針對 2026 年世界盃足球賽的大規模詐騙活動,安全研究人員與 FBI 揭露了高度組織化的攻擊手法。這類活動不僅是單純的騙錢,而是一個結合了社工工程、自動化工具與惡意軟體的完整攻擊鏈。對於工程師而言,理解這些攻擊如何利用使用者心理與系統漏洞,對於建構安全的產品至關重要。
攻擊的背景與心理操縱
這類詐騙之所以有效,是因為其利用了高需求與焦慮感。當門票供不應求(超額認購 30 倍)且時間緊迫時,使用者會傾向於跳過常規的安全檢查,這正是社工工程(Social Engineering,利用心理操縱誘導使用者洩露資訊或執行特定操作)的最佳時機。
高度擬真的釣魚攻擊與單一登入漏洞
研究發現一個名為 GHOST STADIUM 的組織,利用了 Phishing Kit(釣魚套件,一種預先打包好的偽造網站模板,讓攻擊者能快速部署大量釣魚頁面)建立了數百個偽造網站。
這些網站的精明之處在於,它們不僅複製了 FIFA 官網的視覺設計,還直接複製了由 PingIdentity 提供的 Single Sign-On(SSO,單一登入,一種允許使用者用一組帳號密碼登入多個系統的認證機制)的 Client ID。甚至連圖片都直接從官方伺服器加載,以此繞過一些偵測重複圖片的安全性工具。
攻擊者透過偽造的密碼重設頁面,在使用者輸入資訊後直接接管帳號,進而盜賣綁定在帳號內的門票。這提醒我們,僅靠視覺上的真實度無法判斷網站安全性,且 SSO 雖然方便,但一旦認證流程被偽造,影響範圍會非常廣。
利用 Android 輔助功能實現銀行盜款
除了網站釣魚,針對行動裝置的攻擊則採取了更深層的技術手段。許多偽裝成免費賽事直播的 App 會誘導使用者安裝 APK 檔案(繞過 Google Play 的審核)。
這些 App 核心是 Banking Trojan(銀行木馬,專門針對金融應用程式設計的惡意軟體),如 Massiv 與 Perseus。其最危險的手段是請求 Android 的 Accessibility Service(輔助功能,原意是用於協助身心障礙者操作裝置的權限)。
一旦使用者授予此權限,木馬即可實現以下操作: 第一,疊加螢幕(Overlay Attack),在真正的銀行 App 上方蓋一層偽造的登入畫面,盜取帳密。 第二,記錄鍵盤輸入(Keylogging),截獲所有輸入內容。 第三,攔截 SMS 短信,直接獲取二階段驗證(2FA)的一次性密碼(OTP)。 第四,遠端控制螢幕,直接操作使用者的手機。
這是一個典型的權限濫用案例:一個直播 App 絕對不需要輔助功能權限,任何請求此類權限的非必要 App 都是極高風險信號。
資訊竊取者與基礎設施風險
除了主動攻擊,攻擊者還利用了 Credential Stealer(資訊竊取者,如 Vidar、LummaC2,專門掃描裝置記憶體或瀏覽器快取以盜取儲存密碼的惡意軟體)。大量被盜的 FIFA 帳號在地下市場流通,成為後續攻擊的燃料。
此外,在賽事舉辦城市的公共 Wi-Fi 環境中,存在 Evil Twin(邪惡雙子,一種偽裝成合法公共熱點的攻擊設備)風險。攻擊者建立一個名稱與官方 Wi-Fi 相同的熱點,誘使使用者連接,從而攔截未加密的流量或進行中間人攻擊(MITM)。
防禦觀點與工程建議
對於一般使用者,最簡單的判別標準是:官方絕對不會要求使用加密貨幣支付,且直播 App 不應要求輔助功能權限。
對於安全與開發團隊,應採取以下防禦策略: 第一,監控域名變動,針對與品牌相關的 Lookalike Domains(相似域名)建立預警。 第二,強化認證機制,推動從 SMS 驗證轉向更安全的 FIDO2 或硬體金鑰,以對抗攔截 OTP 的木馬。 第三,監控洩漏數據,將已知的 Stealer Log(竊取者日誌)與內部帳號比對,強制受影響使用者重設密碼。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。