Para dar credibilidade ao esquema, os cibercriminosos recorrem a uma técnica conhecida como typosquatting. Esta tática consiste no registo de domínios na internet com nomes muito semelhantes aos da organização da FIFA ou da própria competição, utilizando pequenas alterações ortográficas que passam facilmente despercebidas. O nível de sofisticação estende-se ao design, com os atacantes a clonarem as cores, as interfaces de registo e os fluxos de pagamento da página legítima.
A propagação destas plataformas falsas é potenciada através de canais digitais de grande alcance. Os investigadores da ESET sublinham que estas páginas chegam frequentemente às vítimas através de resultados patrocinados em motores de busca, anúncios pagos em redes sociais ou links partilhados por terceiros sem qualquer verificação prévia. A aparência profissional de uma loja online, munida de um carrinho de compras totalmente funcional, serve como o isco perfeito para validar a fraude.
O mecanismo do golpe é simples, mas altamente destrutivo: o utilizador é induzido a criar conta, escolher os produtos desejados e introduzir os dados do seu cartão de crédito. No final, a vítima fica sem o dinheiro e sem o bilhete, enquanto os atacantes recolhem toda a informação financeira. A ESET alerta ainda que a recolha de nomes, emails e palavras-passe reutilizadas abre portas a ataques secundários, comprometendo o email ou as redes sociais das vítimas a longo prazo.
Ricardo Neves, Responsável de Comunicação e Marketing da ESET Portugal, explica que os grandes eventos desportivos reúnem as condições perfeitas para o cibercrime. A combinação de elevada procura, sentido de urgência e confiança inabalável na marca faz com que os utilizadores baixem as suas defesas naturais. O que começa com a simples intenção de garantir um lugar no estádio transforma-se na entrega voluntária de credenciais críticas que serão exploradas noutros contextos.
Face a esta ameaça crescente, a melhor linha de defesa passa por uma postura de zero confiança perante ofertas externas. A FIFA já clarificou que a aquisição de ingressos e pacotes de hospitalidade deve ser feita exclusivamente através dos seus canais oficiais. A ESET recomenda a verificação rigorosa dos domínios web, a desconfiança imediata perante campanhas de urgência (como "últimos bilhetes" ou "acesso VIP") e a adoção de boas práticas de cibersegurança, nomeadamente a autenticação multifator.
