哨声吹响，与世界杯相关的欺诈也在激增

2022 年世界杯已经开始 ，哨声吹响通过虚假流媒体网站与彩票针对足球迷的世界诈骗激增
。近日，杯相Zscaler 发现与世界杯相关的欺诈新注册域名有所增加，尽管并非都是也激恶意的
，也是哨声吹响值得警惕的 。

流量趋势

随着世界杯的世界开赛
，从 11 月 21 日流媒体流量就开始显著增加
。杯相

流量变化趋势

案例一：虚假流媒体网站

虚假流媒体网站和其他诈骗网站数量激增 ，源码库欺诈这些网站会声称提供免费的也激世界杯比赛直播服务 。但实际上会将用户重定向到其他网页 ，哨声吹响提示用户输入银行卡信息 。世界类似的杯相流媒体网站模板 ，在 2020 年东京奥运会期间也出现过。欺诈

这些虚假网站通常会使用新注册的也激恶意域名 ，有些也会滥用良性服务或者提供对外跳转的链接地址。

Linkedin 对外跳转示例

虚假网站示例

受害者跳转到号称提供 2022 年世界杯开幕式直播的恶意网站
，该网站再重定向到 Blogspot 上部署的虚假流媒体网站 ，服务器租用提示用户创建账户并免费观看直播。除了 Linkedin
，攻击者还利用了 OpenSea 等网站。

OpenSea 对外跳转示例

虚假网站示例

用户输入电子邮件地址与密码后，会被多次重定向 
，最终跳转到 YouTube。

重定向链条

访问者都会要求在表单中提交银行卡的详细信息
：

虚假支付页面

虚假支付页面

案例二：门票与彩票诈骗

许多与世界杯门票销售相关的网站被建立起来，引诱用户购买虚假门票 。攻击者直接窃取银行卡信息或者收取机票
、门票的费用。例如下 11 月 15 日 ，有攻击者部署了一个提供世界杯门票的高防服务器网站
。

虚假门票销售网站

门票之外，与世界杯相关的事情都可以进行诈骗。如下，攻击者在 11 月 11 日部署的模拟卡塔尔航空的恶意网站 。

虚假机票销售网站

恶意邮件也开始以 2022 年世界杯彩票委员会的名义进行攻击
：

恶意邮件

恶意附件中表示用户是彩票的中奖者，用户可以填写个人信息领取奖金。

恶意附件

案例三 ：SolarMarker

SolarMarker 是一个非常常见的模板下载恶意软件家族 ，经常进行信息窃密。攻击者经常在失陷的 WordPress 网站上部署恶意 PDF 文件 ，再通过 SEO 进行分发。研究人员发现 ，SolarMarker 开始攻击那些售卖世界杯贴纸的电子商务网站，将用户重定向到其他网站并进行攻击。

失陷网站的恶意 PDF 文件

案例四：游戏诈骗

攻击者通过恶意 PDF 文件，引诱用户下载破解版 FIFA 游戏 。此类攻击行为从 8 月就开始出现 ，一直持续到世界杯开幕。

恶意 PDF 文件

点击下载后，香港云服务器用户会被重定向到其他域名，要求下载包含恶意可执行文件的压缩包。

恶意压缩包

案例五
：Parrot TDS 虚假更新

Parrot TDS 是 2017 年以来一直保持活跃的恶意软件，其将恶意 JavaScript 代码注入 CMS 中 。大多数情况下，攻击者显示用户的浏览器需要更新来引诱下载。攻击者近日也瞄准上了世界杯相关的网站 ，发起了大量攻击。

注入脚本