FIFA 월드컵 2026 사기, 이미 진행 중: 가짜 사이트·뱅킹 악성코드·도난 로그인
출처: The Hacker News
보안 연구원과 FBI는 6월 11일 개막을 앞두고 이미 월드컵 2026 팬들을 대상으로 한 FIFA 테마 사기 물결이 일고 있다고 경고하고 있다.
최근 보고서에 따르면 수천 개의 유사 FIFA 도메인, 해적 스트리밍 앱에 숨겨진 은행 악성코드, 그리고 실제 계정을 탈취할 정도로 FIFA 로그인 페이지를 복제한 최소 한 건의 운영이 확인되었다.
이는 명백한 표적이다. 미국, 캐나다, 멕시코 16개 도시에서 600만 명이 넘는 팬이 몰릴 것으로 예상되며, FIFA는 첫 15일 동안 1억 5천만 건 이상의 티켓 요청을 받았다고 밝혔다. 이는 대회가 약 30배 초과 신청된 셈이다. 티켓은 부족하고, 팬들은 초조해하며, 돈이 빠르게 움직이고 있다. 바로 사기가 필요로 하는 조건이다.
한 운영자, 300개의 복제 FIFA 사이트
가장 상세한 조사 결과는 Group‑IB가 제공한다. 이들은 2025년 8월 이후 등록된 4,300개 이상의 사기 FIFA 도메인을 추적했다. 그 중심에 GHOST STADIUM이라 명명된, 중국어를 사용하는 금전 중심의 조직이 있다. 이 조직은 300개가 넘는 사이트에 동일한 피싱 키트를 운영하고 있다.
가짜 사이트는 매우 정교하다. 페이지는 fifa.com을 거의 완벽하게 복제했으며, PingIdentity가 제공하는 FIFA의 실제 싱글 사인온 로그인까지 그대로 구현했다. 실제 사이트에서 복사한 클라이언트 ID까지 그대로 사용한다. 이미지도 FIFA 자체 서버에서 직접 로드하기 때문에 페이지는 진짜처럼 보이며, 복제 이미지를 차단하는 도구도 속인다.
피해를 입히는 핵심은 다음이다: 가짜 로그인 페이지는 비밀번호 재설정도 요구한다. 피해자가 정보를 입력하면 공격자는 해당 FIFA 계정에 대한 접근을 차단하고, 연계된 티켓을 재판매할 수 있다.
대부분의 트래픽은 페이스북 광고에서 유입되며, 동일한 추적 코드가 전체 클러스터에 재사용된다. 텔레그램, 왓츠앱, 검색 결과에서도 링크가 공유된다. 사이트는 다섯 가지 결제 방식을 지원한다: 직접 카드 입력, 외부 결제 게이트웨이, Chime·Nequi 같은 송금 앱, 멕시코 전용 결제 프로세서, 그리고 카드를 암호화폐로 변환하는 옵션. 마지막 방식은 복구가 매우 어렵다.
FIFA 공식 티켓 판매는 절대 암호화폐를 받지 않으므로, 암호화폐를 요구하는 판매자는 사기임을 쉽게 알 수 있다.
Group‑IB는 프리미엄 및 VIP 티켓 사기만으로도 손실이 7100만 달러에서 4억 7400만 달러 사이이며, 전체 캠페인 규모는 수십억 달러에 이를 수 있다고 추정한다. 이는 보이는 인프라를 기반으로 한 추정치이며, 실제 손실이 확인된 것은 아니다.
수천 개 도메인, 다양한 사기 유형
Group‑IB만이 아니다. FortiGuard Labs는 1월부터 5월 사이에 등록된 월드컵 테마 도메인이 13,000개를 넘어섰으며, 그 중 약 8.8%가 악성 또는 의심스러운 것으로 판단했다고 밝혔다.
FBI 권고문에는 오타가 난 유사 도메인부터 가짜 FIFA 채용 페이지까지 수십 개의 가짜 FIFA 도메인이 열거돼 있으며, 더 많은 도메인이 등장할 것이라고 경고한다. 다른 연구진도 수천 개의 유사 사이트와 천 개가 넘는 가짜 소셜 계정을 매핑했다.
티켓 사기는 전체 사기의 일부분에 불과하다. Group‑IB는 가짜 상품 판매점, 구독료를 받고 악성코드를 설치해 공격자에게 제어권을 넘겨주는 가짜 스트리밍 사이트, 여권 스캔과 셀카를 수집해 신원 도용을 시도하는 가짜 베팅 사이트까지 발견했다.
Bitdefender는 FIFA 복권 이메일을 별도로 추적했으며, 이 이메일은 최대 200만 달러의 상금을 약속한다. Group‑IB는 또한 “피싱‑어‑서비스” 시장을 적발했는데, 여기서는 이미 만들어진 사기 키트와 티켓 구매 봇을 판매한다. 따라서 한 운영자를 차단한다고 해서 전체 사기가 크게 감소하지는 않는다.
](