Billets, maillots, emplois, la Coupe du monde 2026 sert d’appât à trois campagnes de phishing mobile. Et le risque ne s’arrête pas aux supporters.
En bref
- Trois campagnes visent les supporters sur mobile
- Billets, maillots et emplois servent d’appât
- Les comptes d’entreprise peuvent aussi tomber
Le vrai sujet, ici, dépasse le supporter qui se fait piéger sur un faux billet. Pour Zimperium et son équipe zLabs, la Coupe du monde 2026 montre surtout à quel point le smartphone est devenu une porte d’entrée vers les comptes professionnels. On achète un maillot dans le métro, on clique sur une promo depuis WhatsApp, on regarde un recrutement sur son mobile perso, et le périmètre de sécurité classique ne voit rien passer.
Le smartphone, nouveau sas entre vie perso et comptes pro
Pendant un grand événement sportif, les usages explosent, résultats des matchs, billets, produits dérivés, offres d’emploi. Or ces actions passent souvent par des canaux personnels, SMS, réseaux sociaux, moteurs de recherche ou messageries, pas par la messagerie de l’entreprise. Résultat, un clic sur un lien frauduleux depuis un téléphone utilisé à la fois pour le boulot et le perso peut lancer une compromission bien plus large.
Chez zLabs, Pablo Morales résume l’idée en expliquant que les grands événements créent un terrain très favorable aux cybercriminels, parce que l’urgence émotionnelle, la confiance accordée aux marques officielles et l’usage massif du mobile affaiblissent à la fois la vigilance humaine et les contrôles de sécurité.
La chasse aux billets, terrain parfait pour le typosquatting
Plus de 5 millions des quelque 6 millions de billets ont déjà été vendus. Ce niveau de rareté, on le connaît, pousse à cliquer vite. C’est exactement ce qu’exploitent les attaquants avec une campagne fondée sur le typosquatting, via des domaines très proches des sites officiels de la FIFA, comme fifa-tickets[.]vip.
Le piège est propre. Les faux sites reproduisent le parcours d’achat officiel pour récupérer identifiants, données personnelles et coordonnées bancaires. Certains kits observés vont plus loin et permettent même de prendre le contrôle du compte FIFA légitime après le vol des accès.
Maillots et faux concours, la mécanique RetailPhish
Deuxième volet, plus viral. La campagne baptisée RetailPhish usurpe l’image de grands équipementiers comme Adidas, Nike ou Puma. Le supporteur reçoit un message sur WhatsApp, clique sur une prétendue promotion, puis doit partager l’offre avec plusieurs contacts pour débloquer sa récompense.
Et là, la machine déroule. Données personnelles d’abord, coordonnées bancaires ensuite, avec le prétexte classique de frais de livraison minimes. Pas très sophistiqué sur le papier, mais clairement redoutable quand l’appât colle à l’actualité.
Les faux recrutements FIFA visent directement l’entreprise
La troisième campagne est sans doute la plus sensible pour les RSSI. Elle détourne les offres d’emploi liées à l’événement, accueil, sécurité, traduction ou production, à travers de faux portails imitant FIFA Careers.
Derrière, Zimperium a repéré une infrastructure de type Adversary-in-the-Middle. Le but, intercepter les identifiants et compromettre des comptes Google Workspace d’entreprise, y compris en contournant le MFA en temps réel. Bref, le supporteur ciblé n’est parfois qu’un salarié avec un mobile dans la poche.