Wie die Fußball-WM auch die IT-Sicherheit in Unternehmen gefährdet

Cyberkriminelle im WM-Fieber – Bitdefender warnt vor großflächigen Betrugskampagnen

Bild: Getty Images / Credits: efks

Kurz vor dem Anpfiff der Fußball-Weltmeisterschaft am 11. Juni verzeichnen IT-Sicherheitsanalysten einen massiven Anstieg gezielter Cyberangriffe. Wie eine aktuelle Untersuchung der Bitdefender Labs zeigt, nutzen Akteure die Euphorie und die hohe digitale Nachfrage von Fußballfans weltweit aus, um Schadsoftware zu verbreiten und sensible Banking- sowie Identitätsdaten zu erbeuten. Die Kampagnen laufen über hochentwickelte Werbenetzwerke in sozialen Medien (Malvertising), gefälschte Online-Shops und Phishing-E-Mails.

Taktische Offensive auf Social Media und per E-Mail

Im Zentrum der Angriffe stehen Plattformen des Meta-Konzerns wie Facebook und Instagram. Bitdefender identifizierte allein dort mehr als 55 aktive Werbekampagnen mit betrügerischen Apps und direktem Fußballbezug.

Image
Description
Gefälschte Online-Angebote für Panini-Sticker (Bildquelle: Bitdefender)

Die Angreifer setzen dabei auf künstlichen Handlungsdruck: Durch den Einsatz von Countdown-Timern und Slogans wie „Nur heute“ oder „Streng limitiert“ werden Verbraucher zu unüberlegten Klicks verleitet. Die Kampagnen sind global ausgerichtet, betreffen jedoch stark den europäischen Raum, darunter Deutschland, Großbritannien, Portugal und Spanien, sowie die USA, Brasilien und Australien.

Neben gefälschten Gewinnspielen und Lotterieversprechen, die im Namen der offiziellen FIFA-Organe per E-Mail verbreitet werden und Gewinne von bis zu zwei Millionen US-Dollar in Aussicht stellen, stehen vor allem populäre Fankulturgüter und Streaming-Angebote im Fokus:

Organisierte Werbeinfrastruktur mit Verbindungen nach Übersee

Analysen der zugrundeliegenden Infrastruktur offenbaren einen hohen Professionalisierungsgrad. Die Bitdefender-Experten stießen bei der Nachverfolgung der Anzeigen auf UTM-Tracking-Parameter in vereinfachtem Chinesisch. Dies deutet darauf hin, dass die Kampagnen von organisierten, mutmaßlich in China ansässigen Akteuren gesteuert werden. Die Täter nutzen standardisierte E-Commerce-Strukturen und spiegeln identische Shop-Layouts auf mehreren Domains parallel (darunter Adressen wie faithoutfit.uk oder savebigwear.com). Wird eine Seite gesperrt, schaltet die Infrastruktur nahtlos auf die nächste Webadresse um.

Image
Description
Informationsabfrage persönlicher Daten im Rahmen eines vermeintlichen Gewinnspiels (Bildquelle: Bitdefender)

In Deutschland zeigt sich die Masche zudem stark regionalisiert: Hier dienen Bundesliga-Vereine wie der FC Bayern München, Borussia Dortmund, der VfB Stuttgart oder Eintracht Frankfurt als Köder. Betrüger versprechen über gefälschte Werbeanziehen zwei kostenlose Saison-Dauerkarten. Die Opfer werden auf manipulierte Umfrageseiten umgeleitet. Die dort erbeuteten Telefonnummern und E-Mail-Adressen werden anschließend im Darknet weiterverkauft oder für nachgelagertes SMS-Phishing (Smishing) missbraucht.

Warum die Fan-Invasion auch für Unternehmen zur Gefahr wird

Die aktuelle Angriffswelle birgt über den privaten Vermögensschaden hinaus erhebliche Risiken für die IT-Sicherheit von Unternehmen.

Image
Description
Gefälschtes Trikot im vermeintlichen Angebot (Bildquelle: Bitdefender)

In Zeiten von hybrider Arbeit und der Verschmelzung von Privat- und Berufsleben (Bring Your Own Device / BYOD) agieren Mitarbeiter im WM-Fieber oft unvorsichtig – und das auf Geräten, die mit dem Firmennetzwerk verbunden sind.

Für IT-Sicherheitsverantwortliche in Unternehmen bedeutet die anstehende Weltmeisterschaft daher akuten Handlungsbedarf: Neben einer temporären Verschärfung der Webfilter-Richtlinien für bekannte Streaming- und Grauzonen-Plattformen sollten Belegschaften im Rahmen von Awareness-Schulungen explizit für die Risiken von Fußball-bezogenem Malvertising sensibilisiert werden.

Gefälschte Online-Angebote sind schon seit Februar 2026 im Umlauf. Einige dieser Fälschungen lassen sich an Fehlschreibungen wie „WorldCup“ statt „World Cup“ von einem echten Angebot unterscheiden. Andere Kampagnen nutzten Tarnbegriffe wie „Loja Panini“, „Ofcpanini“ oder „Brasil Hexa 2026“, während sie sich ansonsten einen offiziellen Anstrich geben. Manche der Angebote für aktuelle Sticker-Alben zeichnen sich nicht nur durch einen falschen Markenauftritt aus, sondern auch durch ungewöhnlich glatt gezeichnete Bilder und eine künstlich anmutende Darstellung von Produkten. Hier haben offensichtlich die Angreifer die Hilfe von KI für das Layout ihrer Angriffe genutzt.

Im Laufe der Ermittlungen tauchten wiederholt mehrere verdächtige Domains auf, darunter:

Die Sicherheitsverantwortlichen sollten auf aktuelle URL-Filter achten; bekannte Domains sollten direkt geblockt werden.

Um die gefahr durch illegale Streaming-Apps zu minimieren, sollten erweiterte Scan- und Reaktionsplattformen (XDR, Extended Detection & Response) zum Einsatz kommen. Diese können verdächtige Aktivitäten im Netz in nahezu Echtzeit erkennen und entsprechend Aktionen auslösen (Quarantäne, Blocking, o. ä.).