Himbauan Keamanan Siber
Phishing World Cup 2026:
Ledakan Infrastruktur dengan 222 Domain dan 203 IP Aktif
Kampanye phishing
besar-besaran yang menargetkan FIFA World Cup 2026 ternyata berkembang jauh
lebih masif dari perkiraan awal. Serangan yang awalnya hanya terdeteksi pada 79
domain palsu (fraudulent domains), kini telah melonjak menjadi sebuah
jaringan yang mencakup minimal 222 domain yang tersebar di 203 alamat
IP unik—hampir tiga kali lipat dari laporan pertama.
Metode Serangan
Aktor ancaman (threat actors)
membangun replika yang sangat meyakinkan dari situs web resmi FIFA. Situs
tiruan ini dilengkapi dengan halaman penjualan tiket palsu (fake ticketing),
toko cendramata imitasi, dan halaman log masuk (login) palsu yang
dirancang untuk menerima kredensial apa pun yang dimasukkan oleh korban.
Tujuannya sangat jelas: mencuri uang pembayaran tiket dan memanen detail akun
para penggemar sepak bola yang lengah.
Peneliti dari Flare
berhasil mengidentifikasi skala penuh dari operasi ini setelah memperluas
investigasi menggunakan rekam jejak DNS pasif (passive DNS records), log
transparansi sertifikat (certificate transparency logs), serta pengayaan
data WHOIS. Menariknya, temuan ini menunjukkan bahwa serangan ini bukanlah
operasi tunggal yang terkoordinasi, melainkan sebuah ekosistem penipuan
terdistribusi (distributed fraud ecosystem) yang digerakkan oleh minimal
empat klaster operator berbeda yang memanfaatkan momentum ajang yang sama.
Lonjakan Pertumbuhan
Infrastruktur
Untuk melihat skala lonjakan
infrastruktur taktik phishing ini sejak analisis pertama dilakukan,
berikut adalah perbandingannya:
|
Metrik Infrastruktur |
Data Awal |
Kondisi Saat Ini (Mei 2026) |
Skala Pertumbuhan |
|
Jumlah Domain |
79 domain |
222 domain (206
berstatus aktif) |
Meningkat ~3x lipat |
|
Alamat IP Unik |
14 IP |
203 IP |
Meningkat ~14x lipat |
|
Jejak Hosting (Hosting
Footprint) |
Baseline |
Meluas drastis di berbagai
penyedia |
Meningkat 14x lipat |
Kampanye ini sama sekali tidak
melambat. Dalam 17 hari pertama di bulan April 2026 saja, tercatat ada 52
domain baru yang didaftarkan, dengan penambahan domain palsu yang muncul hampir
setiap hari.
Analisis Klaster dan
Distribusi Aktor
Analis keamanan berhasil
memetakan infrastruktur ini ke dalam empat klaster utama berdasarkan
karakteristiknya:
- Klaster A: Terdiri dari 86 domain yang
secara langsung meniru nama domain resmi fifa.com. Ini merupakan klaster
yang paling mencolok dan agresif.
- Klaster B: Terdiri dari 14 domain
ber-ekstensi .shop dengan nama generik. Domain ini tidak menyebut nama
FIFA secara langsung, namun mengarahkan (redirect) korban ke
halaman landas (landing page) penipuan yang sama.
- Klaster C: Terdiri dari 3 domain
ber-ekstensi .cn yang semuanya didaftarkan menggunakan satu akun Gmail
tunggal. Hal ini mengindikasikan adanya aktor asal China yang beroperasi
secara independen.
- Klaster D: Menggunakan identitas pendaftar
palsu (fake registrant) atas nama "888 World Cup Management Co
Ltd" dan secara terang-terangan mencantumkan nama turnamen pada
sampul situsnya.
Meskipun keempat klaster ini
menggunakan templat halaman dan target korban yang sama, indikasi sidik jari
digital (fingerprint) mereka menunjukkan bahwa mereka adalah aktor-aktor
independen yang terpisah, yang kemungkinan besar membeli atau menggunakan scam
kit (paket alat penipuan) yang sama di pasar gelap.
Detail Teknis Infrastruktur
- Penggunaan Reverse Proxy: Sebanyak 80,6%
alamat IP bersembunyi di balik layanan Cloudflare yang digunakan
sebagai reverse proxy untuk menyembunyikan lokasi server asli
mereka.
- Penyematan Multi-Domain: Lima alamat IP
kedapatan menampung banyak domain sekaligus dari kampanye ini; bahkan ada
satu alamat IP tunggal yang terhubung ke delapan situs penipuan berbeda.
- Penyedia Jasa Pendaftaran (Registrar):
Layanan GNAME.COM mendominasi dengan menampung sekitar 94 domain
(42%), disusul oleh GoDaddy dengan 42 domain. Hanya dengan dua registrar
ini saja, penyerang sudah mengontrol sekitar 61% dari total infrastruktur
serangan.
Rekomendasi Mitigasi untuk Tim
Keamanan
Mengingat masifnya perputaran
domain yang digunakan, tim deteksi siber (SOC/Blue Team) harus beroperasi pada
level kampanye menyeluruh, bukan sekadar memblokir domain satu per satu secara
reaktif. Langkah yang disarankan meliputi:
- Melampaui Pola Penamaan: Jangan hanya
mendeteksi berdasarkan kata kunci (seperti teks "fifa" atau
"worldcup"). Penyerang kini banyak menggunakan nama domain
generik (seperti pada Klaster B).
- Gunakan Sidik Jiri TLS & Templat:
Integrasikan aturan deteksi berbasis penggunaan ulang sertifikat TLS (TLS
certificate reuse) serta kecocokan sidik jari templat halaman (page
template fingerprinting).
- Otomatisasi Status Indikator: Perlakukan
setiap domain baru yang memiliki kecocokan indikator WHOIS dengan klaster
yang sudah dipetakan sebagai bagian dari kampanye aktif yang berbahaya.
- Pelaporan Massal (Bulk Abuse Reporting):
Tim brand protection perusahaan disarankan untuk memprioritaskan
pelaporan penyalahgunaan massal langsung ke registrar dominan,
dalam hal ini GNAME.COM dan GoDaddy, untuk melakukan takedown
berskala besar.
Sumber: https://www.cybersecurity-insiders.com/fifa-2026-world-cup-a-scam-or-fraud/