รายงานวิจัยจาก FortiGuard Labs ชี้ มิจฉาชีพจับกระแส FIFA World Cup 2026 สร้างกลลวงและล้วงข้อมูลตัวตน

โดย FortiGuard Labs

การแข่งขันฟุตบอลโลก FIFA World Cup 2026 ที่กำลังจะเริ่มต้นขึ้นในวันที่ 11 มิถุนายนนี้ ถือเป็นมหกรรมกีฬาระดับโลกครั้งยิ่งใหญ่ที่เป็นศูนย์รวมของบรรดาแฟนบอล ทีมฟุตบอล ผู้สนับสนุน สถานีโทรทัศน์ผู้ถ่ายทอดสด ธุรกิจบริการและการท่องเที่ยว ตลอดจนภาคธุรกิจอื่นๆ ขณะที่อีกมุม คือมหกรรมครั้งสำคัญของเหล่าอาชญากรไซเบอร์ในการฉกฉวยโอกาสเช่นกัน

มหกรรมกีฬาระดับนานาชาติครั้งยิ่งใหญ่มักมาพร้อมความตื่นเต้นและการตั้งตารอ อีกทั้งดึงดูดให้คนค้นหาข้อมูลบนอินเทอร์เน็ตจำนวนมาก กระตุ้นการมีส่วนร่วมของแฟนบอล และผลักดันให้เกิดการทำธุรกรรมผ่านระบบดิจิทัลขนานใหญ่ โดยแฟนบอลต่างพากันค้นหาตั๋วเข้าชม ส่องข้อเสนอการเดินทาง สินค้าที่ระลึก ช่องทางถ่ายทอดสด เว็บไซต์พนันออนไลน์ ตำแหน่งงานว่าง ตลอดจนข้อมูลอัปเดตเกี่ยวกับการแข่งขัน ในขณะเดียวกันฟากองค์กรและหน่วยงานต่างๆ ก็กำลังวุ่นวายกับการเตรียมพร้อมด้านโลจิสติกส์ การจัดสรรบุคลากร การจัดการการเดินทาง การบริการลูกค้า กิจกรรมสื่อมวลชนและการประสานงานกับพันธมิตรต่างๆ ซึ่งกลุ่มมิจฉาชีพเอง ก็คาดเดาสถานการณ์เหล่านี้ไว้ล่วงหน้า และเริ่มลงมือฉวยโอกาสหาประโยชน์จากช่องโหว่เป็นที่เรียบร้อย

ผลการวิจัยล่าสุดจาก FortiGuard Labs เผยให้เห็นว่า โครงสร้างพื้นฐานของกลุ่มอาชญากรไซเบอร์ที่เชื่อมโยงกับการแข่งขันฟุตบอลโลก FIFA World Cup 2026 ได้เริ่มเปิดฉากดำเนินการแล้ว โดยในช่วงเดือนมกราคมถึงพฤษภาคม 2569 ที่ผ่านมา พบว่ามีการจดทะเบียนโดเมนเนมใหม่ที่แอบอ้างธีมการแข่งขันฟุตบอลโลก 2026 มากกว่า 13,000 โดเมน และจากการวิเคราะห์รูปแบบพฤติกรรมรวมถึงกิจกรรมการหลอกลวงพบว่า มีโดเมนเนมประมาณ 8.8% ที่ถูกระบุว่าเป็นโดเมนอันตราย หรือต้องสงสัย

ปริมาณการตรวจพบดังกล่าวแสดงให้เห็นว่า กลุ่มผู้ไม่หวังดีไม่ได้รีรอให้เปิดสนามก่อนค่อยลงมือ แต่ดำเนินการไปแล้วต่างหาก

ภาพรวมภัยคุกคามที่เติบโตอย่างรวดเร็ว

ผลการวิจัยของ FortiGuard Labs เผยให้เห็นว่า การจดทะเบียนโดเมนเนมที่แอบอ้างธีม FIFA มีจำนวนเพิ่มขึ้นอย่างมีนัยสำคัญตั้งแต่ช่วงเดือนมีนาคมถึงพฤษภาคม 2569 โดยพบว่ามีหลายโดเมนเนมได้นำแบรนด์ของ FIFA ไปใช้ในทางที่ผิด และมีการใช้คำที่เกี่ยวข้องกับการจำหน่ายตั๋วเข้าชม บริการสตรีมมิง แพลตฟอร์มการพนัน รวมถึงบริการด้านการท่องเที่ยวและที่พัก

กลุ่มผู้ไม่หวังดีได้สร้างเว็บไซต์ปลอมขึ้นมาหลายร้อยเว็บไซต์ ให้ดูแนบเนียนและน่าเชื่อถือพอที่จะหลอกให้แฟนฟุตบอลตายใจได้ในช่วงเวลาแค่เพียงไม่กี่วินาทีขณะที่กำลังค้นหาตั๋วเข้าชม ช่องทางปล่อยตั๋วต่อ ลิงก์ถ่ายทอดสดการแข่งขัน แพ็กเกจท่องเที่ยว หรือสินค้าลิขสิทธิ์แท้ ซึ่งช่วงเวลาเพียงไม่กี่วินาทีนั้น ก็นับว่าเพียงพอแล้วสำหรับกลุ่มมิจฉาชีพในการหลอกลวงเหยื่อ

รายงานฉบับดังกล่าวระบุถึงภัยคุกคามหลักที่ใช้ธีม FIFA หลอกลวงในหลายรูปแบบ ดังนี้

·     เว็บไซต์ฟิชชิงและเว็บไซต์ขายตั๋วปลอม

·     กลโกงหลอกขายตั๋วต่อที่โฆษณาผ่าน Telegram และช่องทางอื่นๆ

·     ร้านค้าออนไลน์ปลอมที่หลอกขายสินค้าลิขสิทธิ์

·     แอปพลิเคชันสตรีมมิงและการพนันออนไลน์ที่เป็นอันตราย

·     การหลอกให้ดาวน์โหลดไฟล์ติดตั้งสำหรับ Android (APK) จากภายนอก ซึ่งมีความเสี่ยงต่อการติดมัลแวร์

·     บัญชีโซเชียลมีเดียปลอมที่สร้างขึ้นเพื่อแอบอ้างเป็นบัญชีทางการ

·     การประกาศรับสมัครงานปลอมเพื่อล่อลวงเหยื่อ

·     กลโกงหลอกลวงด้านคริปโทเคอร์เรนซีและการแจกเหรียญปลอม

·     การเปิดเผยข้อมูลยืนยันตัวตนที่เชื่อมโยงกับมัลแวร์ขโมยข้อมูล และข้อมูลที่เคยโดนเจาะในอดีต

สิ่งเหล่านี้ชี้ให้เห็นถึงการเติบโตของระบบนิเวศอาชญากรรมไซเบอร์ในวงกว้าง โดยมีศูนย์กลางอยู่ที่การแข่งขันฟุตบอลโลกครั้งนี้ ซึ่งภัยคุกคามดังกล่าวขยายวงออกไปไกล ไม่ได้จำกัดอยู่แค่กลโกงรูปแบบใดรูปแบบหนึ่ง แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือพุ่งเป้าไปที่เหยื่อกลุ่มใดกลุ่มหนึ่งเท่านั้น

การหลอกขายตั๋วปลอมยังคงเป็นกลลวงที่เสี่ยงสูงสุด

กลโกงหลอกขายตั๋วเข้าชมถือเป็นหนึ่งในภัยคุกคามที่เห็นได้ชัดเจนที่สุด เพราะกลุ่มมิจฉาชีพสบช่องจากจำนวนตั๋วที่มีอยู่อย่างจำกัด ทำให้แฟนบอลที่ไม่สามารถซื้อตั๋วผ่านช่องทางที่เป็นทางการได้ หันไปพึ่งเว็บไซต์หรือกลุ่มต่างๆ บนโซเชียลที่นำตั๋วมาขายต่อ ทั้งทาง Telegram โฆษณาบนเสิร์ชเอนจิน หรือตลาดซื้อขายระหว่างบุคคล ซึ่งมิจฉาชีพฉวยโอกาสจากความร้อนรนของแฟนบอล ด้วยการโปรโมทส่วนลดแบบจำกัดเวลาซื้อเพื่อกดดันให้เหยื่อรีบตัดสินใจ

FortiGuard Labs ตรวจพบเว็บไซต์จำหน่ายตั๋วปลอมจำนวนมากที่ลอกเลียนแบบหน้าเว็บไซต์ทางการของ FIFA โดยมีวัตถุประสงค์เพื่อเก็บข้อมูลส่วนตัว ข้อมูลการเข้าระบบ ข้อมูลเรียกเก็บเงินและข้อมูลการชำระเงิน เช่น มีการตรวจพบโดเมนเนมแห่งหนึ่งที่จดทะเบียนเมื่อเดือนพฤษภาคม 2569 ที่ผ่านมา ซึ่งได้ทำการคัดลอกเนื้อหาของ FIFA มาทั้งหมดและใช้ระบบชำระเงินปลอมเพื่อขโมยข้อมูลส่วนตัวที่สำคัญของเหยื่อ

นอกจากนี้ ในรายงานยังระบุถึงกลโกงการหลอกขายตั๋วเข้าชมการแข่งขันที่โฆษณาอยู่บนเว็บใต้ดินและช่องทาง Telegram โดยบางแคมเปญมีการจัดแพ็กรวมโดยเสนอทั้งตั๋วปลอมบวกตั๋วเครื่องบินและที่พักปลอม เพื่อมอบข้อเสนอที่อำนวยความสะดวกได้แบบครบวงจรและดูน่าเชื่อถือมากยิ่งขึ้น

กลโกงเหล่านี้นับว่าใช้ได้ผลดี เพราะมิจฉาชีพคิดมาดีแล้วถึงพฤติกรรมทั่วไปของแฟนบอล ที่มักจะพยายามกดซื้อตั๋วให้ได้ และไม่ได้คิดเยอะเหมือนนักวิเคราะห์ด้านความปลอดภัย แค่พยายามจองที่นั่งให้ทันก่อนตั๋วหมดนั่นเอง

การแอบอ้างตัวตนบนโซเชียลมีเดีย เพื่อขยายวงการโจมตี

FortiGuard Labs ตรวจพบบัญชีผู้ใช้และช่องทางติดต่อบนสื่อสังคมออนไลน์รวมถึงแพลตฟอร์มส่งข้อความที่ต้องสงสัยว่ามีการแอบอ้างตัวตนและมีความเชื่อมโยงกับ FIFA รวมกันมากกว่า 1,700 บัญชี เกือบ 90% ของกรณีที่ตรวจพบเหล่านี้อยู่บนแพลตฟอร์ม Facebook และ Instagram

บัญชีปลอมเหล่านี้สามารถนำไปใช้เป็นเครื่องมือในการทำโปรโมชันหลอกลวง หลอกขายตั๋วปลอม การแชร์ลิงก์ลวงการถ่ายทอดสด การทำฟิชชิง แพร่กระจายข้อมูลเท็จ ตลอดจนแพร่กระจายมัลแวร์ บัญชีเหล่านี้ยังช่วยให้มิจฉาชีพมีช่องทางที่ใช้ต้นทุนต่ำในการเข้าถึงและติดต่อกับแฟนบอลโดยตรง เนื่องจากแฟนบอลมักเข้ามาพูดคุยแลกเปลี่ยนข้อมูลเกี่ยวกับทีมฟุตบอล การแข่งขัน แผนการเดินทางและการหาซื้อตั๋วกันอย่างแพร่หลายอยู่แล้วบนพื้นที่เหล่านี้

กลโกงบนโซเชียลมีเดียมักมีความแนบเนียนและน่าเชื่อถือเป็นพิเศษ เนื่องจากรูปแบบการหลอกลวงเหล่านั้นมักแฝงอยู่ในบทสนทนาปกติของผู้ใช้งานทั่วไป เช่น มิจฉาชีพที่ปลอมตัวเป็นคนขายตั๋วแฝงตัวเข้ามาในกลุ่มแฟนบอล การแชร์ลิงก์ดูบอลสดหลอก ๆ ในช่วงเวลาก่อนเริ่มการแข่งขันเพียงไม่กี่นาที หรือการสร้างบัญชีผู้ใช้ที่ตกแต่งด้วยอัตลักษณ์ของแบรนด์ FIFA ซึ่งสิ่งเหล่านี้ดูน่าเชื่อถือมากพอที่จะกระตุ้นให้ผู้ใช้งานหลงกดลิงก์เข้าไปได้ง่ายๆ

มัลแวร์ อีกหนึ่งภัยคุกคามของมหกรรมระดับโลก

รายงานฉบับนี้มุ่งเน้นที่แอปพลิเคชันอันตรายที่เชื่อมโยงกับกิจกรรมฟุตบอลโลก โดยมีการตรวจพบไฟล์รันโปรแกรมที่ชื่อว่า ‘1xbet.exe’ ซึ่งมีพฤติกรรมฝังตัวในระบบระยะยาว มีการสื่อสารแบบเข้ารหัสและมีแนวโน้มเข้าข่ายพฤติกรรมของแรนซัมแวร์ นอกจากนี้ FortiGuard Labs ยังพบไฟล์ติดตั้งสำหรับระบบปฏิบัติการ Android หรือไฟล์ APK ที่น่าสงสัยและแอบอ้างธีม FIFA บนเว็บไซต์ดาวน์โหลดจากภายนอกอีกด้วย

ประเด็นนี้ถือเป็นเรื่องที่สำคัญอย่างยิ่ง เนื่องจากมหกรรมกีฬารายการใหญ่ๆ ทำให้ความต้องการใช้แอปพนันออนไลน์ เครื่องมือสำหรับดูสตรีมมิงสด แอปติดตามผลคะแนนการแข่งขันและแอปพลิเคชันส่งเสริมการขายต่างๆ พุ่งสูงตามไปด้วย กลุ่มผู้โจมตีจึงอาศัยความต้องการเหล่านี้ในการแพร่กระจายซอฟต์แวร์ปลอม หรือซอฟต์แวร์ที่ฝังมัลแวร์โทรจันที่ดูภายนอกเหมือนเป็นแอปพลิเคชันถูกกฎหมาย

การติดตั้งแอปพลิเคชันจากแหล่งที่ไม่เป็นทางการ อาจส่งผลให้อุปกรณ์ตกเป็นเป้าหมายของสปายแวร์ การโจรกรรมข้อมูลระบุตัวตน เครื่องมือเข้าถึงระบบจากระยะไกล หรือมัลแวร์ประเภทอื่นๆ ความเสี่ยงเหล่านี้ยิ่งเพิ่มเมื่อผู้ใช้งานมองข้ามคำเตือนด้านความปลอดภัย เพียงเพื่อต้องการเข้าถึงลิงก์สตรีมมิงการแข่งขัน โปรโมชัน หรือแพลตฟอร์มการพนันออนไลน์

ประกาศรับสมัครงานปลอม พุ่งเป้าลวงผู้ที่กำลังมองหาโอกาส

การแข่งขันฟุตบอลโลกยังทำให้เกิดการจ้างงานจำนวนมาก ไม่ว่าจะเป็นพนักงานชั่วคราว ผู้รับเหมา พนักงานบริการต้อนรับ บุคลากรด้านโลจิสติกส์ ทีมสนับสนุนสื่อมวลชน รวมถึงตำแหน่งงานเฉพาะกิจอื่นๆ สำหรับงานอีเวนต์ ซึ่งความต้องการแรงงานที่พุ่งสูงขึ้นนี้เป็นอีกหนึ่งเป้าหมายล่อตาล่อใจให้กลุ่มมิจฉาชีพเข้ามาฉวยโอกาสหลอกลวง

ตัวอย่างเช่น FortiGuard Labs ได้ตรวจพบกลโกงขโมยข้อมูลบัญชีผู้ใช้ ที่ใช้การประกาศรับสมัครงานปลอมที่แอบอ้างความเกี่ยวข้องกับ FIFA รวมถึงโพสต์รับสมัครงานของบริษัทผู้สนับสนุนการแข่งขัน โดยกลุ่มผู้โจมตีส่งคำเชิญเข้าร่วมปฏิทินกิจกรรมและล่อลวงเหยื่อไปยังเว็บไซต์ฟิชชิงที่มีหน้าล็อกอินเข้าระบบ Google ปลอม เมื่อเหยื่อกรอกข้อมูลบัญชีและรหัสผ่านลงไป ระบบจะแสดงข้อความแจ้งเตือนข้อผิดพลาดทั่วไป ทำให้ผู้โจมตีสามารถดักขโมยข้อมูลของเหยื่อได้

จากรายงานวิจัยตรวจสอบพบว่า มีโดเมนเนมจำนวนมากที่แอบอ้างเป็น FIFA บริษัทผู้สนับสนุนและองค์กรในเครือ ต่างใช้รหัสติดตามข้อมูลของ Google Analytics ตัวเดียวกัน เป็นหลักฐานที่ชี้ว่าการโจมตีมีการวางแผนร่วมกันเป็นขบวนการ ยิ่งไปกว่านั้นกระบวนการขโมยข้อมูลระบุตัวตนในครั้งนี้ยังมีการเรียกใช้งาน API ของโฮสต์ที่อยู่บนบริการ Render สะท้อนให้เห็นว่า กลุ่มผู้โจมตีสามารถใช้ประโยชน์จากบริการคลาวด์ที่ถูกต้องตามกฎหมายเพื่อวางระบบโครงสร้างพื้นฐานล่อลวงได้อย่างง่ายดายยิ่งขึ้น ทำให้แยกแยะความแตกต่างจากกิจกรรมของเว็บปกติทั่วไปได้ยาก

ข้อมูลระบุตัวตนรั่วไหล เพิ่มความเสี่ยงรุนแรงขึ้น

รายงานฉบับนี้ยังพบหลักฐานการเคลื่อนไหวที่เชื่อมโยงกับ FIFA ภายในข้อมูลบันทึกระบบ (Logs) ของมัลแวร์ขโมยข้อมูล โดย FortiGuard Labs สามารถตรวจพบ URL ที่เกี่ยวข้องกับ FIFA มากกว่า 4,600 รายการ ที่เชื่อมโยงกับตระกูลมัลแวร์ขโมยข้อมูลชื่อดังอย่าง Vidar, LummaC2 และ RedLine นอกจากนี้ผลการวิจัยยังเผยให้เห็นว่ามีข้อมูลบัญชีผู้ใช้และรหัสผ่านของพนักงาน FIFA รั่วไหลมากกว่า 260 บัญชี รวมถึงข้อมูลระบุตัวตนของผู้ใช้งานและบรรดาแฟนบอลที่เข้าไปเยี่ยมชมเว็บไซต์ที่เกี่ยวข้องกับ FIFA อีกกว่า 270,000 บัญชี ปรากฏอยู่ในข้อมูลบันทึกระบบของมัลแวร์ขโมยข้อมูลดังกล่าวด้วย

นอกจากนี้ FortiGuard Labs ยังตรวจพบข้อมูลบัญชีรายชื่อของพนักงานและองค์กรที่เกี่ยวข้องกับ FIFA อีกมากกว่า 1,500 รายการ ปรากฏอยู่ในชุดข้อมูลที่เคยถูกเจาะและมีข้อมูลรั่วไหลในอดีต

แต่ไม่ได้หมายความว่าบัญชีผู้ใช้ที่รั่วไหลทั้งหมดกำลังถูกโจมตีในปัจจุบัน อย่างไรก็ตามก็ทำให้กลุ่มมิจฉาชีพมีข้อมูลที่สามารถนำไปใช้ในการโจมตีแบบสุ่มกรอกรหัสผ่าน การยึดบัญชีผู้ใช้ การทำฟิชชิงแบบเจาะจงเป้าหมาย การแอบอ้างตัวตน ตลอดจนการทุจริตหลอกลวงรูปแบบอื่นๆ ได้ ซึ่งในช่วงเวลาของมหกรรมระดับโลกที่อยู่ในความสนใจผู้คนเป็นอย่างสูงเช่นนี้ แม้จะเป็นข้อมูลยืนยันตัวตนที่ล้าสมัย ก็ยังอาจถูกนำมาใช้ประโยชน์ในการโจมตีได้ หากนำมาใช้ร่วมกับกลวิธีและการล่อลวงด้วยวิศวกรรมโซเชียลรูปแบบใหม่ๆ

สิ่งที่ควรทำทันที

ภาพรวมภัยคุกคามในศึกฟุตบอลโลก 2026 เป็นสิ่งเตือนใจว่า อีเวนต์สำคัญๆ มักสร้างความเสี่ยงทางไซเบอร์ได้ล่วงหน้าก่อนที่การแข่งขันจริงจะเริ่ม ด้วยเหตุนี้องค์กรต่างๆ ทั้งในภาคการกีฬา การท่องเที่ยว ธุรกิจบริการ สื่อมวลชน ภาคค้าปลีก ภาคการเงิน หน่วยงานภาครัฐ ภาคคมนาคม ตลอดจนโครงสร้างพื้นฐานที่สำคัญ ต้องเริ่มเตรียมความพร้อมล่วงหน้าเพื่อป้องกันระบบของตนเอง

ทีมรักษาความปลอดภัยไซเบอร์จำเป็นต้องเฝ้าระวังและตรวจสอบโดเมนที่มีชื่อคล้ายกัน การแอบอ้างใช้อัตลักษณ์แบรนด์ โฆษณาที่เป็นอันตราย บัญชีปลอมบนโซเชียลมีเดีย ตลอดจนการรั่วไหลของข้อมูลระบุตัวตนของพนักงาน รวมถึงพันธมิตรทางธุรกิจและลูกค้า นอกจากนี้ควรทำการประเมินระบบป้องกันการโจมตีรูปแบบต่างๆ ไม่ว่าจะเป็นฟิชชิง มัลแวร์ การโจรกรรมข้อมูลบัญชีผู้ใช้และการลักลอบยึดบัญชี

การสร้างความตระหนักรู้และการให้ความรู้แก่ผู้ใช้งานถือเป็นสิ่งสำคัญที่ไม่ควรมองข้าม ควรมีการย้ำเตือนทั้งแฟนฟุตบอลและพนักงานให้เลือกใช้ช่องทางจำหน่ายตั๋วอย่างเป็นทางการเท่านั้น หลีกเลี่ยงการดาวน์โหลดไฟล์ APK จากเว็บไซต์ภายนอก เพิ่มความระมัดระวังเป็นพิเศษเมื่อต้องกดลิงก์ดูการถ่ายทอดสดฟุตบอล รวมถึงตรวจสอบข้อมูลการรับสมัครงานผ่านทางเว็บไซต์หลักอย่างเป็นทางการ และพึงระวังคำร้องขอให้โอนเงินด่วนที่มีพฤติกรรมน่าสงสัยทุกรูปแบบ

สำหรับทีมป้องกันที่ดูแลความปลอดภัยระบบ บทเรียนสำคัญที่สุดที่ตรงไปตรงมาคือ ผู้โจมตีมักจะฉวยโอกาสจากสิ่งที่เป็นกระแสและอยู่ในความสนใจของผู้คนเสมอ ในขณะที่ FIFA World Cup 2026 กำลังดึงดูดความสนใจจากคนทั่วโลก อาชญากรไซเบอร์เหล่านี้ก็กำลังวางระบบโครงสร้างพื้นฐานเพื่อแสวงหาประโยชน์ไว้ล่วงหน้าแล้ว ดังนั้นสิ่งที่ต้องทำในตอนนี้คือการเตรียมพร้อมรับมือให้ทันท่วงที

อ่านรายงานฉบับเต็ม: รายงาน FIFA World Cup 2026: Cyberthreat Landscape Report จาก FortiGuard Labs นำเสนอการวิเคราะห์เชิงลึกเกี่ยวกับโดเมนที่จดทะเบียนใหม่ โครงสร้างพื้นฐานที่เป็นอันตราย บัญชีปลอมที่แอบอ้าง การหลอกลวงจำหน่ายตั๋วปลอม การหลอกลวงรับสมัครงาน กิจกรรมของมัลแวร์ การรั่วไหลของข้อมูลยืนยันตัวตน ความเคลื่อนไหวบนฟอรัมใต้ดิน และการนำโครงสร้างพื้นฐานกลับมาใช้ซ้ำ ซึ่งล้วนเชื่อมโยงกับแคมเปญภัยคุกคามทางไซเบอร์ที่อาศัยกระแสการแข่งขันฟุตบอลโลกเป็นเหยื่อล่อในการโจมตี