Mens VM-kampene spilles på den anden side af Atlanten, følger danske fans med fra telefonen.
Ny research viser, hvordan cyberkriminelle udnytter jagten på streams, livescores og kampøjeblikke med falske links, der dukker op, når kickoff nærmer sig.
VM er i gang på den anden side af Atlanten, hvor stadionerne koger, og verdens største (og mindste) fodboldnationer jagter drømmen om guldet. Danmark er ikke med på banen, men herhjemme spiller vi alligevel med – fra sofaen, gruppechatten og mobilen.
Og netop dér forsøger svindlerne at slå til.
Det viser ny research fra Arctic Wolf Labs, der har undersøgt det cyberkriminelle miljø omkring VM 2026. Siden januar har sikkerhedsforskere observeret mere end 10.000 VM-relaterede domæner, og mange af angrebene er målrettet fans på mobilen.
Når kampstart nærmer sig, og feeds, gruppechats og livescores begynder at gløde, er det let at klikke hurtigt. Et stream-link, der dukker op få minutter før kickoff, kan ligne en genvej ind til kampen. Men ifølge Arctic Wolf Labs er det netop den slags øjeblikke, angriberne forsøger at udnytte.
Fem minutter før kickoff
Svindlen begynder sjældent med noget, der ligner svindel. Det kan være et opslag i feedet, en invitation til en gruppechat eller et link, der lover adgang til kampen, lige når optakten spidser til. På overfladen ser det harmløst ud. Men klikker man videre, ryger man ofte ud af den åbne platform og ind i WhatsApp, Telegram eller Discord, hvor selve fælden venter.
Ifølge Arctic Wolf Labs er det en bevidst taktik. På sociale medier skal opslaget bare være rent nok til at blive stående. Inde i beskedtjenesterne er der mindre kontrol, højere tillid og færre sikkerhedslag omkring brugeren. Det gør mobilen til en oplagt kampplads for svindlere.
Timingen er mindst lige så vigtig som lokkemaden. Flere grupper bygger kanaler op før kampene og lover, at det “rigtige” stream-link først bliver delt få minutter før kickoff. Når kampen er ved at begynde, og man bare vil ind og se bold, er der kortere vej fra nysgerrighed til klik.
“VM er et perfekt tidspunkt for cyberkriminelle, fordi fans handler hurtigt og følelsesdrevet. Når et link lover gratis streaming fem minutter før kickoff, er der mange, der klikker først og tænker bagefter,” siger Clare Loveridge, Vice President og General Manager for EMEA hos Arctic Wolf.
For danske fans bliver truslen ikke mindre af, at Danmark ikke er med. Tværtimod kan turneringen for mange blive noget, man følger mere løst og impulsivt: via højdepunkter, livescores, sociale medier og links, der dukker op i private chats. Det er netop den mobile VM-adfærd, svindlerne udnytter.
Arctic Wolf Labs har blandt andet set falske VM-billetsider, ondsindede Android-apps forklædt som billetapps og malware forklædt som en billetviser til Windows. Rapporten beskriver også kampagner, hvor VM-branding bruges til at narre brugere til at afgive loginoplysninger.
Ikke kun fans er i skudlinjen
VM-svindlen stopper ikke ved fans, der bare vil se kampen. Arctic Wolf Labs har også fundet falske FIFA-jobportaler, manipulerede dokumenter med QR-koder og phishingangreb rettet mod organisationer omkring turneringen. I nogle tilfælde kan angriberne endda omgå klassisk multifaktor-login ved at opsnappe engangskoder i realtid, mens offeret tror, de logger ind et legitimt sted.
“Det nye er ikke kun, at svindlen handler om billetter og streams. Angrebene flytter ind på mobilen og videre ind i lukkede beskedtjenester, hvor både brugere og sikkerhedssystemer har sværere ved at opdage dem,” siger Clare Loveridge.
Derfor anbefaler Arctic Wolf, at fans stopper op, når et VM-link virker for godt, for nemt eller for presset. Det gælder især gratis streams, links i chats, QR-koder fra ukendte kilder og indhold, der dukker op lige før kampstart.
Apps, “stream players” og billetprogrammer bør kun hentes fra officielle appbutikker og officielle kanaler. QR-koder bør behandles som det, de er: links, hvor man ikke kan se destinationen, før man scanner.
For selv om Danmark missede VM på banen, bliver turneringen stadig spillet på danske telefoner. Og dér er modstanderen ikke Tjekkiet, Brasilien eller Argentina, men svindlerne.
