Des milliers de sites frauduleux ont déjà été identifiés par les équipes de cybersécurité, anticipant les arnaques qui exploseront dès le coup d’envoi de la Coupe du monde FIFA 2026.
Faux portails officiels et boutiques contrefaites
Fortinet et Check Point ont relevé plus de 13 000 domaines enregistrés entre janvier et mai, dont près de 8 % affichent des comportements malveillants. Ces adresses imitent l’apparence du site de la FIFA ou de ses boutiques, exploitant les mots‑clés du tournoi pour capter le trafic.
Leur objectif principal consiste à soutirer cartes de paiement, identités et identifiants de connexion en proposant de faux billets, des forfaits « tout‑inclu » ou des marchandises officielles inexistantes. La technique, qualifiée de « fraude carte non présente », a déjà fait des ravages lors de la Coupe du monde 2022 et des Jeux olympiques de Paris 2024.
En outre, des groupes sur Telegram diffusent des « packages » incluant billets, hébergement et transport, avec un sens d’urgence renforcé pour pousser à la saisie immédiate des données bancaires.
Escroqueries via messagerie et plateformes de billetterie
Les cybercriminels orientent les victimes vers des pages de paiement factices hébergées sur des sites de billetterie factices. Après la saisie des informations, une fausse facture est générée, laissant la victime croire à une transaction légitime.
Ces victimes sont souvent ciblées quelques minutes avant le lancement d’un match, lorsqu’elles sont les plus réactives et susceptibles de céder à la pression de l’urgence.
Profils illégitimes et offres d’emploi factices sur les réseaux sociaux
Environ 1 700 comptes non officiels ont été repérés sur Facebook et Instagram, usurpant la marque FIFA pour diffuser désinformation, promotions frauduleuses et tentatives de phishing. Sur LinkedIn, des annonces d’emploi falsifiées promettent des missions temporaires dans l’événementiel, l’hôtellerie ou la logistique, mais redirigent les candidats vers des formulaires de collecte de données personnelles.
Les plateformes X, Telegram et Facebook relayent également des liens vers des services de streaming prétendant diffuser en direct des rencontres, souvent accompagnés d’une demande d’installation d’un lecteur « officiel » contenant des logiciels malveillants.
Arnaques autour du pari sportif et du streaming
Des imitateurs de sites de paris sportifs créent des applications truquées ou des versions infectées de chevaux de Troie, incitant les supporters à placer des mises sur des plateformes inexistantes. Ces faux services sont généralement promus dans des groupes fermés ou des canaux thématiques peu modérés.
Les fans alertés sur Reddit marquent rapidement ces escroqueries, mais la rapidité de diffusion rend la détection difficile pour les modérateurs.
Recommandations pratiques pour éviter les pièges
Check Point conseille de vérifier scrupuleusement le nom de domaine et l’adresse e‑mail avant tout clic. Les forfaits d’hospitalité ne doivent être réservés que via le partenaire officiel « On Location » ou directement auprès de l’hôtel concerné.
Pour tout paiement en ligne, privilégiez la carte de crédit, dont les mécanismes de protection contre la fraude sont supérieurs à ceux des cartes de débit.
Avant de se rendre dans les stades, assurez‑vous que le système d’exploitation du smartphone et les applications installées sont à jour, limitant ainsi les possibilités d’exploitation de failles.
En cas de doute, prenez le temps de réfléchir avant d’agir ; la précipitation est le principal levier des escrocs.
Les autorités canadiennes et américaines ont déjà lancé des alertes, mais la vigilance individuelle restera le rempart le plus efficace contre ces campagnes coordonnées.
