מונדיאל 2026, שייערך בארצות הברית, קנדה ומקסיקו, מתחיל השבוע, והפעילות של עברייני רשת הולכת וגוברת, כשאלו מנסים לנצל לרעה את הביקוש הגבוה לכרטיסים, חבילות אירוח ומוצרים רשמיים של הטורניר.

חוקרי חברת אבטחת המידע והסייבר ESET זיהו לאחרונה מספר אתרים מזויפים המתחזים ל-FIFA ולאתר הרשמי של המונדיאל, ומובילים גולשים לתהליכי רישום ותשלום שנועדו לגנוב מהם כסף, פרטי אשראי ומידע אישי.

על פי ESET, האתרים המזויפים נבנו כך שייראו דומים ככל האפשר לאתר הרשמי: הם משתמשים בצבעים, בתפריטים, בעמודי הרשמה, בחירת משחקים, סל קניות ועמודי תשלום שמזכירים את חוויית הרכישה האמיתית. בחלק מהמקרים נעשה שימוש בדומיינים שנראים קרובים לשם FIFA או למונדיאל 2026, כולל סיומות כמו shop או store, כדי לגרום לאתר להיראות כמו חנות רשמית.

טכניקה זו, המוכרת בשם Typosquatting, מבוססת על שינוי קטן בכתובת האתר כדי להטעות משתמשים שממהרים לבצע רכישה.

לדברי גיל שטרן, מנהל השיווק בקומסקיור, המפיצה הרשמית של ESET בישראל: "אירועים בינלאומיים גדולים הם כר פורה להונאות רשת, משום שהם משלבים ביקוש גבוה, לחץ זמן והרבה מאוד רגש. אוהדים שחוששים לפספס כרטיסים או מוצרים רשמיים עלולים ללחוץ מהר מדי על קישור שנראה אמין, בלי לבדוק לעומק את הכתובת או את מקור ההצעה".

שטרן מציין כי האתרים המזויפים אינם מסתפקים בדף נחיתה פשוט, אלא מייצרים חוויית רכישה מלאה: "באתרים המזויפים ישנו שכפול של האתרים הרשמיים, כולל ההרשמה, בחירת כרטיסים או מוצרים, מעבר לסל קניות והזנת פרטי תשלום. חלק מהגולשים עלולים להגיע לאתרים המתחזים האלה דרך תוצאות חיפוש ממומנות, פרסומות ברשתות חברתיות, קישורים בהודעות או מיילים שהועברו הלאה. החיקוי המדויק של התהליך הרשמי נועד לגרום למשתמש להרגיש שהוא נמצא באתר אמיתי ולסיים את הרכישה בלי לעצור ולבדוק".

העובדה שאתר כולל עגלת קניות, טופס תשלום ועיצוב מקצועי לא מוכיחה שהוא לגיטימי. "עברייני רשת יודעים לבנות חוויות משתמש משכנעות מאוד. ברגע שהגולש מזין שם, כתובת מייל, מספר טלפון, סיסמה או פרטי אשראי, המידע הזה יכול לשמש לא רק לגניבה מיידית, אלא גם לניסיונות פריצה לחשבונות נוספים, במיוחד אם אותה סיסמה משמשת אותו גם במייל, ברשתות חברתיות או בשירותים פיננסיים", הוא מחדד.

איך להימנע מהונאות לקראת המונדיאל?

לפי המלצות החברה, חשוב במיוחד להימנע מרכישת כרטיסים או חבילות דרך גורמים לא מוכרים, קישורים מפרסומות או הצעות ברשתות החברתיות. על פי FIFA, רכישת כרטיסים למונדיאל צריכה להתבצע רק דרך הערוצים הרשמיים של הארגון, בהם אתר הכרטיסים הרשמי, אתר חבילות האירוח הרשמי וחבילות נסיעה רשמיות. לכן, ההמלצה המרכזית היא להגיע לאתר הרשמי באופן יזום, באמצעות הקלדת הכתובת בדפדפן או שימוש בסימנייה מוכרת, ולא דרך קישור שנשלח בהודעה או הופיע בפרסומת.

בנוסף, החוקרים בחברה ממליצים לבדוק היטב את שם הדומיין לפני הזנת פרטים, להיזהר מהצעות שמייצרות תחושת דחיפות כמו "כרטיסים אחרונים", "גישה ל-VIP" או "הנחה לזמן מוגבל", ולא להשתמש באותה סיסמה בכמה אתרים שונים. בנוסף, מומלץ להפעיל אימות דו שלבי בחשבונות חשובים ולהשתמש בתוכנת אבטחה בכל המכשירים.

"לקראת המונדיאל נראה עוד ועוד ניסיונות לנצל את ההתלהבות של האוהדים. הכלל החשוב הוא פשוט: אם ההצעה הגיעה מקישור אקראי, מפרסומת או מהודעה שלא ציפיתם לה, עצרו ובדקו. כמה שניות של בדיקה יכולות למנוע אובדן של כסף, פרטי אשראי וזהות דיגיטלית", מסכם שטרן.