Kapsz egy „vb-jegyet” e-mailben QR-kóddal, hivatalosnak tűnő arculattal, visszaigazoló levéllel – és mégsem az. A 2026-os világbajnokság egyik legnagyobb kockázata nem a stadionnál, hanem a postaládádban és a böngésződben kezdődik.

Mi történt

A 2026-os FIFA-világbajnokság (USA–Kanada–Mexikó, 104 meccs, 16 város) mérete és nemzetközi figyelme különösen vonzó terep a kiberbűnözőknek. A jegyek iránti érdeklődés extrém: a nyitó értékesítési időszak első 15 napjában több mint 150 millió jegyigény érkezett, miközben a stadionokba összesen több mint 6 millió nézőt várnak. Ez a túljelentkezés tökéletes alapanyag a „most vagy soha” típusú átverésekhez.

A jelenség már a torna előtt látszik a domain-regisztrációkon: 2026 januárja és májusa között több mint 13 ezer FIFA-tematikájú domaint jegyeztek be, és május elejére nagyjából minden 41. már gyanúsnak vagy rosszindulatúnak minősült. Emellett kutatók több ezer olyan csaló domaint azonosítottak, amelyek a FIFA hivatalos online jelenlétét utánozzák, több párhuzamos csalási sémával és több, egymástól független szereplővel.

A tipikus trükkök ismerősek: hamis jegyértékesítés, kamu vízum- vagy bevándorlási „ügyintézés”, félrevezető szállásajánlatok, hamisított merch, illetve a hivatalos tornabrandinget utánzó oldalak. Ami változott, az a kivitelezés: AI-generált weboldalak, profi minőségű adathalász (phishing) kampányok, sőt deepfake videók és manipulált hanganyagok is segíthetnek abban, hogy a csalás „túl hihető” legyen.

Miért fontos

A régi ökölszabályok – rossz helyesírás, gyanús e-mail-cím, béna dizájn – egyre kevésbé működnek. Gondolj az AI-ra úgy, mint egy „csaló-gyorsítóra”: nem feltétlenül új módszereket talál ki, hanem ugyanazokat a módszereket teszi olcsóbbá, gyorsabbá és személyre szabottabbá. A spear phishing (célzott adathalászat) például pont erről szól: a támadó a közösségi profiljaidból, nyilvános posztjaidból, keresési nyomaidból összerak egy olyan üzenetet, ami rád van szabva – és ezért nehezebb nemet mondani neki.

Közben a védekező oldal is AI-t használ: nagy adathalmazokból próbál gyanús mintázatokat találni (például frissen regisztrált, megtévesztően hasonló domaineket, vagy koordinált kampányokat). De a technológia önmagában kevés: a platformok, a kiberbiztonsági cégek és a hatóságok együttműködése egyre fontosabb, mert a csaló hálózatok gyorsan költöznek egyik felületről a másikra.

Mire figyelj

  1. Ne a kinézetből indulj ki, hanem a folyamatból. A profi dizájn és a „hivatalos” hangnem ma már nem bizonyíték. A jegyvásárlást és a belépést mindig a hivatalos csatornákon, saját magad által begépelt címen intézd, ne e-mailes linkről.
  2. Kezeld veszélyesnek a sürgetést és a hiányérzetet. A „már csak 2 jegy maradt” és a „most kell megerősítened” típusú üzenetek pszichológiai nyomást használnak – pont azt, amit a túljelentkezés miatt sokan amúgy is éreznek.
  3. Számíts célzott üzenetekre. Ha az e-mail túl sokat tud rólad (város, utazási dátum, kedvenc csapat), attól még lehet átverés. A spear phishing lényege, hogy hihető.
  4. Figyeld a „kísérő szolgáltatásokat” is. A jegy csak a belépő: a vízum, a szállás, a streaming, a merch mind külön csalási felület. Ha egy oldal több mindent „egyben” intéz túl jó áron, az különösen gyanús.

A 2026-os vb körüli csalások tanulsága egyszerű: nem az a kérdés, hogy felismered-e a rossz minőségű átverést, hanem az, hogy van-e rutinod a jó minőségűvel szemben is.