Wie die Fußball-WM auch die IT-Sicherheit in Unternehmen gefährdet
Cyberkriminelle im WM-Fieber – Bitdefender warnt vor großflächigen Betrugskampagnen
Kurz vor dem Anpfiff der Fußball-Weltmeisterschaft am 11. Juni verzeichnen IT-Sicherheitsanalysten einen massiven Anstieg gezielter Cyberangriffe. Wie eine aktuelle Untersuchung der Bitdefender Labs zeigt, nutzen Akteure die Euphorie und die hohe digitale Nachfrage von Fußballfans weltweit aus, um Schadsoftware zu verbreiten und sensible Banking- sowie Identitätsdaten zu erbeuten. Die Kampagnen laufen über hochentwickelte Werbenetzwerke in sozialen Medien (Malvertising), gefälschte Online-Shops und Phishing-E-Mails.
Taktische Offensive auf Social Media und per E-Mail
Im Zentrum der Angriffe stehen Plattformen des Meta-Konzerns wie Facebook und Instagram. Bitdefender identifizierte allein dort mehr als 55 aktive Werbekampagnen mit betrügerischen Apps und direktem Fußballbezug.
Die Angreifer setzen dabei auf künstlichen Handlungsdruck: Durch den Einsatz von Countdown-Timern und Slogans wie „Nur heute“ oder „Streng limitiert“ werden Verbraucher zu unüberlegten Klicks verleitet. Die Kampagnen sind global ausgerichtet, betreffen jedoch stark den europäischen Raum, darunter Deutschland, Großbritannien, Portugal und Spanien, sowie die USA, Brasilien und Australien.
Neben gefälschten Gewinnspielen und Lotterieversprechen, die im Namen der offiziellen FIFA-Organe per E-Mail verbreitet werden und Gewinne von bis zu zwei Millionen US-Dollar in Aussicht stellen, stehen vor allem populäre Fankulturgüter und Streaming-Angebote im Fokus:
- Gefälschte Panini-Sticker: Bereits seit Februar 2026 kursieren manipulierte Online-Shops für Sammler. Während sich einige Domains wie „Loja Panini“ oder „Ofcpanini“ ein offizielles Erscheinungsbild geben, entlarven sich andere durch subtile Tippfehler wie „WorldCup“ statt der korrekten Schreibweise „World Cup“. Die Sicherheitsforscher weisen zudem darauf hin, dass die Bildgestaltung und Produktrenderings dieser Fake-Shops auffallend glatze Linien aufweisen – ein starkes Indiz für den flächendeckenden Einsatz generativer KI bei der Erstellung der Werbemittel.
- Malware-Fallen durch IPTV und Apps: Insbesondere in Portugal und Algerien locken Kriminelle Nutzer mit koordinierten Angeboten für illegales IP-Fernsehen (IPTV) oder vermeintlich kostenlosen Streaming-Apps in die Falle. Statt des Live-Erlebnisses droht hier die Infektion des Endgeräts mit Schadsoftware.
Organisierte Werbeinfrastruktur mit Verbindungen nach Übersee
Analysen der zugrundeliegenden Infrastruktur offenbaren einen hohen Professionalisierungsgrad. Die Bitdefender-Experten stießen bei der Nachverfolgung der Anzeigen auf UTM-Tracking-Parameter in vereinfachtem Chinesisch. Dies deutet darauf hin, dass die Kampagnen von organisierten, mutmaßlich in China ansässigen Akteuren gesteuert werden. Die Täter nutzen standardisierte E-Commerce-Strukturen und spiegeln identische Shop-Layouts auf mehreren Domains parallel (darunter Adressen wie faithoutfit.uk oder savebigwear.com). Wird eine Seite gesperrt, schaltet die Infrastruktur nahtlos auf die nächste Webadresse um.
In Deutschland zeigt sich die Masche zudem stark regionalisiert: Hier dienen Bundesliga-Vereine wie der FC Bayern München, Borussia Dortmund, der VfB Stuttgart oder Eintracht Frankfurt als Köder. Betrüger versprechen über gefälschte Werbeanziehen zwei kostenlose Saison-Dauerkarten. Die Opfer werden auf manipulierte Umfrageseiten umgeleitet. Die dort erbeuteten Telefonnummern und E-Mail-Adressen werden anschließend im Darknet weiterverkauft oder für nachgelagertes SMS-Phishing (Smishing) missbraucht.
Warum die Fan-Invasion auch für Unternehmen zur Gefahr wird
Die aktuelle Angriffswelle birgt über den privaten Vermögensschaden hinaus erhebliche Risiken für die IT-Sicherheit von Unternehmen.
In Zeiten von hybrider Arbeit und der Verschmelzung von Privat- und Berufsleben (Bring Your Own Device / BYOD) agieren Mitarbeiter im WM-Fieber oft unvorsichtig – und das auf Geräten, die mit dem Firmennetzwerk verbunden sind.
- Schatten-IT und infizierte Endgeräte: Mit koordinierten Aktionen für illegales IP-Fernsehen oder gefälschte Fußball-Apps werden Fans ins Abseits gelockt. Diese Applikationen können mit Infostealern und Malware versehen sein. Wenn Angestellte in der Mittagspause oder im Homeoffice vermeintlich kostenlose IPTV-Player oder WM-Streaming-Apps auf Arbeitslaptops oder geschäftlich genutzten Smartphones installieren, um Spiele zu verfolgen, migriert die Schadsoftware unbemerkt ins Unternehmensnetzwerk.
- Gefahr durch Credential Stuffing: Vermeintliche Dauerkarten-Gewinnspiele, Online-Anzeigen oder Fake-Online-Shops können zur digitalen Infektion mit Malware führen. Viele Nutzer neigen dazu, Passwörter mehrfach zu verwenden. Gibt ein Mitarbeiter seine (geschäftliche) E-Mail-Adresse und ein Standardpasswort ein, besitzen die Angreifer im schlimmsten Fall sofort validierte Zugangsdaten für Unternehmensanwendungen.
- Social Engineering und CEO-Fraud: Die über die Bundesliga-Gewinnspiele im großen Stil abgegriffenen Handynummern und persönlichen Profile erlauben es den kriminellen Organisationen, hochgradig personalisierte Spear-Phishing- und Smishing-Kampagnen zu stricken. Diese können im geschäftlichen Kontext genutzt werden, um gezielt Mitarbeiter in der Buchhaltung oder Administration anzusprechen (z. B. getarnt als dringende Teamevent-Abrechnung).
Für IT-Sicherheitsverantwortliche in Unternehmen bedeutet die anstehende Weltmeisterschaft daher akuten Handlungsbedarf: Neben einer temporären Verschärfung der Webfilter-Richtlinien für bekannte Streaming- und Grauzonen-Plattformen sollten Belegschaften im Rahmen von Awareness-Schulungen explizit für die Risiken von Fußball-bezogenem Malvertising sensibilisiert werden.
Gefälschte Online-Angebote sind schon seit Februar 2026 im Umlauf. Einige dieser Fälschungen lassen sich an Fehlschreibungen wie „WorldCup“ statt „World Cup“ von einem echten Angebot unterscheiden. Andere Kampagnen nutzten Tarnbegriffe wie „Loja Panini“, „Ofcpanini“ oder „Brasil Hexa 2026“, während sie sich ansonsten einen offiziellen Anstrich geben. Manche der Angebote für aktuelle Sticker-Alben zeichnen sich nicht nur durch einen falschen Markenauftritt aus, sondern auch durch ungewöhnlich glatt gezeichnete Bilder und eine künstlich anmutende Darstellung von Produkten. Hier haben offensichtlich die Angreifer die Hilfe von KI für das Layout ihrer Angriffe genutzt.
Im Laufe der Ermittlungen tauchten wiederholt mehrere verdächtige Domains auf, darunter:
- faithoutfit[.]uk
- defwear[.]uk
- savebigwear[.]com
- teamcollections[.]com
- fanzonewear[.]com
- crestwearus[.]com
Die Sicherheitsverantwortlichen sollten auf aktuelle URL-Filter achten; bekannte Domains sollten direkt geblockt werden.
Um die gefahr durch illegale Streaming-Apps zu minimieren, sollten erweiterte Scan- und Reaktionsplattformen (XDR, Extended Detection & Response) zum Einsatz kommen. Diese können verdächtige Aktivitäten im Netz in nahezu Echtzeit erkennen und entsprechend Aktionen auslösen (Quarantäne, Blocking, o. ä.).