Falta menos de um mês para o início do evento esportivo mais importante do mundo. Estamos falando da Copa do Mundo da FIFA 2022 no Qatar que ocorre entre os dias 20 de novembro e 18 de dezembro. Este evento atrai a atenção de milhões de torcedores ao redor do mundo, mas também de cibercriminosos que estão à espreita tentando se aproveitar do interesse gerado por este acontecimento. Por isso, desta vez, separamos algumas das maneiras pelas quais as pessoas podem acabar sendo vítimas de golpes que resultam no roubo de informações ou dinheiro e que utilizam a Copa do Mundo como isca.

E-mails de phishing

Cibercriminosos estão utilizando diversos modelos de e-mails falsos referentes à Copa do Mundo. Por exemplo, eles informam as pessoas sobre o prêmio de supostos ingressos para os jogos. Mas a verdadeira intenção é normalmente a mesma: roubar dados pessoais, dinheiro ou baixar malware e aplicativos suspeitos no computador da vítima.

A ESET detectou vários exemplos de campanhas de phishing em diversas partes do mundo que tentam enganar usuários desprevenidos, levando-os a acreditar que foram ganhadores de supostos sorteios e que receberão prêmios em dólar. Para receber o suposto dinheiro, a pessoa é orientada a responder um e-mail que conta com um formulário que deve ser preenchido com diversas informações pessoais, tais como nome completo, data de nascimento, número de telefone, profissão, entre outras. Além disso, as vítimas são orientadas a fornecer o nome e o número de telefone de uma pessoa para contato.

Neste tipo de golpe, quando a pessoa é contatada, o criminoso geralmente cria alguma regra extra para que o dinheiro seja enviado ao suposto ganhador, como o pagamento de um imposto, por exemplo. Desta forma, os criminosos conseguem roubar alguma quantidade em dinheiro da vítima. Os dados coletados também podem acabar sendo comercializados em fóruns na dark web.

Observamos o assunto desses e-mails de phishing tanto em inglês quanto em português. Alguns dos assuntos são: “Qatar World Cup 2022 Lottery Winner”, “QATAR 2022 FIFA LOTTERY WINNER” ou “Parabéns! Você foi ganhador do QATAR FIFA 2022 MEGA WORLD CUP LOTTERY”.

Mensagem que chega via anexo em um e-mail de phishing que utiliza a Copa do Mundo como isca.

Outro exemplo de um e-mail de phishing que utiliza a Copa do Mundo foi reportado há algumas semanas. O golpe tentava enganar potenciais vítimas para que acreditassem que tinham ganho ingressos para assistir ao primeiro jogo da Copa do Mundo.

Sites falsos

Além dos e-mails de phishing, os criminosos podem criar sites falsos que são distribuídos através de anúncios maliciosos, e-mails de spam, perfis falsos, ou outros meios. Independentemente destes sites serem ou não cópias de páginas legítimas, é importante saber que eles são frequentemente utilizados para roubar dados pessoais, de login e financeiros ou outras informações sensíveis. Em alguns casos, estes sites podem até ser utilizados para baixar malware ou aplicativos suspeitos.

Cópia falsa do site oficial do Qatar 2022 utilizada para roubar dados pessoais e redirecionar as vítimas para um site falso de venda de ingressos.

Este site se faz passar pela página oficial do Qatar 2022 (que conta com a seguinte URL: https://www.qatar2022.qa). Se observarmos para a imagem acima podemos ver que a URL é muito parecida com a do site oficial. Neste site falso, os cibercriminosos oferecem a possibilidade de obter ingressos, mas primeiro pedem que o usuário preencha um formulário através do qual eles coletam uma grande quantidade de dados pessoais. Estas informações podem ser comercializados ou utilizados em ataques de engenharia social.

Exemplo de dados solicitados por site falso ao tentar comprar ingressos para a Copa do Mundo.

Golpe com álbum de figurinhas

Através do WhatsApp está circulando um golpe com mensagens que se fazem passar pela empresa Panini e oferecem uma falsa promoção que promete o Álbum oficial da Copa do Mundo recém lançado e mais 400 figurinhas sem pagar nada. No entanto, para participar, o usuário deve responder a um questionário. Ao finalizar todo o processo, a vítima também é orientada a baixar um aplicativo suspeito via Google Play para a leitura de códigos QR.

Golpes com a venda de ingressos

Se você ainda estiver tentando comprar ingressos para assistir a um dos jogos, é importante estar atento a outros métodos que podem ser utilizados pelos golpistas. Algumas pessoas relataram ter sido contatadas por um e-mail que se faz passar pela FIFA e oferece ingressos para a venda. Mesmo nos grupos do Reddit, os usuários estão sendo enganados com falsos ingressos impressos, afirmam alguns usuários.

Vale destacar que as entradas para os jogos do Qatar 2022 serão digitais e não haverá ingressos físicos. A única maneira de comprar ingressos é através do site oficial FIFA.com/tickets. Por outro lado, a revenda não autorizada de entradas é proibida no país e as penalidades podem ser muito severas. A única maneira de revender os ingressos e comprá-los é através da página oficial de revenda de ingressos da FIFA. Para maiores informações sobre a compra de ingressos, revenda e sites autorizados, acesse o site oficial da FIFA.

Golpistas tentam revender entradas no Reddit. Fonte: Reddit.

Outros golpes

É bastante provável que os criminosos utilizem outras formas de golpe para se aproveitar do envolvimento das pessoas com a Copa do Mundo. Por exemplo, através de falsas ofertas ou sorteios no WhatsApp, falsos perfis em redes sociais ou até mesmo anúncios falsos que redirecionam para sites maliciosos.

Além disso, sugerimos aos usuários que fiquem atentos sobre o lançamento de novos tokens. Como já vimos em outros eventos, os golpistas muitas vezes criam tokens utilizando assuntos que estão em evidência no momento, como o golpe Rug Pull que ocorreu com o token Squid ao utilizar o nome da série Round 6 (Squid Game, em inglês).

Recentemente, lançaram um token chamado FIFA Inu que está que foi reportado como um golpe devido à queda em seu valor que ocorreu após um aumento significativo. Entretanto, seus criadores alegam que se tratam de acusações falsas. De qualquer forma, o ideal é sempre estar atento ao investir dinheiro em tokens.