2022 年世界杯已經開始，通過虛假流媒體網站與彩票針對足球迷的詐騙激增。近日，Zscaler 發現與世界杯相關的新注冊域名有所增加，盡管并非都是惡意的，也是值得警惕的。

流量趨勢

隨著世界杯的開賽，從 11 月 21 日流媒體流量就開始顯著增加。

流量變化趨勢

案例一：虛假流媒體網站

虛假流媒體網站和其他詐騙網站數量激增，這些網站會聲稱提供免費的世界杯比賽直播服務。但實際上會將用戶重定向到其他網頁，提示用戶輸入銀行卡信息。類似的流媒體網站模板，在 2020 年東京奧運會期間也出現過。

這些虛假網站通常會使用新注冊的惡意域名，有些也會濫用良性服務或者提供對外跳轉的鏈接地址。

Linkedin 對外跳轉示例

虛假網站示例

受害者跳轉到號稱提供 2022 年世界杯開幕式直播的惡意網站，該網站再重定向到 Blogspot 上部署的虛假流媒體網站，提示用戶創建賬戶并免費觀看直播。除了 Linkedin，攻擊者還利用了 OpenSea 等網站。

OpenSea 對外跳轉示例

虛假網站示例

用戶輸入電子郵件地址與密碼后，會被多次重定向，最終跳轉到 YouTube。

重定向鏈條

訪問者都會要求在表單中提交銀行卡的詳細信息：

虛假支付頁面

虛假支付頁面

案例二：門票與彩票詐騙

許多與世界杯門票銷售相關的網站被建立起來，引誘用戶購買虛假門票。攻擊者直接竊取銀行卡信息或者收取機票、門票的費用。例如下 11 月 15 日，有攻擊者部署了一個提供世界杯門票的網站。

虛假門票銷售網站

門票之外，與世界杯相關的事情都可以進行詐騙。如下，攻擊者在 11 月 11 日部署的模擬卡塔爾航空的惡意網站。

虛假機票銷售網站

惡意郵件也開始以 2022 年世界杯彩票委員會的名義進行攻擊：

惡意郵件

惡意附件中表示用戶是彩票的中獎者，用戶可以填寫個人信息領取獎金。

惡意附件

案例三：SolarMarker

SolarMarker 是一個非常常見的惡意軟件家族，經常進行信息竊密。攻擊者經常在失陷的 WordPress 網站上部署惡意 PDF 文件，再通過 SEO 進行分發。研究人員發現，SolarMarker 開始攻擊那些售賣世界杯貼紙的電子商務網站，將用戶重定向到其他網站并進行攻擊。

失陷網站的惡意 PDF 文件

案例四：游戲詐騙

攻擊者通過惡意 PDF 文件，引誘用戶下載破解版 FIFA 游戲。此類攻擊行為從 8 月就開始出現，一直持續到世界杯開幕。

惡意 PDF 文件

點擊下載后，用戶會被重定向到其他域名，要求下載包含惡意可執行文件的壓縮包。

惡意壓縮包

案例五：Parrot TDS 虛假更新

Parrot TDS 是 2017 年以來一直保持活躍的惡意軟件，其將惡意 JavaScript 代碼注入 CMS 中。大多數情況下，攻擊者顯示用戶的瀏覽器需要更新來引誘下載。攻擊者近日也瞄準上了世界杯相關的網站，發起了大量攻擊。

注入腳本