Par Adrian Cheek, chercheur principal en cybercriminalité
Nous avons récemment publié une étude documentant un infrastructure de phishing coordonnée L'article décrivait 79 domaines frauduleux et usurpés, répartis sur 14 adresses IP, se faisant passer pour le site officiel de la FIFA. Il expliquait en détail le processus de billetterie frauduleux, la copie de la boutique FIFA et la page de connexion FIFA ID qui acceptait n'importe quel identifiant. En conclusion, des cybercriminels avaient mis en place une réplique complète de l'écosystème, conçue pour extorquer des paiements et collecter les identifiants de comptes avant le tournoi de 2026.
Dans les jours qui ont suivi la publication, nous avons élargi le champ de l'enquête en utilisant un DNS passif plus étendu, les journaux de transparence des certificats et l'enrichissement WHOIS. Le tableau qui en est ressorti est considérablement plus vaste et complexe que ne le laissait supposer l'ensemble initial de 79 domaines.
Cette campagne n'est pas une opération centralisée. Elle comprend au moins quatre groupes d'opérateurs distincts, utilisant des modèles de kits d'escroquerie partagés, enregistrant quotidiennement de nouveaux domaines et intensifiant leurs efforts au lieu de ralentir.
À propos de cette série de la Coupe du monde
Les États-Unis, le Canada et le Mexique ont été choisis pour accueillir la Coupe du Monde de la FIFA 2026. Début avril 2026, la liste des 48 équipes participant à la phase finale est désormais complète.
Comment les acteurs malveillants réagissent-ils ? Qu’est-ce qui se dessine déjà au sein des communautés du dark web et du deep web ?
Ce blog fait partie de la série de Flare sur la cybercriminalité pendant la Coupe du Monde 2026, un ensemble d'articles de recherche ciblés analysant l'évolution des menaces liées à la compétition. Cette série explore des domaines clés, notamment : infrastructure de phishing, fraude et escroqueries, attaques de vol d'informations, services de streaming illégaux, plateformes de paris illicites, menaces internes et autres activités cybercriminelles visant la Coupe du monde 2026.
Principales conclusions de l'enquête approfondie sur l'infrastructure de phishing de la Coupe du monde
- L'infrastructure comprend au moins 222 domaines répartis sur 203 adresses IP uniques. Cela représente environ 2.8 fois le nombre de domaines et plus de 14 fois la capacité d'hébergement que nous avions indiqués dans le premier rapport.
- La campagne est toujours en pleine expansion. 52 domaines supplémentaires ont été enregistrés entre le 1er avril et le 17 avril 2026, après la date limite de notre calendrier initial.
- Il ne s'agit pas d'une opération unique gérée de manière centralisée. L'ensemble des données révèle au moins quatre groupes d'opérateurs distincts, présentant des schémas d'enregistrement, des choix d'hébergement et des empreintes WHOIS différents. Ce schéma est plus compatible avec l'hypothèse de plusieurs acteurs malveillants indépendants exploitant une même faille.
- Les failles de sécurité des données WHOIS révèlent l'identité des opérateurs. Environ 10 % de l'ensemble de données étendu (21 domaines) contient des informations permettant d'identifier les opérateurs, informations qui ont échappé ou n'ont jamais été prises en compte lors de la suppression des données confidentielles. Ceci nous fournit des identifiants précis pour un suivi continu.
- Cloudflare a déjà signalé une partie de l'infrastructure comme étant du phishing, apportant ainsi une validation indépendante que l'activité est malveillante et non simplement suspecte.
Détectez les domaines similaires avant qu'ils n'atteignent vos clients.
Flare surveille en permanence les domaines de typosquatting et les marchés clandestins afin de détecter les infrastructures de phishing ciblant votre marque.
L'empreinte étendue des infrastructures
Les 79 domaines initiaux ont été identifiés grâce à des techniques de typosquatting ciblant directement la chaîne « fifa.com ». Une analyse plus approfondie, utilisant l'infrastructure d'hébergement mutualisé, les empreintes digitales des certificats et les modèles de pages d'atterrissage, a permis de découvrir 143 autres domaines, portant le total confirmé à 222. Parmi ceux-ci, 206 sont actuellement actifs.
L'infrastructure d'hébergement est également plus distribuée que ce qui avait été initialement indiqué. Au lieu de 14 adresses IP, l'ensemble étendu en compte 203, dont 80.6 % sont hébergées sur Cloudflare. Ceci confirme que les opérateurs utilisent le proxy inverse de Cloudflare pour masquer leurs véritables serveurs d'origine. Cela signifie également que le petit nombre de clusters d'adresses IP partagées que nous observons pointe très probablement vers l'infrastructure d'origine réelle et non vers une simple occupation fortuite.
Dans l'ensemble de données, cinq adresses IP hébergent plusieurs domaines de la campagne. Les trois principales :
| IP dédiée | Domaines hébergés |
|---|---|
| 38.246.249.74 | 8 |
| 154.39.81.213 | 6 |
| 148.178.16.48 | 5 |
Quatre certificats TLS sont également réutilisés sur deux ou trois domaines chacun. Le partage de certificats constitue un signal de liaison entre opérateurs plus fort qu'une adresse IP partagée, car l'obtention et le déploiement du même certificat sur plusieurs domaines impliquent un déploiement d'origine partagé plutôt qu'une location de CDN partagée.
La campagne n'a pas été interrompue après la diffusion de notre reportage.
Notre calendrier initial prévoyait un pic initial en novembre 2025, une période de stagnation jusqu'en février et une phase de lancement de la campagne débutant en mars 2026. L'ensemble de données plus complet confirme et élargit ce schéma. La phase de lancement n'est pas terminée.
Explosion récente des inscriptions :
| Date | Domaines enregistrés |
|---|---|
| 27 mars | 34 |
| 28 mars | 23 |
| le 8 avril 2026 | 19 |
| 20 mars | 17 |
| le 7 avril 2026 | 10 |
| le 11 avril 2026 | 9 |
Trois dates à elles seules, les 27 et 28 mars, ainsi que le 17 novembre 2025, représentent 36.5 % de toutes les inscriptions dans l'ensemble de données. 52 nouveaux domaines ont été enregistrés au cours des 17 premiers jours d'avril 2026, et de nouveaux ajouts sont apparus quelques jours seulement après la rédaction de cet article. La campagne ne ralentit pas à l'approche du tournoi ; au contraire, elle s'intensifie.
L'empreinte du registraire est plus étendue que ce qui avait été initialement rapporté.
Notre enquête initiale avait identifié sept bureaux d'enregistrement, dont GNAME.COM PTE. LTD., qui gère 45 des 79 domaines. L'analyse approfondie révèle 26 bureaux d'enregistrement distincts, et la concentration en tête de liste est encore plus marquée.
| Registraire | Nombre de domaines | Share |
|---|---|---|
| GNAME.COM PTE. LTD. (toutes variantes) | 94 | |
| GoDaddy.com, LLC | 42 | |
| Vaisseau spatial, Inc. | 15 | |
| WebNIC | 15 | |
| Alibaba Cloud / HiChina | 14 | |
| Metaregistrar BV | 12 | |
| NameSilo, LLC | 5 | |
| NomCheap, Inc. | 4 | |
| Autres (18 greffiers) | 21 |
Deux bureaux d'enregistrement qui n'apparaissaient pas dans le rapport initial, Spaceship et WebNIC, affichent chacun un volume d'activité équivalent à celui de Metaregistrar et représentent à eux deux 30 domaines supplémentaires. Il est donc important de les signaler aux équipes chargées de la lutte contre les abus et actuellement mobilisées pour des opérations de retrait liées à la Coupe du Monde.
La domination persistante de GNAME.COM confirme notre observation précédente concernant sa flexibilité en matière de paiement, notamment en cryptomonnaie, et souligne l'importance d'une action concertée de retrait de noms de domaine auprès de ce registraire. Un seul signalement massif et documenté d'abus auprès de GNAME.COM permettrait de couvrir environ 42 % de l'infrastructure connue.
Il ne s'agit pas d'une seule opération, mais d'au moins quatre.
L'une des mises à jour les plus importantes de notre analyse initiale : les données élargies ne confirment pas l'hypothèse d'une opération unique et centralisée. Nous observons au contraire au moins quatre groupes d'opérateurs distincts présentant des caractéristiques significativement différentes.
Groupe A : le noyau Typosquat de fifa.com
Il s'agit du groupe de domaines sur lequel notre rapport initial s'est concentré. Environ 86 domaines utilisent le typosquatting pour reproduire la chaîne fifa.com (par exemple fifa-com.vip, vww-fifa.com, ww-fifa.vip, www-fifa-com.vip). Ils ont été enregistrés principalement via GNAME.COM entre mars et avril 2026, hébergés par Cloudflare et redirigent vers la page d'accueil de la billetterie de la Coupe du Monde de la FIFA 2026, dont le modèle est prédéfini. Ce groupe est le plus visible et le plus actif.
Groupe B : le [email protected] Groupement commercial
Un deuxième groupe présente une signature opérationnelle totalement différente et aurait échappé à une heuristique de nommage fifa*. Quatorze domaines .shop, dont aucun ne contient « fifa » dans son nom, ont tous en commun :
- Adresse électronique du titulaire identique : [email protected]
- Nom de contact identique pour l'enregistrement : Bill John (il s'agit très probablement d'une identité fictive plutôt que d'une personne réelle).
- Ville identique : Newark
- Bureau d'enregistrement identique : WebNIC
- Période d'enregistrement : principalement le 15 mai 2025 (11 domaines le même jour), avec des ajouts possibles jusqu'en septembre 2025.
Les noms de domaine ressemblent à ceux de sites de dropshipping classiques : floridagiftssw.shop, cairnspringsw.shop, protectlysw.shop, bexiapparelsw.shop, etc. Leur lien avec la campagne de fraude liée à la Coupe du Monde ? Ils redirigent tous vers la même page d’accueil préconfigurée pour la Coupe du Monde de la FIFA 2026.
Un domaine de ce groupe, dustdigitalsw.shop, a été initialement enregistré en juillet 2015 et pointe désormais vers la même infrastructure d'escroquerie liée à la FIFA. Cela suggère que l'opérateur conserve un stock de domaines anciens, d'apparence légitime, et les réutilise pour la campagne en cours. Ce mode opératoire est plus sophistiqué que le typosquatting déclenché par un événement récent et permet de contourner les règles de détection basées sur les dates d'enregistrement récentes.
Groupe C : le [email protected] Cluster .cn
Un groupe plus restreint mais distinct de trois domaines .cn : https-fifa.cn, ww-fifaweb.cn et fifawebsite.cn. Tous trois ont été enregistrés le 28 mars 2026 par Web Commerce Communications Limited et partagent la même adresse Gmail comme contact du titulaire. L’utilisation d’un TLD de pays, d’un registraire différent et de données d’identification d’opérateur communes suggère qu’un acteur basé en Chine agit en parallèle avec le groupe A plutôt que sous une coordination commune.
Groupe D : 888 World Cup Management Co Ltd
Trois domaines (www-fifaworldcup.one, www-fifaworldcup.vip, fifa-com.one) partagent une organisation titulaire, répertoriée sous le nom de 888 shi jie bei guan li you xian gong si, ce qui correspond à 888 World Cup Management Co Ltd. L'opérateur semble suffisamment sûr de lui dans la couverture de la campagne pour faire directement référence à la Coupe du Monde dans son identité de titulaire fictive.
Ces quatre groupes partagent des modèles de pages de destination et une cible commune, mais leurs modalités d'inscription, leurs choix d'hébergement et les empreintes de leurs opérateurs ne correspondent pas à un gestionnaire de campagne centralisé. L'interprétation la plus probable est celle d'un écosystème distribué d'opérateurs utilisant des modèles de kits d'escroquerie partagés, un mode de déploiement que nous avons déjà observé dans d'autres opérations de fraude événementielles : un modèle performant est partagé ou vendu, et plusieurs acteurs indépendants le déploient simultanément.
Cloudflare a déjà signalé une partie de l'infrastructure
Au moment de la rédaction de ce document, trois domaines de l'ensemble de données (fifa-com.store, fifa-com.site et fifa-com.shop) affichent la page d'avertissement de Cloudflare concernant les sites suspects d'hameçonnage, au lieu de la page de destination frauduleuse. Ces trois domaines ont été enregistrés via GoDaddy le 20 mars 2026.
Ceci est significatif pour deux raisons. Premièrement, cela apporte une validation indépendante par un tiers que cette infrastructure est utilisée pour du phishing, et non pour une simple usurpation d'identité. Deuxièmement, cette asymétrie est révélatrice : Cloudflare a signalé trois domaines tout en continuant à acheminer le trafic d'environ 176 autres domaines du même cluster. Cela illustre le défi d'échelle auquel sont confrontés les fournisseurs de CDN et les équipes de protection des marques. La détection doit s'effectuer au niveau de la campagne, et non domaine par domaine.
Que faut-il surveiller d'ici le coup d'envoi ?
Sur la base de l'ensemble de données élargi, nous prévoyons ce qui suit dans les semaines précédant le tournoi :
- Poursuite des vagues d'enregistrements. Compte tenu du rythme des enregistrements d'avril, nous prévoyons de nouvelles vagues de noms de domaine typosquattés, probablement concentrées sur GNAME.COM et GoDaddy, coïncidant avec les périodes de vente officielle des billets.
- Activation des domaines en attente. Certains domaines de l'ensemble de données sont résolus mais ne servent pas encore le modèle frauduleux. Ils sont probablement mis en réserve.
- Migration vers une infrastructure neuve. Au fur et à mesure des fermetures, les opérateurs migreront vers de nouvelles adresses IP et de nouveaux domaines. Le modèle .shop réutilisé dans le cluster B montre qu'ils conservent un stock précisément à cette fin.
- Canaux parallèles. Notre équipe surveille également les services de streaming illicites associés, les opérations de contrefaçon et les arnaques liées aux paris ciblant le même public. Plusieurs de ces activités utilisent une infrastructure similaire à celle de la fraude à la billetterie décrite ici.
Recommandations pour les équipes de protection de la marque et de lutte contre la cybercriminalité
Pour les équipes de sécurité qui surveillent cette campagne, ces conclusions plus approfondies modifient les priorités :
- Il convient d'étendre la détection au-delà des noms de domaine FIFA*. Les domaines .shop du groupe B montrent que des domaines anciens, d'apparence légitime et ne portant pas le nom FIFA, peuvent être détournés au profit d'une même marque. Les règles de détection devraient intégrer l'empreinte numérique des modèles de pages d'atterrissage et la réutilisation des certificats TLS, en plus de la correspondance typosquattée basée sur les chaînes de caractères.
- Priorisez l'intervention auprès des bureaux d'enregistrement. Deux d'entre eux, GNAME.COM (42 %) et GoDaddy (19 %), représentent environ 61 % de l'infrastructure connue. Le signalement massif des abus auprès de ces deux fournisseurs permettra de supprimer la plus grande partie de l'infrastructure avec un minimum d'efforts.
- Considérez les fuites WHOIS comme une attribution exploitable. [email protected], [email protected]Les empreintes digitales « shi jie bei » et « 888 » sont suffisamment robustes pour servir de point d'appui à une surveillance continue. Tout nouveau domaine enregistré avec ces indicateurs doit être considéré comme faisant partie de cette campagne.
- Il est conseillé de se coordonner avec les fournisseurs de CDN. Compte tenu de la concentration de 80.6 % des ressources sur Cloudflare, une coordination des suppressions au niveau de l'origine avec l'équipe Confiance et Sécurité de Cloudflare sera plus efficace que le ciblage de domaines individuels.
L'ampleur des infrastructures mises en place autour de la Coupe du Monde 2026 dépasse largement ce que nous et d'autres avons publié jusqu'à présent. Nous continuerons à mettre à jour cette série à mesure que le tournoi approche et que de nouveaux réseaux d'opérateurs, des opérations de piratage de streaming et des fraudes aux paris apparaissent. Si vous faites partie d'une équipe de protection de marque ou de cybersécurité travaillant sur les menaces liées à la Coupe du Monde et que vous souhaitez bénéficier d'un flux d'informations élargi du CIO, contactez directement notre équipeNous partageons des données enrichies sur les infrastructures avec les organisations concernées et nos partenaires des forces de l'ordre.
Détectez les domaines similaires avant qu'ils n'atteignent vos clients.
Flare surveille en permanence les domaines de typosquatting et les marchés clandestins afin de détecter les infrastructures de phishing ciblant votre marque.
Indicateurs de compromission mis à jour
222 indicateurs de compromission (IOC) couvrant les domaines, les adresses IP, les hachages de certificats TLS et les empreintes digitales d'opérateurs sont disponibles dans le flux joint. Principaux indicateurs d'attribution d'opérateurs :
- Courriel : [email protected] (14 domaines)
- Courriel : [email protected] (3 domaines)
- Organisation titulaire : 888 shi jie bei guan li you xian gong si (3 domaines)
- Coordonnées du titulaire : Bill John / Newark (14 domaines, Cluster B)
- Adresses IP partagées : 38.246.249.74, 154.39.81.213, 148.178.16.48, 154.86.0.33, 104.225.235.49
- Shared TLS certificate hashes: 1b02595c66a13a4a5a523a76de25803bdb950623 (3 domains), fc1db8def38bb08010bb8f8ac14d5e498ff8ff43 (2), 3b8bb7631b39f455d31544b55ba97b49ab1888c1 (2), fb0498ab592232747a4d90aa150ee4e0506869ca (2)
