwa FIFA tidak pernah menerima pembayaran kripto menjadi petunjuk penting: penjual yang meminta kripto sudah pasti penipu.
Group-IB memperkirakan kerugian dari penipuan tiket premium dan hospitality saja mencapai US$71 (kisaran Rp997.485) (kisaran Rp1,28 juta) juta hingga US$474 (kisaran Rp6,66 juta) (kisaran Rp8,55 juta) juta. Total kampanye penipuan ini diprediksi bisa menyentuh miliaran dolar, meskipun angka itu masih berupa estimasi berdasarkan infrastruktur yang terlihat.
Bagi yang mencari siaran gratis, ancaman lebih besar mengintai di ponsel. ThreatFabric mencatat lonjakan aplikasi streaming tidak resmi, banyak yang menyamar sebagai layanan populer seperti RojaDirecta, saat final Liga Champions lalu dan diperkirakan akan terulang dalam skala lebih besar selama Piala Dunia.
Kaspersky mengaitkan aplikasi-aplikasi tersebut dengan trojan perbankan Android, malware yang dirancang untuk menguras rekening bank dan dompet kripto. Dua keluarga malware yang disebut adalah Massiv dan Perseus.
Aplikasi ini tidak tersedia di Google Play, sehingga untuk memasangnya, pengguna harus mengabaikan peringatan keamanan yang seharusnya memblokirnya.
Setelah terinstal, malware memanfaatkan layanan aksesibilitas Android untuk mengambil alih perangkat. Malware bisa menampilkan layar login bank palsu di atas aplikasi asli, merekam ketikan, menyadap kode verifikasi dari SMS dan aplikasi autentikasi, serta mengendalikan layar dari jarak jauh.
Perseus, yang dibangun dari kode bocor trojan lawas bernama Cerberus, bahkan membaca aplikasi catatan untuk mencari kata sandi dan frasa pemulihan dompet kripto. Tanda bahaya paling sederhana, menurut ThreatFabric, adalah jika aplikasi streaming meminta izin aksesibilitas—tidak ada alasan jujur yang memerlukan izin tersebut.
Media sosial tak kalah dipenuhi penipuan. Bitdefender menemukan lebih dari 55 kampanye iklan bertema sepak bola di Facebook dan Instagram yang mempromosikan perlengkapan palsu, stiker Panini tiruan, dan halaman phishing.
Fortinet menghitung lebih dari 1.700 akun FIFA palsu, hampir 90% di antaranya di Facebook dan Instagram, serta skema penipuan lowongan kerja FIFA palsu yang mengarahkan pelamar ke halaman login Google tiruan.
Data login akun FIFA yang dicuri sudah beredar luas. Fortinet menemukan ratusan ribu kredensial pengguna serta lebih dari 4.600 alamat web FIFA dalam kumpulan data yang diserap oleh malware pencuri data seperti Vidar, LummaC2, dan RedLine.
Jaringan Wi-Fi di kota-kota tuan rumah juga menjadi celah. Survei Kaspersky di Mexico City, Monterrey, dan Guadalajara menunjukkan 10% hingga 12% jaringan bersifat terbuka tanpa sandi, sementara fitur WPS masih aktif di hampir setengahnya. Kondisi ini memudahkan pembuatan hotspot “evil twin” yang meniru jaringan asli dan menyadap lalu lintas data secara diam-diam.
Penipuan ini meninggalkan jejak yang bisa dikenali. Selalu beli tiket hanya melalui fifa.com, dan ketik sendiri alamatnya alih-alih mengklik iklan atau hasil pencarian.
Aktifkan autentikasi multifaktor, dan anggap setiap penjual yang meminta pembayaran kripto sebagai penipu, karena FIFA tidak pernah menerima mata uang digital.
Pada perangkat Android, tanda bahaya paling jelas adalah aplikasi streaming yang meminta izin aksesibilitas tanpa alasan. Di jaringan Wi-Fi terbuka di kota tuan rumah, gunakan data seluler sedapat mungkin, dan hindari login ke akun bank atau email penting.
Bagi tim keamanan, langkah antisipasi meliputi pemantauan domain bertema FIFA baru dan halaman login tiruan, pengecekan kredensial pengguna atau karyawan yang muncul di log pencuri data Vidar, LummaC2, atau RedLine, serta kesiapan tim fraud menghadapi lonjakan sengketa tiket dan tagihan hingga pertengahan Juli.
Meta mengaku sudah merespons dengan menampilkan pop-up peringatan saat orang mencari tiket FIFA di Facebook, serta bekerja sama dengan Visa untuk menutup jaringan Facebook yang terkait situs Piala Dunia palsu dan perjudian ilegal. FBI meminta siapa pun yang menjadi korban untuk melaporkannya ke IC3.
Kekhawatiran lebih besar justru pada apa yang masih menanti. Group-IB menghitung sekitar 3.800 domain penipuan FIFA yang masih menganggur, siap diaktifkan.
Baca Juga: Serangan Rantai Pasok Sisipkan Penambang Kripto di Hola Browser
Dengan perangkat scam siap pakai dan bot pembeli tiket yang sudah dijual bebas, jendela sibuk sudah bisa diprediksi: 11 Juni hingga 19 Juli, saat pencarian tiket, siaran, dan perjalanan mencapai puncaknya.
Leave a Comment