Para ve kişisel verileri çalmak için resmî bilet ve ürün satışlarını taklit eden sahte FIFA Dünya Kupası temalı web sitelerine dikkat edin
Amerika Birleşik Devletleri, Kanada ve Meksika’da düzenlenecek 2026 FIFA Dünya Kupası™ yaklaşırken heyecan doruk noktasına ulaşıyor. Birçok futbol taraftarı hâlâ bilet, ürün, seyahat ve konaklama paketleri arıyor olabilir ve dolandırıcılar bu talebi nasıl kullanacaklarını çok iyi biliyor.
Diğer bir deyişle birçok taraftar dolandırıcıların beklediği ruh hâlindedir: ilgili, sabırsız ve hatta biletlerin veya diğer ürünlerin tükenmesinden biraz endişeli. Bu da dolandırıcıların durumu fırsata çevirmesi için oldukça yeterli.
Latin Amerika’daki ESET araştırmacıları, kısa süre önce tam da bu an için oluşturulmuş bir dizi web sitesi tespit etti. FIFA federasyonu veya resmî Dünya Kupası web sitesi gibi görünen bu siteler, bilet ve ürün arayan kişileri hedef alıyor, ardından kurbanların parasını ve kişisel verilerini çalan sahte kayıt ve ödeme süreçlerine yönlendiriyor. Bu adımlar genellikle gerçek Dünya Kupası web sitesindekilerle aynıdır: Kayıt olun, bir maçın biletlerini, formaları veya diğer ürünleri sepete ekleyin ve ödeme yapın.
Bazı mağdurlar bu web sitelerine sponsorlu arama sonuçları yoluyla ulaşırken diğerleri sosyal medyadaki reklamlara tıklıyor ya da adresi doğru bir şekilde kontrol etmeyen birinin ilettiği e-posta mesajlarındaki bağlantılara tıklıyor. Senaryo ne olursa olsun, sahte FIFA ve Dünya Kupası temalı web siteleri hakkında bilmeniz gerekenler ve bir “kendi kalesine gol” atmaktan nasıl kaçınacağınız aşağıda açıklanıyor.
Sahte FIFA sitelerine ilk örnek
https://***fifa26[.]shop adresinde barındırılan sahte sitelerden biri, acele eden ziyaretçilerin dikkatini çekmek için FIFA ve 2026 Dünya Kupası’na yeterince benzeyen bir alan adı kullanıyor. “Typosquatting” olarak bilinen bu yaygın hile, küçük eklemeler, eksiklikler veya değişiklikler yoluyla meşru alan adına çok benzeyen bir alan adı kullanır.
Şekil 1. Resmî FIFA Dünya Kupası 2026™ web sitesini taklit eden sahte site
Ancak hile bununla bitmiyor. Site, kurbanın deneyimin meşru olduğunu hissetmesi için renkler, düzen, gezinme ve bilet satın alma akışı dâhil olmak üzere FIFA’nın resmî sitesinin görünümünü ve hissini de kopyalıyor.
Şekil 2. İnsanları bilet satın almaya ikna etmek için taklit yapan sahte site
Karşılaştırma amacıyla işte gerçek web sitesi:
Şekil 3. Resmî FIFA Dünya Kupası 2026™ web sitesi
Ancak sahte web sitesine geri dönelim – bilet veya ürün “satın almak” istediğinizde olanlar şunlardır. Resmî FIFA sitesi gibi, sahte site de sizden kayıt olmanızı ister. Bilet satın almadan önce bir FIFA kimliği oluşturmanız gerekiyorsa sahte kayıt formu ilk bakışta garip gelmeyebilir. Ayrıca adınız, e-posta adresiniz ve telefon numaranız gibi olağan bilgileri de ister. FIFA’nın resmî web sitesinde olduğunuzu düşünüyorsanız bunda olağan dışı bir durum yok gibi görünebilir.
Şekil 4. Sahte site
Şekil 5 ise resmî web sitesindeki kayıt adımını göstermektedir.
Şekil 5. Resmi FIFA web sitesinde kayıt
Sahte web sitesi, resmî ürünler gibi görünen ürünler de sunmaktadır. Amaç, ödeme sayfasının beklenen bir sonraki adım gibi görünmesi için sizi yeterince uzun süre tanıdık bir alışveriş rutininde tutmaktır.
Şekil 6. Sahte FIFA web sitesi
Şekil 7. Takım formaları satan sahte mağaza
Herhangi bir ürünü seçip alışveriş sepetine eklemenize olanak tanır:
Şekil 8. Resmî FIFA çevrimiçi mağazasını taklit eden sahte alışveriş sitesi
Kart bilgilerinizi girdiğinizde bu bilgiler doğrudan sahte sitenin arkasındaki kişilere gönderilir ve elbette FIFA’dan hiçbir forma gelmez.
Şekil 9. Sahte kimlik avı sitesinde simüle edilmiş satın alma
Bilet satın alma süreci de aynı şekilde işler. Kayıt olduktan sonra, sahte site sözde Dünya Kupası maçlarını seçmenize, ödeme sayfasına ilerlemenize ve ödeme sayfasına ulaşmanıza izin verir.
Şekil 10. Dünya Kupası biletleri için sahte kullanıcı kayıt formu
Turnuvanın herhangi bir aşamasındaki istediğiniz maçı seçebilirsiniz:
Şekil 11. Dünya Kupası biletleri için sahte ödeme ağ geçidi
Ardından, alışveriş sepetine yönlendirilirsiniz. Formu doldurduğunuzda, ödeme bilgileriniz sahte sitenin arkasındaki siber suçlunun eline geçer.
Şekil 12. Sözde bilet satın alımı için kredi kartı bilgilerini isteyen sahte sayfa
Bariz kayıp paradır ancak daha az göze çarpan kayıp ise finansal ve kimlik verileridir. Tam ad, e-posta adresi, telefon numarası ve tekrar kullanılan parola, bu sahte web sitelerinin ötesinde de faydalı olabilir. Aynı parola e-posta veya sosyal medya hesabınızı açıyorsa sahte FIFA kaydı başka bir ve muhtemelen daha da zararlı bir saldırının ilk adımı hâline gelebilir.
Aynı fikri kullanan diğer sahte FIFA siteleri
https://****26-fifa[.]com adlı başka bir sahte site de aynı şablonu takip ediyor. Alan adı Dünya Kupası temalı, site FIFA’nın görsellerini kullanıyor ve ziyaretçiye sözde biletler ve ürünler sunulmadan önce kayıt yapmaya yönlendiriliyor.
Şekil 13. FIFA 2026 Dünya Kupası web sitesini taklit eden diğer sahte siteler
Genel olarak sahte web siteleri, menü sekmeleri ve diğer görsel ipuçları da dâhil olmak üzere, resmî FIFA web sitesine olabildiğince benzeyecek şekilde tasarlanmıştır. Üst düzey alan adları da önemlidir – bir .shop veya .store alan adı, sahte bir web sitesini bir perakende şubesi gibi gösterebilir; özellikle de URL adresinin geri kalanında “fifa” kelimesi geçiyorsa ve sitenin her şeyi özenle hazırlanmış görünüyorsa.
FIFA için bilet bakarken güvende kalın
Önemli bir nokta olarak, FIFA, Dünya Kupası biletlerinin yalnızca üç resmî kanal üzerinden satın alınabileceğini açıkça belirtmiştir: fifa.com/tickets, fifa.com/hospitality ve özel Qatar Airways seyahat paketleri (ki bunlar şu anda tükenmiş olabilir). Dolayısıyla çeşitli üçüncü taraf satıcılardan veya sosyal medya ilanlarından uzak durmanız en iyisidir.
- Doğrudan FIFA’nın resmî web sitesine gidin. Adresi kendiniz yazın, güvenilir bir yer imi kullanın veya bir reklamdan, sosyal medya gönderisinden veya birinin size gönderdiği bir bağlantıdan değil, FIFA.com veya FIFA’nın bilet satış portalından başlayın.
- Herhangi bir bilgi girmeden önce alan adını dikkatlice inceleyin. Fazladan karakterler, kelimeler, garip son ekler ve benzer isimler, sitenin iddia ettiği gibi olmadığına dair tek görünür ipucu olabilir.
- “Sınırlı bilet”, “VIP erişim”, “indirimler”, “son şans” gibi baskı yaratan tekliflere veya sizi aceleye getirip kontrol etmeyi göze alamayacağınız bir gecikme gibi hissettiren her şeye karşı dikkatli olun.
- Parolaları tekrar kullanmaktan kaçının. Sahte bir kayıt sayfası, e-postanız, sosyal medya veya banka hesabınız için de kullandığınız bir parolayı çalarsa sorun sahte sitenin çok ötesine uzanabilir.
- Ödeme sürecinin kolaylığı sizi yanıltmasın. Bu, satıcının meşru olduğunu kanıtlamaz.
- Tüm hesaplarınızı güçlü, benzersiz parolalar ve iki faktörlü kimlik doğrulama ile koruyun ve tüm cihazlarınızda güvenlik yazılımı kullanın.
Dünya Kupası’na geri sayım, suçlular için hazır bir hedef kitle oluşturuyor: Bilet, ürün ve çeşitli son dakika fırsatları peşinde koşan sayısız insan. Sahte FIFA siteleri, bu talebin her bir tanıdık tıklamayla nasıl bir kimlik hırsızlığı akışına dönüştürüldüğünü gösteriyor. Dikkatli olun!
Webworm: Yeni sızma teknikleri
