Ghost Stadium, la frode FIFA World Cup 2026 con 300 domini phishing

Ghost Stadium emerge come una delle campagne di frode più strutturate mai osservate contro un grande evento sportivo globale. L’operazione prende di mira la FIFA World Cup 2026 con oltre 300 domini phishing attivi, più di 4.300 domini fraudolenti registrati da agosto 2025 e un ecosistema criminale progettato per sottrarre credenziali, vendere biglietti premium contraffatti, monetizzare merchandise falso, streaming illegali e piattaforme di betting fraudolente. Secondo l’analisi attribuita a Group-IB, il threat actor cinese denominato GHOST STADIUM utilizza kit avanzati in React, clona in modo quasi perfetto il sito ufficiale FIFA e replica il flusso SSO PingIdentity per ingannare tifosi di tutto il mondo. L’impatto economico potenziale è enorme: solo sul segmento hospitality e biglietti premium, le perdite vengono stimate tra 65 milioni e 435 milioni di euro, mentre l’intero ecosistema di frodi parallele potrebbe raggiungere un impatto complessivo nell’ordine dei miliardi prima dell’inizio del torneo, fissato all’11 giugno 2026.

GHOST STADIUM clona FIFA con un kit React avanzato

Il cuore tecnico dell’operazione è un kit di phishing sviluppato in React e basato sul framework Layui 2.7.6, costruito per riprodurre con precisione l’aspetto del sito fifa.com e del programma hospitality On Location. Il clone non si limita a imitare colori, layout e struttura delle pagine, ma carica immagini e branding direttamente dalla CDN ufficiale FIFA, aumentando drasticamente la percezione di autenticità. Il codice contiene commenti in cinese, elemento che contribuisce all’attribuzione del gruppo a un ecosistema criminale di lingua cinese. Il kit supporta 11 lingue e tre varianti del cinese, integra Google Translate e usa un footer con link social reali della FIFA, così da ridurre ulteriormente i segnali di sospetto per l’utente. Gli annunci fraudolenti su Facebook condividono tre Meta Pixel ID e un Tawk.to Property ID comune, usati per tracciare le vittime, gestire chat live e collegare centinaia di domini alla stessa infrastruttura. Questo livello di cura tecnica mostra una frode industrializzata, non un phishing improvvisato. Ghost Stadium sfrutta la fiducia nel brand FIFA, l’urgenza legata alla disponibilità dei biglietti e la complessità del processo ufficiale di acquisto per costruire una trappola credibile, multilingue e scalabile.

Sei schemi fraudolenti operano nello stesso ecosistema

La campagna Ghost Stadium non si limita al furto delle credenziali FIFA, ma opera attraverso sei schemi paralleli integrati nella stessa architettura criminale. Il primo schema riguarda il phishing delle credenziali tramite pagine di login fake. Il secondo vende biglietti premium e pacchetti hospitality contraffatti con prezzi compresi tra 1.380 e 9.200 euro. Il terzo propone merchandise falso legato al Mondiale. Il quarto offre streaming illegali del torneo. Il quinto ospita piattaforme di scommesse e casinò fraudolenti. Il sesto intercetta credenziali in modo incidentale attraverso campagne infostealer.

La struttura include oltre 140 domini sospetti pronti all’attivazione e circa 3.800 domini parcheggiati destinati a futuri utilizzi. La divisione operativa coinvolge quattro attori distinti: GHOST STADIUM gestisce il phishing principale, TA-2 registra domini in massa, TA-3 opera nel segmento infostealer e TA-4 vende kit PhaaS sul dark web. La forza dell’ecosistema sta proprio nella modularità: anche se una parte viene bloccata, altre componenti possono restare attive, riattivarsi o cambiare funzione in base alla domanda, alle contromisure e al calendario del torneo.

Il phishing sfrutta Facebook, urgenza e falsi prezzi stracciati

Le vittime arrivano sui domini fraudolenti soprattutto tramite annunci Facebook che promettono biglietti ufficiali a prezzi irrealistici, spesso intorno ai 55 euro per posti che nel mercato reale valgono centinaia o migliaia di euro. I messaggi usano timer countdown, formule “primi arrivati, primi serviti” e riferimenti alla scarsità dei posti per forzare una decisione rapida. Altri utenti raggiungono i siti tramite ricerche Google o redirector tematici come football-ticket.top, registrato il 27 aprile 2026, insieme a varianti come football-ticket.shop, football-game.shop e football-tickets.top. Una volta entrata nel clone, la vittima seleziona partite, bundle o pacchetti hospitality e viene poi indirizzata verso una pagina di login che replica il flusso SSO PingIdentity.

Il sistema accetta qualsiasi combinazione email-password formalmente valida, cattura le credenziali e reindirizza silenziosamente l’utente verso fifa.com/auth per simulare un’autenticazione riuscita. Nel frattempo il kit raccoglie dati personali completi tramite richiesta POST, inclusi nome, cognome, email, telefono, indirizzo, città, provincia, CAP, paese e istruzioni di consegna. Il parametro p1:reset:userPassword può essere sfruttato per resettare la password reale dell’account FIFA e bloccare l’utente legittimo.

Il checkout fake monetizza con carte, app P2P e criptovalute

La fase di checkout è progettata per monetizzare la vittima attraverso più canali di pagamento, aumentando le possibilità di incasso e rendendo più difficile il recupero dei fondi. Il primo canale cattura direttamente i dati della carta di credito tramite una pagina “Secure Payment” che richiede nome intestatario, numero, scadenza e CVV. Gli identificativi degli ordini seguono il formato FWC2026XXXXXXXXX, costruito per apparire coerente con l’evento. Il secondo canale reindirizza verso gateway terzi come pay.zfxupi.net, con opzioni legate a Cash App e Chime.

Il terzo usa app peer-to-peer, compresi pagamenti Chime verso il cashtag $Paramjit-Bains o Nequi sul numero 3202059757 per vittime in America Latina. Il quarto sfrutta rail regionali come FIXYD per pagamenti messicani. Il quinto converte importi in criptovalute tramite Alchemy Pay, trasformando ad esempio circa 179 euro in 170 USDT su Binance Smart Chain. Nessun biglietto viene consegnato. Se l’account FIFA compromesso contiene biglietti reali, gli attaccanti possono invece prenderne controllo, cambiare credenziali e rivendere i titoli autentici sul mercato secondario.

Migliaia di credenziali FIFA circolano già sui mercati criminali

La campagna non parte da zero, perché nel dark web circolano già 2.513 coppie di credenziali associate ad account FIFA.com e FIFA.org. Parte di queste credenziali deriva da campagne Vidar e Lumma, due infostealer utilizzati per raccogliere dati da sistemi compromessi e rivenderli in pacchetti criminali. Ogni coppia viene offerta tra 4,60 e 46 euro, valore che può crescere se l’account contiene dati personali, cronologia acquisti o biglietti reali. Gli attaccanti possono usare questi accessi per takeover diretti, reset delle password, rivendita di biglietti autentici o ulteriori frodi legate all’identità del tifoso. I domini fraudolenti seguono pattern riconoscibili ma efficaci: fifa-com seguito da qualsiasi TLD, varianti www-fifa, pattern wc26-fifa e combinazioni simili. Tra gli esempi rilevati figurano fifa.bio, fifa.center, fifa.gold, fifa.red, fifa.sale, fifa.shopping, fifa.show, fifa.ski, fifa.black, fifa.cafe, fifa.fund, fifa.market, fifa.tax, fifa.cash, fifa.city, fifa.house, oltre a varianti come www-fifa.com.co o fifa-26-worldcup.com. Questa proliferazione dimostra che gli attaccanti puntano a presidiare ogni combinazione credibile prima del picco di domanda.

L’infrastruttura condivisa rivela il perimetro dell’operazione

L’infrastruttura Ghost Stadium mostra elementi condivisi che permettono di collegare centinaia di domini a una stessa regia operativa. Certificati SSL ricorrenti, Meta Pixel ID, Tawk.to Property ID e redirector comuni creano un footprint tecnico utile per il tracciamento. I domini football-ticket.top, football-ticket.shop, football-game.shop e football-tickets.top puntano allo stesso indirizzo IP 43.98.183.110, elemento che rafforza la correlazione tra le diverse componenti della campagna. La presenza di domini pre-registrati in massa da TA-2 suggerisce una pianificazione a lungo termine, con scenari futuri dedicati a streaming, betting, merchandise e ulteriori varianti di ticketing fraudolento. Il kit viene aggiornato regolarmente per mantenere l’efficacia contro filtri, blacklist e sistemi di detection. La tempistica è particolarmente pericolosa perché il picco di traffico è previsto tra giugno e luglio 2026, quando il torneo negli Stati Uniti, in Canada e in Messico attirerà milioni di tifosi alla ricerca di biglietti, pacchetti viaggio, streaming e prodotti ufficiali. I domini parcheggiati indicano che gli attaccanti intendono espandere l’operazione man mano che l’attenzione globale aumenterà.

Le perdite sui biglietti possono superare 400 milioni di euro

La stima economica della campagna mostra la scala industriale dell’operazione. Secondo il modello attribuito a Group-IB, la sola quota di domini dedicati a biglietti premium e hospitality, pari a circa il 25% dei domini attivi, può generare perdite comprese tra 65 milioni e 435 milioni di euro. Ogni vittima che acquista un pacchetto falso da 1.380 a 9.200 euro alimenta direttamente i ricavi degli attaccanti. Il danno complessivo può però superare ampiamente questa fascia se si considerano gli altri schemi paralleli: furto di carte, takeover di account FIFA, vendita di credenziali, merchandise contraffatto, streaming illegali, betting fraudolento e frodi secondarie basate sui dati personali raccolti. L’impatto reputazionale coinvolge inevitabilmente la FIFA, i partner commerciali, le piattaforme pubblicitarie e gli operatori di pagamento. La campagna dimostra come un evento globale possa diventare una superficie d’attacco economica e psicologica. L’entusiasmo per il Mondiale, la scarsità dei biglietti e la complessità dei canali ufficiali creano un ambiente perfetto per frodi ad alta conversione.

Tifosi, registrar e piattaforme pubblicitarie devono reagire prima del torneo

La difesa contro Ghost Stadium richiede interventi su più livelli. Gli utenti devono verificare sempre l’URL ufficiale prima di inserire credenziali o dati di pagamento, evitando domini che contengono pattern come fifa-com, www-fifa, wc26-fifa o varianti legate a football-ticket. I biglietti devono essere acquistati soltanto attraverso canali ufficiali FIFA e non tramite annunci social, chat live improvvisate o siti che promettono sconti irrealistici. Le piattaforme pubblicitarie devono rafforzare i controlli sugli annunci legati alla FIFA World Cup 2026, perché campagne sponsorizzate fraudolente trasformano i social network in acceleratori della truffa. I registrar e i provider DNS possono bloccare in modo proattivo domini già collegati all’infrastruttura o con pattern ad alto rischio. Le forze dell’ordine devono coordinare takedown, analisi dei flussi di pagamento, identificazione dei wallet crypto e cooperazione internazionale. La finestra temporale è stretta: più ci si avvicina all’11 giugno 2026, più la pressione psicologica sui tifosi aumenterà e più i domini dormienti potranno essere attivati. Ghost Stadium mostra che la frode sportiva non è più una truffa artigianale, ma un ecosistema criminale multilingue, automatizzato e pronto a monetizzare il più grande evento calcistico del pianeta.