Pode-se dizer que, a cada quatro anos, o mundo para, já que a Copa do Mundo de Futebol concentra a atenção da grande maioria das pessoas. Nesse contexto, entram em cena os cibercriminosos, que aproveitam a febre da Copa do Mundo para aplicar golpes e realizar fraudes.
Nos últimos dias, encontramos cinco sites falsos que se passam pelo portal oficial da Copa do Mundo de 2026 da FIFA para enganar pessoas em busca de ingressos ou produtos oficiais do torneio, que está prestes a começar. O objetivo é fazer com que as vítimas caiam em golpes voltados ao roubo de informações sensíveis, dados bancários e até dinheiro. Mas como esses sites falsos circulam? Eles podem aparecer como links patrocinados em buscadores web, em anúncios nas redes sociais ou até chegar por mensagens e e-mails.
É importante ter em mente que, conforme alerta a própria FIFA, organizadora do evento, os ingressos para todas as fases do torneio estão disponíveis exclusivamente no site oficial FIFA.com/tickets.
A seguir, vamos analisar em detalhes cada um desses sites falsos para ajudar a identificar os sinais de fraude, já que novos golpes certamente devem surgir aproveitando o enorme interesse em torno do evento esportivo. A competição começa em 11 de junho e será realizada nos Estados Unidos, Canadá e México, mas os cibercriminosos já entraram em campo.
Site falso FIFA 2026 Shop
O primeiro site que encontramos é o https://***fifa26[.]shop, que tenta enganar as vítimas já pela semelhança da URL com a oficial. Vale destacar que a técnica conhecida como typosquatting consiste na criação de domínios praticamente idênticos aos legítimos, com alterações muito sutis - como troca, omissão ou adição de caracteres, além do uso de números no lugar de letras.
Além disso, a página imita com precisão o site da FIFA: desde o design, as cores e a disposição dos elementos até as abas de navegação que permitem explorar o restante do conteúdo. Ou seja, ela consegue reproduzir o fluxo da página oficial, fazendo com que a vítima tenha a sensação de estar em um ambiente legítimo. Isso confirma que os ataques de phishing atuais buscam copiar experiências completas para transmitir confiança às vítimas.
A imagem a seguir mostra o site falso:
Já esta outra página corresponde ao site oficial do evento. A semelhança é evidente, e o nível de qualidade da imitação é tão alto que diferenciar uma página da outra se torna bastante difícil.
Caso a vítima tente avançar na compra de ingressos ou produtos oficiais, a página primeiro solicita um cadastro. Esta é a página falsa:
O mais preocupante é que ela copia detalhadamente a página oficial da FIFA, que também exige registro. Dessa forma, os golpistas exploram um elemento-chave, como o FIFA ID, para transmitir confiança à vítima.
Além disso, esse site falso utiliza a promessa de venda de produtos oficiais para enganar as vítimas. A similaridade com a loja oficial é evidente:
A página chega ao ponto de oferecer camisetas de todas as seleções participantes.
Também é possível selecionar qualquer produto e adicioná-lo ao carrinho de compras:
Esse ponto é crítico: caso a vítima informe os dados do cartão de crédito, não receberá nenhuma camiseta. Na prática, estará entregando informações sensíveis e confidenciais ao cibercriminoso responsável pelo site falso.
Além disso, após o cadastro na falsa página de FIFA ID, o site também permite a compra de supostos ingressos para os jogos da Copa do Mundo.
É possível escolher qualquer partida, em qualquer fase do torneio:
Em seguida, a vítima é direcionada ao carrinho de compras. Caso continue o processo, seus dados bancários serão enviados diretamente aos cibercriminosos por trás do golpe. E, obviamente, ela não receberá nenhum ingresso para a Copa do Mundo.
Site falso 26 FIFA
Outro site que encontramos foi o https://****26-fifa[].com. Assim como no exemplo anterior, ele tenta não levantar suspeitas por meio da URL, explorando a semelhança com o site oficial.
Além disso, o design da página fraudulenta, assim como as abas de navegação, são praticamente idênticos aos do site oficial da FIFA.
A dinâmica desse site é semelhante à detalhada no exemplo 1: primeiro, ele solicita que a vítima faça um cadastro, ou seja, forneça seus dados pessoais, para depois liberar a suposta compra de ingressos e produtos oficiais da Copa do Mundo.
Ao obter informações como nome completo, e-mail, telefone e senha da vítima, o cibercriminoso pode iniciar ataques de roubo de identidade. E o risco é ainda maior porque muitas pessoas reutilizam senhas em diferentes serviços. Assim, fornecer credenciais em uma página falsa pode resultar em acessos indevidos a contas de e-mail, redes sociais e até plataformas bancárias.
Site falso FIFA Site
O site https://fifa****[.]site também é falso e imita o visual da página oficial da FIFA.
O objetivo é claro: por meio do uso de cores, tipografias e elementos visuais semelhantes aos originais, o site busca provocar uma reação automática de confiança no usuário, especialmente em contextos nos quais a ansiedade para conseguir ingressos pode diminuir a atenção a sinais de alerta.
Site falso FIFA Store
O site falso https://fifa****[.]store permite observar um dos aspectos mais interessantes desse tipo de golpe de phishing: os cibercriminosos costumam explorar extensões como “.store” ou “.shop” para reforçar a aparência comercial da página.
À primeira vista, as vítimas podem interpretar essas URLs como legítimas, especialmente porque os domínios falsos incluem a palavra “fifa”, um recurso bastante utilizado em campanhas de falsificação de identidade.
Site falso FIFA Shop
O último site falso identificado, https://fifa*****[.]shop, reforça o que foi observado no caso 4. Além disso, demonstra que não se trata de incidentes isolados, mas sim de campanhas organizadas.
Os grupos cibercriminosos costumam registrar diferentes variantes de uma mesma página para ampliar o alcance do golpe e manter a operação ativa, mesmo que alguns domínios sejam derrubados.
Essa lógica de phishing é cada vez mais comum em eventos de grande porte e alta exposição midiática, como a Copa do Mundo de Futebol de 2026.
O que diz a FIFA sobre isso?
O fato de cibercriminosos explorarem a febre da Copa do Mundo não é novidade. Tanto que a própria FIFA está ciente dos golpes e fraudes que costumam surgir em torno do maior evento de futebol do planeta.
Em seu site oficial, a instituição é bastante clara ao abordar os riscos de comprar ingressos fora da plataforma oficial: “Sim, existem riscos ao adquirir ingressos fora do site oficial. A FIFA recomenda que todas as compras sejam realizadas exclusivamente em FIFA.com/tickets”.
Em seguida, a organização apresenta diferentes cenários aos quais os torcedores podem estar expostos ao adquirir ingressos em sites não oficiais.
Primeiramente, a FIFA alerta que “os ingressos adquiridos em sites de revenda não oficiais, redes sociais ou por meio de terceiros podem ser falsos. Mesmo que pareçam legítimos, esses ingressos falsos podem ser recusados na entrada do estádio”.
A instituição também destaca que “há casos em que o mesmo ingresso foi vendido para várias pessoas ou em que ingressos previamente cancelados pela FIFA Ticketing foram revendidos. Mesmo que o ingresso passe pela leitura inicial, a entrada poderá ser negada caso ele seja identificado como inválido ou já utilizado”.
Por fim, a FIFA afirma que “fontes não oficiais costumam inflacionar significativamente os preços, especialmente em partidas de alta demanda, como jogos eliminatórios, clássicos ou derbies. Existe o risco de pagar muito acima do valor original, sem qualquer garantia de autenticidade”.
A recomendação é clara: comprar ingressos exclusivamente por meio do site oficial FIFA.com/tickets.
Como evitar golpes ao comprar ingressos para a Copa do Mundo de 2026
Para quem está em busca de ingressos ou produtos relacionados ao evento, é fundamental prestar atenção a alguns detalhes antes de concluir qualquer compra on-line.
1. Verifique a URL
Esse é um dos pontos mais importantes: para qualquer compra relacionada à Copa do Mundo, o acesso deve ser feito exclusivamente pelo site oficial: FIFA.com.
Além disso, é essencial redobrar a atenção para identificar páginas que tentam confundir os usuários com domínios semelhantes, como os exemplos analisados neste artigo, que adicionam palavras, hífens ou extensões como “.shop”, “.store” ou “.site”. Qualquer pequena diferença pode ser um forte indício de golpe.
2. Não clique em anúncios
Os sites falsos apresentados neste post costumam ser promovidos por meio de anúncios patrocinados em redes sociais e aplicativos de mensagens.
A recomendação é simples: acessar manualmente os sites confiáveis, evitando entrar por links recebidos, anúncios promocionais ou páginas compartilhadas por terceiros.
3. Desconfie de ofertas “exclusivas” ou “imperdíveis”
Urgência, ansiedade e sensação de oportunidade são gatilhos frequentemente explorados por cibercriminosos para tornar golpes mais eficazes.
No contexto da Copa do Mundo, isso aparece em mensagens como “vagas limitadas”, “acesso VIP” ou “descontos especiais em ingressos”. A regra é clara: desconfie de tudo o que parecer bom demais para ser verdade.
Os golpes já começaram antes da Copa do Mundo
Embora a Copa do Mundo ainda não tenha começado, os cibercriminosos já estão em campo. A equação é clara: eventos globais extremamente populares, que despertam ansiedade, entusiasmo e senso de urgência nas pessoas, criam o cenário ideal para a proliferação de golpes on-line cada vez mais eficazes. E a Copa do Mundo se encaixa perfeitamente nesse contexto.
Os casos identificados mostram uma tendência cada vez mais preocupante: os sites falsos deixaram de ser páginas rudimentares, improvisadas ou fáceis de identificar. Hoje, eles replicam designs, experiências de navegação e fluxos completos de compra para parecerem legítimos e reduzir as suspeitas das vítimas.
Nesse cenário, a principal defesa continua sendo a atenção do usuário: desde verificar cuidadosamente a URL e desconfiar de ofertas “imperdíveis” até acessar apenas canais oficiais. Porque, durante a febre da Copa do Mundo, não é preciso ficar atento apenas ao que acontece dentro de campo, mas também fora dele.
