Les arnaques en ligne se multiplient déjà pour la Coupe du Monde 2026
Alors que la Coupe du Monde de football FIFA 2026 approche à grands pas, les cybercriminels passent déjà à l'attaque. Arnaques aux faux billets, e-mails de phishing, sites de goodies frauduleux… Il va falloir être très méfiant !
C'est l'événement que tous les sportifs et les fans de football attendent avec la plus grande impatience ! Cette année, la Coupe du Monde FIFA 2026 se tiendra au Mexique, aux États-Unis et au Canada à partir du 11 juin 2026, avec le match opposant le Mexique à l'Afrique du Sud en ouverture. C'est tout simplement la compétition sportive la plus suivie de la planète avec les Jeux olympiques !
Malheureusement, ce genre d'événements attire les escrocs en tous genres, bien décidés à capitaliser sur le monde qu'ils attirent et l'engouement qu'ils suscitent. On parle de millions de supporters qui chercheront activement en ligne des billets, des logements, des moyens de transport pour assister aux matchs et divers souvenirs. Et, à moins d'un mois du match d'ouverture, les fraudeurs s'en donnent déjà à cœur joie pour piéger les fans !
Plusieurs spécialistes de la sécurité informatique, comme CheckPoint et Kaspersky, ont publié des études détaillant les pièges qui ciblent les supporters et les entreprises, et alertent sur l'explosion du nombre de domaines suspects ou malveillants. On retrouve bien évidemment la classique, mais très efficace, arnaque aux faux billets, mais aussi des hébergements qui n'existent pas, des applications mobiles trafiquées, des boutiques de souvenirs frauduleuses et de fausses offres de partenariat.
Coupe du Monde 2026 : des sites qui usurpent l'identité de la FIFA
En premier lieu, CheckPoint alerte sur la hausse des domaines considérés comme malveillants ou suspects et nouvellement enregistrés avec les mots-clés "FIFA" ou "Coupe du monde". Rien qu'en avril dernier, ses chercheurs ont recensé 9 741 domaines contenant ces mots-clés ou expressions. C'est cinq fois plus que le pic observé lors du dernier Mondial au Qatar, en 2022.
De même, les pays hôtes, à savoir les États-Unis, le Canada et le Mexique, ont tous enregistré une augmentation du nombre moyen hebdomadaire de cyberattaques par organisation en avril 2026 par rapport à mars 2026 et avril 2025, en particulier dans les secteurs des médias et du divertissement, de l'hôtellerie, du voyage et du transport, et de la logistique.
De son côté, Kasppersky a découvert des sites frauduleux reproduisant celui de la FIFA et proposant aux internautes d'acheter des billets pour les matchs de la Coupe du Monde 2026, avec des paiements acceptés dans presque toutes les devises. Bien évidemment, il s'agit là de leur dérober de l'argent ainsi que leurs données personnelles, et les pauvres victimes ne verront jamais la couleur de leurs billets.
D'autres sites mettent en location des logements qui n'existent tout simplement pas. Résultat : tout est faux et les acheteurs se retrouvent à la fois sans argent et bloqués aux portes du stade, et sans aucun endroit où séjourner en prime.
Les escrocs usurpent également l'identité de boutiques officielles de produits dérivés. Ainsi, CheckPoint a découvert le site fifaofficialstore[.]shop, qui a recours à une identité visuelle crédible et propose des offres de réduction pouvant aller jusqu'à 80 % de réduction sur des t-shirts, des écharpes ou encore des peluches de la mascotte.
Les cybercriminels vont jusqu'à afficher un badge "Boutique de confiance" en bas de la page, ainsi qu'un formulaire d'inscription qui demande des informations personnelles et bancaires. Il y a aussi le site fifa2026guess[.]com, qui propose un système de "vote pour gagner" qui fait croire au décrochage de cadeaux en échange de petits dépôts d'argent. Et c'est sans compter sur les sites de paris malveillants, comme fortune-worldcup2026[.]com[.]cn, créé en avril 2026.
Coupe du Monde FIFA 2026 : des e-mails frauduleux à foison
Bien évidemment, il y a aussi des campagnes d'e-mails frauduleux, dans lesquels les cybercriminels tentent de piéger les utilisateurs pour qu'ils envoient de l'argent ou cliquent sur un lien de phishing, le tout à grands renforts d'objets accrocheurs et de messages persuasifs.
Dans l'une des arnaques identifiées, les fans ont ainsi reçu des e-mails prétendument envoyés par des représentants officiels de l'événement concernant une fausse décision d'une chambre de résolution des litiges. D'autres ont "gagné" un don de 500 000 $ pour couvrir les billets, les vols et l'hébergement, à condition de suivre les instructions pour contacter l'expéditeur afin de réclamer les fonds du "prix".
"Malheureusement, les événements sportifs majeurs qui attirent un large public ne sont jamais ignorés par les escrocs. Des e-mails apparemment inoffensifs, voire attrayants, peuvent souvent dissimuler des liens dangereux et des pièces jointes malveillantes. Dans certains cas, une interaction imprudente avec de tels messages peut entraîner de graves infections des appareils", alerte Anna Lazaricheva, analyste senior spécialisée dans le spam chez Kaspersky.
Coupe du Monde FIFA 2026 : une compétition qui s'annonce mouvementée
Les choses risquent malheureusement d'empirer. Les cybercriminels se préparent depuis des mois à cette Coupe du monde 2026. Aidés par l'intelligence artificielle, qui leur permet de gagner du temps et de rendre leurs stratagèmes plus crédibles que jamais, ils déploient une infrastructure sophistiquée afin d'être opérationnels au moment où la demande de billets atteindra son apogée et la compétition sportive battra son plein. Les pirates vont exploiter la fébrilité des supporters et la pression du calendrier pour pousser à la décision rapide, en promettant des offres toujours plus belles, trop belles pour être vraies.
C'est pourquoi il est absolument indispensable de passer uniquement par les canaux officiels pour tout ce qui touche à l'événement, notamment celui de la FIFA, que ce soit pour acheter des billets ou pour visionner des matchs. Il est primordial de toujours vérifier attentivement les formats d'URL et l'orthographe des noms des organisations. Mieux vaut aussi utiliser une solution de sécurité fiable qui identifie les pièces jointes malveillantes et bloque les liens de phishing, activer l'authentification à double facteur et surveiller attentivement ses relevés bancaires.
Si jamais vous êtes la cible d'une escroquerie en ligne de ce type, transférez immédiatement le message ou l'adresse URL à Signal Spam, Pharos, ou directement au 33 700, la plateforme spécialisée dans le signalement d'arnaques. Vous pouvez également signaler ces messages et sites frauduleux auprès du site internet-signalement.gouv.fr.