Für ausgewählte Fussballfans beginnt bald der Kartenvorverkauf für die Fussball-Weltmeisterschaft 2026 in Nordamerika. Check Point hat bereits gefälschte Angebote zu Livestreams, Tickets und Fanartikeln entdeckt.
Redwood City, Kalifornien, USA – 29. September 2025 – Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein Pionier und weltweit führender Anbieter von Cyber-Sicherheitslösungen, warnt im Zuge des bevorstehenden Ticketverkaufs der Fussball-Weltmeisterschaft 2026 in Nordamerika bereits vor Betrugsversuchen im Zusammenhang mit dem Sportspektakel. Die Sicherheitsforscher haben eine unmittelbare Gefahr in Form von mehr als 4’300 neu registrierten Domains im Internet aufgedeckt, die den Namen «FIFA», «Weltmeisterschaft» oder die Namen der Austragungsstädte tragen.
Die erste Ticketverkaufsphase der FIFA WM 2026 hat bereits begonnen. Fans, die an der Vorverkaufsverlosung (9. bis 19. September 2025) teilgenommen hatten, werden am 29. September über das Ergebnis informiert. Der Ticketkauf für die dann ausgewählten Nutzer beginnt am 1. Oktober 2025. Hacker aber wollen aus dem Ansturm auf Tickets und Fanartikel Kapital schlagen.
Die Domänen werden für Angriffswellen vorbereitet
Viele dieser Adressen wirken auf den ersten Blick harmlos. Im Gesamtbild zeigt sich jedoch ein anderes Muster: Die Domains entstehen schubweise (siehe Abbildung 1), konzentrieren sich auf auffällig wenige Registrierstellen, folgen ähnlichen Namenskonventionen und entsprechen obendrein einer vergleichbaren DNS-Infrastruktur – als stammten sie allesamt aus derselben Vorlage.
Nach Einschätzung der Sicherheitsexperten sind die Domains Bausteine einer Infrastruktur, die für künftige Betrugswellen vorbereitet werden. Teilweise werben sie für nichtexistierende Tickets, locken mit angeblichen Livestreams, hinter denen sich Schad-Software verbirgt, oder bieten gefälschte Fanartikel feil. Besorgniserregend sind zudem Hinweise auf koordinierte Angriffe: Bot-Netze könnten Warteschlangen für Ticketverkäufe lahmlegen oder durch künstlich erzeugte Nachfrage die Preise in die Höhe treiben. In Untergrundforen werden für diese Taktiken bereits passende Werkzeuge und Anleitungen gehandelt. Sichtbar ist derzeit weniger der Betrug selbst als vielmehr das Fundament für diesen – aufgebaut im Schatten des bevorstehenden Turniers.
Das frühe Erstellungsdatum soll Vertrauen erzeugen
Einer der deutlichsten Indikatoren für die Koordinierung dieser Angriffe ist schlicht der Zeitpunkt. Der Datensatz zeigt, dass in dem kurzen Zeitfenster zwischen dem 8. und 12. August 2025 fast 1’500 Domänen registriert wurden, wobei Anfang September ein weiterer Höhepunkt zu verzeichnen war. Dieses Muster passt nicht zum sonstigem Kaufverhalten von Fussballfans und lässt stattdessen auf eine automatisierte Massenbeschaffung schliessen. Die Taktik der Domänenalterung war ebenfalls offensichtlich. Mehrere Domains wurden nicht nur für 2026, sondern auch für künftige Weltmeisterschaften wie 2030 und 2034 registriert. Diese Registrierungen, die jahrelang ruhen, dienen dazu, eine passive Legitimität zu erlangen, bevor sie aktiviert werden – eine übliche Strategie bei Betrugskampagnen, die den Ruf prominenter Marken ausnutzen wollen.
Abbildung 1: Monatliche, verdächtige Domänenregistrierungen (August bis September 2025, Quelle: Check Point Software Technologies Ltd.)
Domains auf wenige Registrierstellen konzentriert
Die betrügerischen Registrierungen sind nicht gleichmässig über alle Registrierstellen verteilt. Der Grossteil der Domains konzentriert sich auf eine Handvoll Registrierungssstellen für den Einzelhandel; hauptsächlich GoDaddy, Namecheap, Gname, Dynadot und Porkbun. Cyber-Kriminelle bevorzugen diese Anbieter wegen ihrer Grösse, regelmässiger Sonderangebote und der einfachen Automatisierung von Massenregistrierungen. Die Verteilung der Top-Level-Domains zeigt ein ähnliches Bild: «.com» dominiert und macht mehr als die Hälfte der Stichproben aus, während eine lange Reihe von TLDs mit niedrigen Zugangsbarrieren wie «.online», «.shop», «.store» und «football» kostengünstige Alternativen für Angreifer bieten, die Angriffe skalieren wollen.
Geografische und zielgruppengerechte Ansprache
Geografische Hinweise zeigen: Die Angreifer nehmen präzise Zielgruppen auf der ganzen Welt, aber auch lokale Märkte ins Visier. Domains, die Namen von Gastgeberländern (USA, Mexiko, Kanada) und Austragungsstädten (Dallas, Miami, Toronto, Vancouver, Mexiko-Stadt) enthalten, waren besonders auffällig. Sie sollen die SEO-Relevanz erhöhen und reisenden Fussballfans vertrauenswürdiger erscheinen. Die sprachliche Anpassung veranschaulicht diese Fokussierung: Englisch dominiert bei Streaming-Betrügereien, die weltweit möglichst viele Menschen reinlegen sollen, bei Ticket- und Merchandise-Betrügereien wird vorrangig Spanisch und Portugiesisch verwendet, um auf lateinamerikanische Fans zu zielen, und Französisch erscheint in kleineren Kampagnen, die wahrscheinlich auf europäische Fans ausgerichtet sind.
Drei Lockmittel: Streaming, Fanartikel und Tickets
Die Domänen sind auf drei Lockmittel ausgerichtet: gefälschte Tickets, Waren und illegales Streaming. Einige Cluster fokussierten sich auf eins dieser Angebote, z. B. fifa2026ticketsmiami[.]com, während andere mehrere Köder in einer einzigen Domain kombinierten, z. B. fifa2026tickets-streamlive[.]com. Letzteres deutet auf die Verwendung von Vorlagen hin, bei denen die Drahtzieher die Themen variieren und gleichzeitig eine einheitliche Struktur beibehalten können. Streaming-Begriffe («HD», «watch live», «gratis») waren weit verbreitet, während Domains, die sich auf Tickets bezogen, weniger häufig vorkamen, aber angesichts des hohen Verlusts pro Opfer einen grösseren finanziellen Schaden verursachten. Unter Merchandise-Domains wurden Trikots, Trikotsätze und Bekleidung in mehreren Sprachen, insbesondere in Spanisch und Portugiesisch, vermarktet.
Abbildung 2: Beispiele für betrügerische Websites mit dem Thema FIFA 2026, die als Köder verwendet wurden (Quelle: Check Point Software Technologies Ltd.).
Überschneidungen in der Infrastruktur
Die Analyse der DNS-Einträge ergab die wiederholte Verwendung identischer Nameserver in verschiedenen Domänengruppen. Das lässt darauf schliessen, dass es sich nicht um Dutzende unabhängige Akteure handelt, sondern um eine kleine Anzahl semiprofessioneller Betreiber, die grosse Portfolios verwalten. Diese Überschneidung in Verbindung mit synchronisierten Registrierungen und ähnlichen lexikalischen Mustern unterstützt Check Points Hypothese, dass es sich um eine koordinierte Kampagne handelt.
Abbildung 3: Mehrere imitierte Domains, die mit dem ERM-Tool Forensic Canvas analysiert wurden, zeigen, dass viele von ihnen auf Clustern von IP-Adressen laufen (Quelle: Check Point Software Technologies Ltd.).
Kampagnen auf mehreren Plattformen
Domains allein reichen aber nicht aus, um das Risiko der Operation in ihrer Gesamtheit zu verdeutlichen. Ihre wahre Gefahr zeigt sich, wenn sie über mehrere Plattformen hinweg verstärkt wird. In Telegram-Kanälen wurde bereits für «exklusive Tickets» und gefälschte Trikots geworben. In Dark-Web-Foren finden sich immer wieder Threads, in denen sowohl gefälschte Tickets als auch Tools für Phishing oder Zahlungsbetrug unter der FIFA-Marke angeboten werden. Social-Media-Seiten, die sich oft als «offizielle» Seiten ausgeben, sollen den Verkehr auf diese Domains lenken, während bösartige Anzeigen in den Suchergebnissen das Potenzial haben, die eigenen FIFA-Websites im Ranking zu übertreffen. Es handelt sich also nicht um eine Reihe von eigenständigen Betrügereien, sondern um ein Ökosystem, das sich von Domainregistrierungen über Untergrundmarktplätze bis hin zu den gängigen sozialen Kanälen erstreckt.
Ticketing-Missbrauch und fortgeschrittene Taktiken
Am besorgniserregendsten sind wahrscheinlich die Bedrohungen für die Ticketing-Infrastruktur der FIFA selbst. Es gibt Hinweise darauf, dass Bot-Netze bereits darauf vorbereitet sind, die Warteschlangen für Eintrittskarten zu überschwemmen, in grossem Umfang Bestände zu erwerben und zu überhöhten Preisen weiterzuverkaufen. Diese Bot-gesteuerten Nachfrageschübe stören auch die dynamischen Preisgestaltungsalgorithmen, sodass Fans mit höheren Preisen konfrontiert werden. Parallel dazu verkaufen Dark-Web-Anbieter offen Bot-Kits, Proxy-Farmen und Playbooks zur Umgehung von Konten, die auf die Systeme der FIFA zugeschnitten sind. Die im September 2025 von der FTC eingereichte Klage gegen Live Nation/Ticketmaster zeigt, wie die Automatisierung durch Scalper bereits grosse Ticketing-Plattformen destabilisiert hat, und verdeutlicht die Anfälligkeit von Veranstaltungen mit hoher Nachfrage, wie der Fussballweltmeisterschaft, für ähnlichen Missbrauch.
Abbildung 4: Telegram-Kanäle, die betrügerische FIFA 26-Tickets (rechts) oder betrügerische Streaming-Dienste (links) zum Verkauf anbieten (Quelle: Check Point Software Technologies Ltd.).
Rufschädigung von Ereignis und Veranstalter
Die Auswirkungen dieser Kampagne betrifft viele Interessengruppen rund um die Fussballweltmeisterschaft. Fans sind dem Risiko zahlreicher Betrügereien ausgesetzt: gefälschte (teure) Tickets, Phishing von Zugangsdaten während des Vorverkaufs und mit Malware verseuchten Streams. Die FIFA und ihre Sponsoren sehen sich mit einer Verwässerung ihrer Marke, mit gefälschtem Handel und mit Rufschädigung konfrontiert, welche die offiziellen Kanäle untergraben könnte. Austragungsstädte und -orte werden in die Bedrohungslandschaft hineingezogen, da geografisch verankerte Betrügereien mit gefälschten Angeboten zu Unterkünften, Transport und Bewirtung auf Reisende abzielen. Schliesslich besteht die Gefahr, dass ein breiteres Internet-Ökosystem – Registrierstellen, Werbenetzwerke, Messaging-Plattformen – als Verstärker für die Verbreitung von Kampagnen ausgenutzt wird.
Was aus IT-Sicherheitsperspektive zu tun ist
Die Beweise deuten auf ein bereits funktionierendes Betrugssystem hin, das nur darauf wartet, aktiviert zu werden. Die Eindämmung muss daher jetzt und nicht erst im Jahr 2026 beginnen. Die kontinuierliche Überwachung von Kombinationen aus «FIFA + Jahr + Stadt» in mehreren Sprachen sollte Priorität haben, wobei Partnerschaften mit Registrierstellen eine schnelle Löschung von synchronisierten Domain-Bursts ermöglichen. Die am häufigsten ausgenutzten Registrierstellen, wie GoDaddy und Namecheap, müssen unter Druck gesetzt werden, um strengere Prüfungen und Reaktionen auf Missbrauchsversuche durchzusetzen. Die kanalübergreifende Sammlung von Informationen über Telegram, Dark-Web-Foren und Werbeplattformen ist ebenfalls unerlässlich, um Verteilerknoten zu entdecken.
Ticketing-Systeme müssen sofort gegen Automatisierung gestärkt werden. Verhaltenserkennungs- und Anti-Bot-Massnahmen sollten in die Vorverkaufs- und Lotteriephasen eingebettet werden, um sicherzustellen, dass Anstürme als feindliche Signale, nicht als legitime Nachfrage behandelt werden. Die FIFA und ihre Partner sollten auch ein präventives Such- und Werbekonzept verfolgen, indem sie verifizierte Domains und Anzeigen lange vor dem Vorverkauf platzieren, um betrügerische Angebote auszuschliessen.
Wie sich Fussballfans schützen können
Schliesslich müssen auch die Fans selbst sensibilisiert werden, da der menschliche Faktor oft die grösste Schwachstelle darstellt. Praktische Schritte umfassen:
- Tickets nur bei offiziellen Quellen kaufen: Die FIFA wird autorisierte Verkaufskanäle veröffentlichen. Im Zweifelsfall sollten Fans sich direkt auf der offiziellen FIFA-Website vergewissern.
- Vorsichtig mit Links walten lassen: Gefälschte «Fan-ID»-Mails oder «Zeitplan-Updates» sind gängige Phishing-Tricks. Fussballfans sollten es vermeiden, auf verdächtige Links oder Anhänge zu klicken.
- Domain-Namen prüfen: Betrügerische Websites verwenden oft raffinierte Rechtschreibfehler (z. B. fifaw0rldcup2026.com). Nutzer sollten URL daher immer genau unter die Lupe nehmen.
- Angeboten keinen Glauben schenken, wenn sie zu gut sind, um wahr zu sein: Versprechungen von garantierten Tickets, frühzeitigem Zugang oder hohen Rabatten sind fast immer ein Warnsignal.
- Sicherheitstools verwenden: Browser, Antiviren- und Sicherheits-Software sollten immer auf dem neuesten Stand gehalten werden, um bösartige Domains, Phishing-Versuche und betrügerische Werbung zu blockieren.
Durch die Kombination von systemischen Massnahmen und der Sensibilisierung der Benutzer kann das Ökosystem des Betrugs frühzeitig erodiert werden, bevor es ausgereift ist.
Check Points Sicherheitsforscher meinen: Die Fussballweltmeisterschaft 2026 hat noch lange nicht begonnen, doch kriminelle Machenschaften auf Kosten des Sportspektakels beginnen bereits. In den digitalen Randbereichen des Turniers wird eine parallele Wirtschaft aufgebaut: In deren Zentrum stehen Domains, die in synchronisierten Wellen registriert werden, durch eine gemeinsame Infrastruktur verankert sind und darauf warten, durch Telegram-Kanäle, Dark-Web-Märkte, Social-Media-Kampagnen und bezahlte Werbung verstärkt zu werden.
Betrug ist in diesem Zusammenhang kein spontaner Opportunismus, sondern wird mit derselben Präzision und in demselben Ausmass geplant und durchgeführt wie das eigentliche Turnier selbst. Für die FIFA, die Sponsoren und die Austragungsstädte besteht die Herausforderung darin, den digitalen Bereich zu sichern, bevor Hacker sich darin breit machen. Für die Fans besteht die Verantwortung darin, vorsichtig zu sein und zu erkennen, dass sich hinter dem Versprechen eines billigen Tickets oder eines kostenlosen Streams eine Falle verbergen kann. Das Turnier sollte wegen der Dramatik der Spiele in Erinnerung bleiben und nicht als Ereignis, bei dem Millionen von Menschen durch Betrügereien, von denen sie nichts wussten, zu Schaden gekommen sind.
Weitere Informationen finden Sie hier: https://blog.checkpoint.com/executive-insights/playing-offside-how-threat-actors-are-warming-up-for-fifa-2026/
Folgen Sie Check Point über:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
LinkedIn Deutschland: https://de.linkedin.com/showcase/check-point-software-technologies-central-europe/
X: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com/executive-insights/playing-offside-how-threat-actors-are-warming-up-for-fifa-2026/
YouTube: https://www.youtube.com/user/CPGlobal
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com/de) ist ein führender Anbieter einer KI-gestützten, cloud-basierten Cyber-Sicherheitsplattform, die mehr als 100 000 Unternehmen weltweit schützt. Check Point nutzt die Kraft der KI überall, um die Effizienz und Genauigkeit der Cyber-Sicherheit durch seine Infinity-Plattform zu verbessern, dies mit branchenführenden Erkennungsraten, die eine Antizipation von Bedrohungen und intelligentere, schnellere Reaktionszeiten ermöglichen. Die umfassende Plattform umfasst Cloud-Technologien, bestehend aus Check Point Harmony zur Absicherung des Arbeitsplatzes, Check Point CloudGuard zur Absicherung der Cloud, Check Point Quantum zur Absicherung des Netzwerks und Check Point Infinity Core Services für kollaborative Sicherheitsabläufe und -dienste.
Legal Notice Regarding Forward-Looking Statements
This press release contains forward-looking statements. Forward-looking statements generally relate to future events or our future financial or operating performance. Forward-looking statements in this press release include, but are not limited to, statements related to our expectations regarding future growth, the expansion of Check Point’s industry leadership, the enhancement of shareholder value and the delivery of an industry-leading cyber security platform to customers worldwide. Our expectations and beliefs regarding these matters may not materialize, and actual results or events in the future are subject to risks and uncertainties that could cause actual results or events to differ materially from those projected. The forward-looking statements contained in this press release are also subject to other risks and uncertainties, including those more fully described in our filings with the Securities and Exchange Commission, including our Annual Report on Form 20-F filed with the Securities and Exchange Commission on April 2, 2024. The forward-looking statements in this press release are based on information available to Check Point as of the date hereof, and Check Point disclaims any obligation to update any forward-looking statements, except as required by law.
Pressekontakte:
Jenni Kommunikation AG
Sylvana Zimmermann
Tel: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com