Phishing

WM 2026: KnowBe4-Bericht zeigt Anstieg von Phishing mit FIFA-Fakes, Tickets und Gewinnspielen

, KnowBe4 | Autor: Herbert Wieler

Betrüger ködern deutsche Fans mit Tickets, Gewinnen und FIFA-Fakes

Die Fußball-WM ist für Fans ein Ausnahmezustand – und für Cyberkriminelle ein perfekter Moment. Wo Tickets knapp, Reisen teuer und Emotionen hoch sind, sinkt die Aufmerksamkeit für digitale Risiken. Genau diese Mischung nutzen Angreifer jetzt gezielt aus: mit gefälschten FIFA-Mails, Gewinnversprechen, Ticketfallen und betrügerischen Jobangeboten.

Während die Welt in diesem Sommer auf die USA, Kanada und Mexiko blickt, beobachten Sicherheitsexperten eine wachsende Phishing-Welle rund um das Turnier. Neue Telemetriedaten der KnowBe4 ThreatLabs zeigen: Die Angriffe nehmen nicht etwa nach dem Turnierstart ab, sondern beschleunigen sich mit dem Spielplan. Besonders brisant: Auch deutsche Fans und deutschsprachige Nutzer geraten gezielt ins Visier.

Phishing-Angriffe folgen dem Rhythmus der WM

Laut KnowBe4 ThreatLabs analysierten die Forscher Phishing-Kampagnen von der ersten Aprilwoche bis zum 22. Juni. Der Zeitraum umfasst damit sowohl die Vorphase des Turniers als auch den Anpfiff am 11. Juni und die ersten zwölf Tage des laufenden Spielbetriebs.

Das Ergebnis: Es gab keinen kurzen Ausschlag zum Start, sondern ein anhaltendes und zunehmend dynamisches Angriffsmuster. Während des laufenden Spielbetriebs erreichte WM-bezogenes Phishing einen 22-fachen Anstieg gegenüber dem Ausgangswert von Ende April.

Allein am 22. Juni trug bereits eine von 161 Phishing-Mails einen turnierbezogenen Absendernamen. Besonders stark stieg das Spoofing der Marke FIFA: Die Nutzung gefälschter FIFA-Absender lag inzwischen beim Sechsfachen des ursprünglichen Werts.

Während eines großen Turniers erwarten Fans, Unternehmen, Dienstleister und Bewerber tatsächlich Mitteilungen rund um Tickets, Reisen, Akkreditierungen, Jobs, Fanartikel oder Gewinnspiele. Genau diese Erwartungshaltung macht die Fälschungen gefährlich.

Cyberkriminelle greifen bevorzugt während der Arbeitszeit an

Auffällig ist laut Bericht auch das Timing der Kampagnen. Am Wochenende des 6. und 7. Juni ging das Angriffsvolumen deutlich zurück, am darauffolgenden Montag stieg es sprunghaft an. Das deutet darauf hin, dass die Kampagnen gezielt auf berufliche Postfächer während klassischer Bürozeiten ausgerichtet sind.

Beschäftigte prüfen E-Mails im Arbeitsalltag oft unter Zeitdruck. Zwischen Meeting, vollem Posteingang und operativem Tagesgeschäft bleibt wenig Raum, jede Nachricht genau zu hinterfragen. Kommt dann ein vermeintliches FIFA-Gewinnspiel, ein Ticketangebot oder eine exklusive Fanaktion hinzu, steigt die Wahrscheinlichkeit eines schnellen Klicks.

Die Angreifer setzen damit nicht nur auf technische Täuschung, sondern vor allem auf psychologische Dynamik: Vorfreude, Zeitdruck, Knappheit und Vertrauen in bekannte Marken.

Deutsche Fans im Visier: FIFA-Mystery-Box als Köder

Die Kampagnen beschränken sich nicht auf den englischsprachigen Raum. KnowBe4 dokumentierte am 15. Juni eine deutschsprachige Variante eines sogenannten „FIFA-Mystery-Box“-Betrugs.

Dabei wird Fans eine angeblich einmalige Gelegenheit auf ein offizielles Überraschungspaket der FIFA versprochen. Der Einstieg wirkt harmlos: Nutzer sollen an einer gefälschten Umfrage teilnehmen. Am Ende geht es jedoch um sensible Daten, die von den Angreifern abgegriffen werden können.

Gerade solche lokalisierten Varianten sind gefährlich, weil sie weniger generisch wirken. Eine deutschsprachige Ansprache, bekannte Turnierbegriffe und ein vermeintlich offizieller Kontext senken die Skepsis. Für Unternehmen im DACH-Raum bedeutet das: Awareness-Maßnahmen sollten nicht nur vor englischsprachigem Phishing warnen, sondern ausdrücklich auch deutsche Varianten einbeziehen.

Drei Betrugsmaschen dominieren die WM-Phishing-Welle

Die Forscher unterscheiden drei zentrale Kampagnentypen. Sie nutzen das Turnier jeweils auf unterschiedliche Weise aus und erfordern deshalb auch unterschiedliche Schutzmaßnahmen.

1. Gefälschte FIFA-Recruiting-Kampagnen

Die technisch anspruchsvollste Variante richtet sich nicht direkt an Ticketkäufer, sondern an Jobsuchende. Die Angreifer geben sich als offizielles Recruiting-Team der FIFA aus. Der Hintergrund macht die Masche plausibel: Für ein Turnier mit 48 Mannschaften in 16 Städten werden zahlreiche Mitarbeitende, Dienstleister und freiwillige Helfer benötigt. Bewerber rechnen deshalb ohnehin damit, persönliche Daten einzugeben, Termine zu buchen oder sich auf Plattformen zu registrieren.

Sie missbrauchen legitime Cloud- und Helpdesk-Dienste, um technische Sicherheitsprüfungen zu umgehen. Statt klassischer Schadanhänge enthalten die Nachrichten Aufforderungen zur Terminbuchung oder Registrierung. Solche Inhalte wirken unverdächtig und werden von vielen Scannern nicht als gefährlich eingestuft.

Am Ende landen Opfer jedoch auf gefälschten Single-Sign-on-Seiten oder Umfrageformularen. Dort können Zugangsdaten, persönliche Informationen und Kreditkartendaten in Echtzeit abgegriffen werden.

2. Massenhaftes Ticket- und Fan-Phishing

Neben gezielten Kampagnen gibt es eine deutlich größere Welle automatisierter Phishing-Mails. Diese nutzen vor allem die reale Knappheit und hohen Preise von WM-Tickets aus.

Die Köder drehen sich häufig um den Kauf, Verkauf oder die Weitergabe von Tickets. Angreifer setzen dabei auf polymorphe Techniken: Links, Absendernamen und Metadaten verändern sich bei jedem Versand. Dadurch sollen E-Mail-Sicherheitslösungen und Filtermechanismen umgangen werden.

In den USA dominiert laut Bericht Betrug rund um die Ticketweitergabe. In Großbritannien treten stärker Marketing- und Engagement-Köder auf, etwa angeblich gesponserte Watch-Partys, Merchandise-Rabatte oder Fanaktionen.

Für deutsche Nutzer sind solche Maschen ebenfalls relevant, vor allem wenn sie Reisen zu Spielen planen, Tickets über Zweitmärkte suchen oder vermeintlich exklusive Fanangebote erhalten.

3. Reply-Back-Betrug mit VIP-Paketen und Prämien

Besonders tückisch ist eine dritte Methode, die KnowBe4 in den aktuellen Telemetriedaten neu identifiziert hat. Diese E-Mails kommen ganz ohne manipulierte Links oder Anhänge aus.

Stattdessen werden Empfänger mit hochwertigen Prämien gelockt: Gutscheine, Fanpakete oder VIP-Angebote im Wert von teils über 8.000 US-Dollar. Die einzige Aufforderung lautet zunächst: Antworten Sie auf diese E-Mail.

Genau deshalb bleiben solche Nachrichten für automatisierte Sicherheitslösungen oft unauffällig. Erst nachdem das Opfer geantwortet hat, beginnt der eigentliche Betrug. In Folgenachrichten verlangen die Täter dann Zugangsdaten zur angeblichen Bestätigung der Registrierung oder fordern Zahlungen für erfundene Steuern, Gebühren oder Bearbeitungskosten.

Diese Methode zeigt, wie stark sich Phishing weiterentwickelt. Nicht jede gefährliche Nachricht enthält heute einen auffälligen Link, einen verdächtigen Anhang oder eine sofort erkennbare Schadkomponente.

Warum die K.-o.-Runde das Risiko weiter erhöht

Mit Beginn der K.-o.-Phase dürfte sich die Lage weiter verschärfen. Je näher das Turnier dem Finale kommt, desto höher sind Emotionen, Ticketpreise und Reisebereitschaft. Genau diese Faktoren erhöhen den Druck auf Fans und schaffen neue Angriffsmöglichkeiten.

Die Forscher erwarten unter anderem mehr Betrug mit illegalen Streaming-Angeboten, vermeintlich kostenlosen Live-Übertragungen, Wett- und Gewinnspielmaschen sowie gefälschten Fanartikeln und Trikot-Repliken. Auch Betrug rund um Fahrdienste, Parkplätze und Stadionanreise könnte zunehmen, insbesondere an US-Spielorten, an denen viele Fans auf Auto- und Shuttle-Dienste angewiesen sind.

Für Unternehmen ist das mehr als ein Fanproblem. Wenn Beschäftigte während der Arbeitszeit auf private WM-Köder hereinfallen, können kompromittierte Zugangsdaten, infizierte Endgeräte oder abgegriffene Zahlungsdaten schnell zum Unternehmensrisiko werden.

Was Unternehmen und Fans jetzt beachten sollten

Die aktuelle Phishing-Welle zeigt, dass Angreifer große Sportereignisse nicht nur als Marketingkulisse missbrauchen, sondern ihre Kampagnen taktisch an Spielplan, Zielgruppen und regionale Erwartungen anpassen.

Unternehmen sollten Mitarbeitende deshalb gezielt für WM-bezogene Köder sensibilisieren. Dazu gehören gefälschte Ticketangebote, FIFA-Mails, Gewinnspiele, Jobangebote, Streaming-Links, Fanartikel-Shops und Reply-Back-Maschen. Besonders wichtig ist der Hinweis, dass auch E-Mails ohne Link oder Anhang gefährlich sein können, wenn sie eine Antwort provozieren sollen.

Fans sollten Angebote grundsätzlich über offizielle Kanäle prüfen, keine Zugangsdaten über Links aus E-Mails eingeben und bei Gewinnversprechen skeptisch bleiben. Wer angeblich Gebühren, Steuern oder Bearbeitungskosten zahlen soll, um einen Preis zu erhalten, sollte besonders vorsichtig sein.