大型國際賽事如 2026 年世界盃,不僅是體育盛事,在網路安全專家眼中,這更像是一個預先佈局的巨大釣魚陷阱。根據 Check Point Research 的分析,針對世界盃的詐騙基礎設施早在賽事開幕前數月就已準備就緒。對於資安工程師來說,這類事件揭示了一個核心邏輯:攻擊者並非在事件發生時才開始行動,而是會針對特定時間軸進行預先部署。
這次的威脅主要集中在金融服務、交通運輸、酒店住宿與博弈產業,其攻擊手法可歸納為三個關鍵維度。
電子郵件冒充與 DMARC 缺失的風險
在世界盃的供應鏈中,涉及航空公司、飯店、轉播商等大量合作夥伴。研究發現,約三分之一的官方合作夥伴缺乏足夠的 DMARC 強制執行。
DMARC(Domain-based Message Authentication, Reporting, and Conformance)是一種電子郵件驗證機制,它結合了 SPF 和 DKIM 來確保發件人的身分真實。簡單來說,如果一家公司沒有正確設定 DMARC,攻擊者就可以輕易進行 Domain Spoofing(域名欺騙),發送一封看起來完全來自官方贊助商或供應商的郵件。
在賽事期間,由於交易量激增且時間緊迫,人員在處理採購或物流郵件時容易降低警覺,這讓攻擊者能利用偽造的發票或付款通知,在混亂中攔截資金。
針對博弈產業的協同攻擊與社交工程
針對博弈 App 的冒充行為在賽前出現了劇增。對比 2025 年的基準數據,2026 年賽前偵測到的冒充 App 數量增加了約 60 倍,且高度集中在 Google Play 商店。
值得注意的是,這並非單一駭客的行為,而是協同作戰。多個開發者帳號在短時間內同時發布多個品牌的偽造 App。除了 App 商店,攻擊者還利用 Telegram 建立偽造的預測頻道,透過推薦連結誘導使用者存款,利用分潤機制獲利。這類攻擊利用了粉絲對賽事的熱情與貪婪心理,將技術攻擊與社交工程(Social Engineering)緊密結合。
預先佈局的偽造旅遊網站與域名策略
攻擊者在賽前兩個月就開始大量註冊與世界盃相關的 Lookalike Domains(相似域名)。這些網站主要針對飯店與旅遊服務,旨在使用者最急於訂房、驗證習慣最弱的時刻進行攔截。
從技術細節來看,攻擊者傾向於使用 .top 這種通用頂級域名(gTLD),因為這類域名的註冊成本低且對濫用行為的反應門檻較高,能讓釣魚網站存活更久。此外,部分域名配置了 MX Record(郵件交換記錄),這意味著這些偽造網站不僅能接收郵件,還能攔截受害者的密碼重設流程,將攻擊層級從簡單的詐騙提升到帳號接管。
給工程師與資安團隊的啟示
面對這類大規模事件,資安團隊不能僅在事件發生後才反應。關鍵在於偵測速度與修復速度。
首先,必須強化供應鏈的郵件驗證,確保 DMARC 設定為 reject 模式,防止域名被冒用。其次,需要建立對品牌相似域名的持續監控機制,在攻擊者將基礎設施部署完成前就採取 Takedown(強制下架)行動。
最後,要意識到攻擊者的時間軸。他們會提前數月就完成環境搭建、測試並部署。因此,針對重大活動的防禦重心應提前至賽前三到六個月,而非開幕當天。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。