Cyberbetrug rund um die FIFA-Weltmeisterschaft

Proofpoint hat das Risiko von Identitätsfälschungen im Umfeld der kommenden Fußballweltmeisterschaft untersucht. Kriminelle missbrauchen Sponsoren des Spektakels gerne als Einfallstor für Betrugsversuche. Für viele ist E-Mail-Schutz ein Fremdwort.

Ob ADI Predictstreet, Fifa-Partner und Anbieter einer Plattform für interaktive Tipperlebnisse, E-Mail-Schutz nach DMARC eingerichtet hat, wissen wir nicht. FIFA-Chef Gianni Infantino (li.) jedenfalls Vollzug melden. "Umfassende DMARC-'Reject'-Richtlinie umgesetzt", so Proofpoint. (Foto: FIFA)

Wenn man sich mit dem Thema Betrug rund um die kommende Fußballweltmeisterschaft in den USA und Mexiko beschäftigt, könnte man versucht sein, den Veranstalter dieses Spektakels genauer unter die Lupe zu nehmen. Man denke nur an Jack Warner. Die USA hatte den ehemaligen FIFA-Vizepräsidenten wegen Korruption und Geldwäsche im Zusammenhang mit der Vergabe der Weltmeisterschaften 2010 in Südafrika und 2018 in Russland angeklagt. Es ging um Schmiergelder in Millionenhöhe. Ein Gericht in Trinidad und Tobago hatte vergangenes Jahr die Auslieferung von Jack Warner an die USA aber endgültig gestoppt. Fall erledigt, wie so viele in der Vergangenheit. Auch der DFB hat das Trauma mit dem Sommermärchen rund um die Weltmeisterschaft 2026 in Deutschland abgehakt. Man darf sich also als Fußballfan auf die kommende WM in den USA und Mexiko (11. Juni bis zum 19. Juli 2026) ungetrübt freuen. Wirklich?

Social-Engineering-Betrugsmaschen

Jene Fans möglicherweise nicht, die neben viel Geld für horrende Ticketpreise an die Fifa berappen und zusätzlich um hohe Summen für Kollateralschäden rund um die WM bezahlen. Es geht um Social-Engineering-Betrugsmaschen. Um Hacker, die Marken und Logos der Sponsoren missbräuchlich für ihr Handwerk einsetzen. Davor warnt IT-Security-Anbieter Proofpoint.

Hacker geben sich als Sponsoren, Fluggesellschaften, Hotel- und Gastronomiebetriebe, Lieferdienste oder Konsumgütermarken aus und verwenden Domains und gefälschte E-Mails, die denen bekannter Marken ähneln. Im Vorfeld eines Turniers, das einen enormen Anstieg bei Reisen, Ticketverkäufen, Werbeaktionen und Fanartikelverkäufen mit sich bringt, sollte das gesamte Ökosystem eigentlich auf die Abwehr von E-Mail-basierten Bedrohungen vorbereitet sein. Ist es aber nicht, beziehungsweise viele der Sponsoren nicht.

Proofpoint hat die Systeme vieler FIFA-Sponsoren genauer unter die Lupe und das Risiko von Identitätsfälschung gemessen. Es steht nicht gut um die Einführung von DMARC (Domain-based Message Authentication, Reporting and Conformance). Laut der Proofpoint-Untersuchung verfügt mehr als ein Drittel der offiziellen Sponsoren, Ausrüster, Partner und Unterstützer der FIFA-Weltmeisterschaft 2026 nicht über die erforderlichen E-Mail-Sicherheitsmaßnahmen, um sich bzw. seiner Kunden vor dem Missbrauch seiner Marke zu schützen.

"Es ist zwar ermutigend, dass viele Partnermarken Maßnahmen zur Verbesserung ihrer E-Mail-Sicherheit ergriffen haben, doch zu viele lassen immer noch das Tor für betrügerische Nachrichten offen", stellt Matt Cooke fest, EMEA-Cybersicherheitsexperte bei Proofpoint. "Ohne stärkere Schutzmaßnahmen wird es für Kriminelle einfacher, sich als vertrauenswürdige Marken auszugeben und Menschen dazu zu verleiten, persönliche Daten preiszugeben oder Zahlungen für gefälschte Angebote zu leisten", sagt er.

DMARC: die erste Verteidigungslinie gegen E-Mail-Betrug

In den letzten Jahren hat Proofpoint festgestellt, dass Cyberkriminelle eine Reihe von Taktiken anwenden, um sich als legitime Organisationen auszugeben und so ihr Ziel zu erreichen, anstatt sich in die Netzwerke und die technische Infrastruktur ihrer Opfer zu hacken und diese zu infiltrieren.

Der konsequente Einsatz von DMARC könnte dem Betrug einen Riegel vorschieden. Schließlich wurde das E-Mail- Authentifizierungsprotokoll entwickelt, um Domainnamen vor Missbrauch durch Cyberkriminelle zu schützen. Es authentifiziert die Identität des Absenders, bevor eine Nachricht ihr Ziel erreichen darf.

DMARC verfügt über drei Schutzstufen: Überwachung, Quarantäne und Ablehnung; wobei die Ablehnung verdächtiger E-Mails der sicherste Weg ist, um zu verhindern, dass schädliche Nachrichten den Posteingang erreichen.

Wenn ein Unternehmen DMARC umsetzt, kann es festlegen, wie E-Mail-Nachrichten, die seinen Domainnamen verwenden, behandelt werden sollen, sowie die Richtlinie, die im Falle eines Fehlers bei der Überprüfung anzuwenden ist: die E-Mail akzeptieren (das kommt einer Nicht-Umsetzung von DMARC gleich), sie als Spam einstufen und unter Quarantäne stellen oder sie löschen.

DMARC-Basisschutz haben alle, reicht aber nicht

Okay, das wird schon noch was mit der rechtzeitigen Einführung von E-Mail-Schutz. Schließlich wird an Fußballstadien auch bis zum letzten Drücker gebaut, wenn es mit der FIFA-Weltmeisterschaft losgeht.

Und tatsächlich: Von den 25 von Proofpoint analysierten Domains haben 24 einen DMARC-Eintrag auf Basisebene veröffentlicht, was darauf hindeutet, dass die meisten Organisationen damit begonnen haben, Schutzmaßnahmen gegen den Missbrauch ihrer E-Mail-Domains zu implementieren.

Allerdings: Nur 16 der 25 Domains schützen ihren Domainnamen aktiv mit der strengsten DMARC-Richtlinie "Reject". Eine Einstellung, die verhindert, dass nicht authentifizierte, gefälschte E-Mails zugestellt werden. Mehr als ein Drittel (36 Prozent) aber haben den Eintrag nicht aktiviert, so dass betrügerische E-Mails nicht blockiert werden, die ihre Marken imitieren.

Schau an! Vorbild gegen Betrug: die FIFA

Was sollten Fans tun, bzw. beachten? Die FIFA leistet jedenfalls in dieser Hinsicht dem (Ticket-) Betrug keinen Vorschub. Wert seine Eintrittskarten direkt beim Veranstalter kauft, kann sich sicher sein. Die FIFA habe eine "umfassende DMARC-'Reject'-Richtlinie umgesetzt", so das Testat von Proofpoint.

Ansonsten gilt wie bei jeder Großveranstaltung und überhaupt im Netz: Unaufgeforderte E-Mails, SMS oder Anrufe ignorieren, insbesondere bei solchen, die zu dringenden Maßnahmen oder sofortiger Zahlung auffordern.

Niemals Finanzdaten oder Passwörter per E-Mail oder SMS weitergeben. Einzigartiges Passwort für jeden Zugang zu einem Portal wählen und Multi-Faktor-Authentifizierung (MFA) aktivieren.

Übrigens Proofpoint, obwohl US-Anbieter, ist kein Sponsor oder Partner der FIFA und gibt sein Geld lieber für Akquisitionen (Hornetsecurity) aus, was den ehrgeizigen Gründer Daniel Hofmann freut) oder für Forschung und Entwicklung für mehr Cybersecurity. Dort ist es wohl auch besser angelegt.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden