Alors que la compétition vient tout juste de s’ouvrir, les chercheurs de Zimperium ont documenté trois campagnes de phishing mobile d’une sophistication inhabituelle, qui exploitent la fièvre du Mondial pour s’attaquer aussi bien aux supporters qu’aux environnements d’entreprise. Le vecteur d’entrée : l’appareil mobile, aujourd’hui hors de portée de la plupart des contrôles de sécurité traditionnels.
Sur six millions de billets disponibles pour la Coupe du monde 2026, cinq millions ont déjà trouvé preneur. Ce déséquilibre brutal entre l’offre et la demande a créé un terrain que les cybercriminels ont immédiatement su exploiter. À cela s’ajoute, pour la première fois, une tarification dynamique portant certains billets pour la finale à 30 000 dollars, ce qui pousse une partie des supporters vers des canaux alternatifs, Telegram, réseaux sociaux, annonces non vérifiées, où les liens malveillants prolifèrent sans friction. Les équipes de recherche zLabs de Zimperium ont analysé trois campagnes distinctes qui illustrent à quel point cette fenêtre d’opportunité est désormais industriellement exploitée.
La première, baptisée Ghost Stadium par le cabinet Group-IB qui l’avait préalablement identifiée, repose sur le typosquatting : des domaines comme fifa-tickets[.]vip reproduisent à l’identique le parcours d’achat officiel de la FIFA, jusque dans ses moindres détails techniques. Le kit de phishing utilisé clone la couche d’authentification PingIdentity DaVinci, le vrai fournisseur d’identité de la FIFA, en réutilisant le client_id OAuth2 officiel. La portée réelle de l’attaque dépasse le simple vol de coordonnées bancaires : le scope p1:reset:userPassword intégré au kit autorise l’attaquant à réinitialiser le mot de passe du compte FIFA légitime de la victime immédiatement après la capture des identifiants. Des pixels de traçage TikTok et Meta sont embarqués dans les pages frauduleuses, permettant le reprofilage des victimes via des publicités payantes. Une interface de chat en direct complète le dispositif, offrant une couche de manipulation sociale en temps réel pendant le faux processus d’achat.
Du maillot de foot au compte Google d’entreprise
La deuxième campagne, dite RetailPhish, change de cible mais conserve la même rigueur opérationnelle. Elle usurpe l’identité de Nike, Adidas, Puma ou Marathon Sport pour appâter les supporters avec de faux concours de produits dérivés. Le mécanisme est rodé : la victime reçoit un message WhatsApp, complète un quiz d’éligibilité, est invitée à partager le lien avec plusieurs contacts pour débloquer sa récompense, renseigne ses informations personnelles, puis ses coordonnées bancaires sous couvert de deux euros de frais de livraison. Chaque victime devient ainsi distributrice involontaire de la campagne au sein de son réseau de confiance. L’infrastructure technique révèle un niveau de professionnalisme marqué : neuf domaines partagent exactement les mêmes identifiants de proxy WHOIS, preuve qu’une entité unique pilote l’ensemble, le tout dissimulé derrière le réseau Cloudflare pour neutraliser les blacklists d’adresses IP.
La troisième campagne, nommée OffsideHire, est la plus préoccupante pour les organisations. Elle exploite les milliers de postes à pourvoir autour de l’événement, personnel d’accueil, agents de sécurité, traducteurs, techniciens, pour déployer quatre faux portails de recrutement usurpant l’identité de FIFA Careers. Le site fifajobs[.]com, toujours opérationnel au moment de l’analyse, dissimule une plateforme de type Adversary-in-the-Middle capable de contourner l’authentification multifactorielle en temps réel. Le kit rejette explicitement les adresses email personnelles et n’accepte que les comptes professionnels ou à domaine personnalisé, confirmant que la cible réelle est l’entreprise, non l’individu. Une fois les identifiants saisis et le second facteur intercepté à la volée, c’est une session Google Workspace authentifiée que le backend capture.
Quand l’usage personnel compromet le périmètre professionnel
Ce qui rend ces trois campagnes particulièrement difficiles à contenir tient moins à leur sophistication technique qu’à leur vecteur de diffusion. Elles transitent par WhatsApp, SMS, réseaux sociaux et résultats de recherche, des canaux qui échappent par nature aux dispositifs de filtrage déployés sur les réseaux d’entreprise. Un employé qui consulte ses messages personnels depuis un appareil utilisé aussi pour accéder à la messagerie professionnelle ou aux outils collaboratifs ouvre, sans le savoir, un chemin direct vers des ressources d’entreprise. Dans un contexte BYOD, ces interactions se produisent majoritairement hors VPN, sur réseau cellulaire, hors de toute visibilité du système d’information.
Pablo Morales, Threat Intelligence Researcher chez zLabs, résume la mécanique en jeu : la combinaison de l’urgence émotionnelle, de la confiance accordée aux marques officielles et de l’utilisation massive des appareils mobiles permet aux attaquants de contourner aussi bien la vigilance des utilisateurs que de nombreux contrôles de sécurité traditionnels. Le Mondial dure un mois.
