Waspada Situs FIFA Palsu: FBI Rilis Peringatan Penipuan Tiket dan Merchandise Piala Dunia 2026

Biro Investigasi Federal Amerika Serikat (FBI) resmi mengeluarkan peringatan keras terkait maraknya kemunculan situs-situs web palsu yang mencatut nama FIFA menjelang perhelatan akbar Piala Dunia 2026. Jaringan situs tiruan ini sengaja dirancang oleh penjahat siber untuk menguras data pribadi, mencuri informasi keuangan, menjual tiket fiktif, serta melancarkan berbagai skema penipuan digital lainnya.

Mengingat turnamen sepak bola internasional terbesar ini dijadwalkan berlangsung antara 11 Juni hingga 19 Juli 2026 di tiga negara tuan rumah (Amerika Serikat, Kanada, dan Meksiko), para aktor ancaman dilaporkan telah menyiapkan ratusan domain phishing untuk menjebak para penggemar sepak bola di seluruh dunia.

Taktik Penyamaran Domain (Typosquatting) & Lowongan Kerja Palsu

Berdasarkan pengumuman layanan masyarakat (public service announcement) dari FBI, para pelaku kejahatan menggunakan teknik typosquatting—yaitu mendaftarkan nama domain yang sangat mirip dengan situs resmi fifa.com namun dengan sedikit kesalahan ejaan yang sekilas sulit disadari oleh mata awam.

Karakteristik Situs FIFA Palsu yang Ditemukan:

• Modifikasi Ejaan & Ekstensi Domain: Menggunakan nama plesetan seperti fiffa[.]com dan memanfaatkan Top-Level Domain (TLD) alternatif yang tidak lazim (seperti .org, .xyz, .live, atau .sale).
• Portal Lowongan Kerja Fiktif: Peretas juga membuat situs rekrutmen palsu dengan nama domain seperti jobs-fifa[.]com atau fifa-hiring[.]com untuk mengelabui para pencari kerja yang ingin terlibat dalam operasional piala dunia.

FBI mencatat bahwa situs-situs web penipuan tersebut secara agresif mengumpulkan berbagai jenis data sensitif pengunjung, mulai dari nama lengkap, alamat fisik, alamat email, nomor telepon, hingga detail perbankan atau kartu kredit. Data yang bocor ini sangat rawan disalahgunakan untuk aksi pencurian identitas (identity theft) maupun pembobolan rekening keuangan.

Kampanye Iklan Berbayar Masif “Ghost Stadium” asal Cina

Skala penyebaran skema penipuan ini tergolong masif. Lembaga keamanan siber Group-IB dan Bitdefender melaporkan bahwa promosi situs palsu ini gencar dilancarkan melalui metode malvertising (iklan berbahaya) di Google Search, iklan bersponsor Facebook, serta penyebaran tautan berantai di aplikasi pesan instan Telegram dan WhatsApp.

• Operasi Ghost Stadium: Group-IB berhasil mendeteksi operasi siber berskala besar yang didalangi oleh aktor ancaman asal Cina dengan kode nama Ghost Stadium. Kelompok ini mengoperasikan lebih dari 300 situs phishing yang merupakan klon/kembaran persis dari portal resmi FIFA untuk menjalankan modus penipuan penjualan tiket kelas premium (hospitality packages).
• Target Global Bitdefender: Sejak Februari lalu, Bitdefender mendeteksi aktivitas penipuan bermerek Piala Dunia ini telah menyasar pengguna di berbagai negara, termasuk Inggris, Portugal, Spanyol, Aljazair, AS, Kanada, Meksiko, Brasil, Jerman, dan Australia. Modus yang ditawarkan sangat beragam, mulai dari penjualan jersei/merchandise palsu, paket layanan streaming ilegal, hingga penawaran album stiker koleksi Panini fiktif.

Langkah Aman Menghindari Penipuan Menurut FBI

Guna menghindari risiko kehilangan uang dan kebocoran data pribadi akibat antusiasme Piala Dunia yang melonjak, FBI membagikan beberapa panduan keamanan siber mendasar bagi para suporter:

1. Ketik URL Secara Manual: Selalu ketik alamat resmi fifa.com secara langsung pada bilah alamat (address bar) peramban Anda, jangan mengklik tautan dari tempat lain.
2. Hindari Iklan Bersponsor: Jangan mengklik hasil pencarian teratas di Google yang memiliki label “Bersponsor” (Sponsored/Ads), karena peretas kerap membeli slot tersebut. Gunakan pemblokir iklan (ad blocker) jika diperlukan.
3. Periksa Akhiran URL: Pastikan domain situs web resmi FIFA yang Anda buka diakhiri dengan ekstensi .com, bukan ekstensi aneh lainnya.
4. Gunakan Fitur Bookmark: Simpan halaman resmi FIFA yang sudah terverifikasi ke dalam daftar bookmark browser Anda untuk akses aman di kemudian hari.
5. Abaikan Pesan Instan Mencurigakan: Jangan pernah mengklik tautan promosi tiket atau merchandise murah yang dikirimkan melalui pesan langsung (Direct Message) di media sosial maupun WhatsApp.
6. Jangan Masukkan Data Sembarangan: Jangan pernah menginput data kartu kredit atau identitas penting sebelum Anda benar-benar yakin situs tersebut adalah portal autentik milik FIFA.

Jika Anda atau kerabat terdekat terlanjur menjadi korban dari skema penipuan ini, segera kumpulkan bukti transaksi dan laporkan detail insiden tersebut (termasuk nama domain palsu yang digunakan serta riwayat pembayaran) ke otoritas penegak hukum keamanan siber setempat agar situs fraud tersebut dapat segera diblokir secara global.

Sumber: FBI / Group-IB / Bitdefender