Betrugsaktion im Zusammenhang mit der FIFA-Weltmeisterschaft 2026 unter dem Deckmantel von „™ “
15. Juni 2026
Von Samantha Clarke, Hiwot Mendahun und dem Mimecast Threat Research-Team
- Betrügerische Rekrutierungskampagne unter dem Deckmantel der FIFA-Weltmeisterschaft 26™
- Mehr als 2.500 E-Mails, die unter Nutzung der legitimen Infrastruktur von Zoom Events beobachtet wurden
- Mehrstufiger Angriff, bei dem personenbezogene Daten (PII) im Rahmen gefälschter Bewerbungsverfahren erfasst werden
- Die Zielgruppe besteht vorwiegend aus Personen im Vereinigten Königreich, in Deutschland und in den Vereinigten Staaten, die in Marketing- bzw. Social-Media-Teams tätig sind
- Ziel der Kampagne: Das Sammeln von Social-Media-Konten, um die Werbebudgets von Meta-Unternehmen zu erschöpfen
Kampagnenübersicht
Große weltweite Ereignisse wecken in großem Umfang das Interesse der Öffentlichkeit. Im Vorfeld der FIFA-Weltmeisterschaft 2026 haben Strafverfolgungsbehörden und Sicherheitsforscher öffentlich vor Betrugsversuchen im Zusammenhang mit der FIFA gewarnt, darunter betrügerische Stellenportale sowie gefälschte Websites für Eintrittskarten und Fanartikel. Das Mimecast Threat Research-Team hat einen Rekrutierungsbetrug beobachtet, der die bevorstehende FIFA-Weltmeisterschaft 26™ nutzt, um Glaubwürdigkeit zu erwecken. Angreifer geben sich als Vertreter mehrerer bekannter Marken aus, um unaufgeforderte Stellenangebote zu versenden, und weisen die Empfänger an, über scheduler.zoom.us einen Termin für ein Gespräch zu vereinbaren. Die Nachrichten werden über die Infrastruktur von Zoom Events übermittelt, und die URLs für die Terminvereinbarung führen zu legitimen Zoom-Scheduler-Seiten auf der Domain „zoom.us“, wodurch sie nur sehr schwer von authentischen Kontaktaufnahmen zu unterscheiden sind.
Neben der FIFA-Weltmeisterschaft 26™ haben wir zudem ähnliche Aktivitäten festgestellt, bei denen sich die Täter als FC Barcelona, Meta, Warner Bros, Amazon und Publicis Groupe ausgeben.
Was diese Kampagne besonders schwer aufdeckbar macht, ist der gezielte Missbrauch der Zoom-eigenen Infrastruktur, bei dem die Opfer über legitime „scheduler.zoom.us“-URLs weitergeleitet werden, die von echten Kontaktaufnahmen durch Personalvermittler nicht zu unterscheiden sind. Zusätzlich zu diesem Missbrauch einer vertrauenswürdigen Plattform zielen systematische Social-Engineering-Taktiken darauf ab, Arbeitssuchende und diejenigen auszunutzen, die unbedingt Teil des meistgesehenen Sportereignisses der Welt sein möchten.
In jedem beobachteten Fall folgt der erste Kontakt einem erkennbaren Muster: Er ist professionell genug, um glaubwürdig zu wirken, lässt sich jedoch über alle Zielpersonen hinweg so konsistent nachverfolgen, dass seine automatisierte Herkunft erkennbar wird.
Die ersten Kontaktversuche
Die E-Mails richteten sich an Social-Media-Manager oder an Personen, von denen angenommen wurde, dass sie über ein aktives „Meta for Business“-Konto verfügen. Die untersuchten Nachrichten wiesen eine einheitliche Struktur auf:
- Eine allgemeine Anrede ("„Hallo“," oder "„Hi“,") ohne den Namen des Empfängers
- Eine Aussage, dass der Absender das Profil des Empfängers gefunden hat und von dessen Fachkenntnissen im Bereich Social Media beeindruckt war
- Ein Angebot für eine Tätigkeit im Bereich Social Media oder Fan-Engagement, die mit der nachgeahmten Marke in Verbindung steht
- Eine Einladung zu einem vertraulichen Kennenlerngespräch im Rahmen von „ "“"
- Ein Link zur URL des Zoom-Terminplaners
Im Text der E-Mail heißt es, dass der Empfänger, nachdem er einen Termin vereinbart hat, eine Bestätigungs-E-Mail mit einem Link zur offiziellen Bewerbungsseite von „ "“ für die betreffende Stelle erhält." Das Ausfüllen des Antrags wird als obligatorischer Schritt beschrieben, der berücksichtigt werden muss.
Ablauf eines mehrstufigen Angriffs
Das Mimecast Threat Research-Team hat einen mehrstufigen Buchungsablauf beobachtet, der auf Zoom Scheduler (scheduler.zoom.us) gehostet wird. im Rahmen von Kampagnen zum Thema FIFA.
Im Rahmen mehrerer Kampagnen hat das Forschungsteam beobachtet, dass der Scheduler umfangreiche personenbezogene Daten erfasst:
- Vollständiger Name
- E-Mail-Adresse
- Telefonnummer
- URL des LinkedIn-Profils
- Erfahrung im Umgang mit bestimmten Plattformen (z. B. Meta Business Suite)
- Schriftliche Stellungnahmen zur Eignung für die Stelle und zu einschlägigen Erfahrungen
Voraussichtliche Endziele
Aufgrund der Struktur der Kampagne und der Methoden zur Datenerhebung sind mehrere Bedrohungsszenarien denkbar.
Identitäts- und Zugangsdaten-Diebstahl: Nachdem das Formular über die Zoom-Terminplanungsseite ausgefüllt wurde, erhalten die Empfänger einen Link zur obligatorischen Bewerbung unter "" . Diese Seite leitet Nutzer wahrscheinlich auf eine Seite weiter, die darauf ausgelegt ist, Anmeldedaten zu erfassen. Sobald die Zugangsdaten erlangt wurden, versuchen die Angreifer wahrscheinlich, das Guthaben auf dem bestehenden „Meta for Business“-Konto abzuzweigen.
Kontoübernahme: In Anmeldeformularen werden Nutzer unter Umständen aufgefordert, sich über Google, Facebook oder LinkedIn zu authentifizieren, was ein Session-Hijacking oder die Kompromittierung des Kontos ermöglichen kann.
Erfassung personenbezogener Daten bei vorgetäuschten Vorstellungsgesprächen: Bei vereinbarten Telefonaten können unter dem Vorwand einer Beschäftigungsüberprüfung Anfragen nach sensiblen Daten gestellt werden, darunter Sozialversicherungsnummern, Bankkontodaten und Scans von amtlichen Ausweisdokumenten.
Finanzbetrug: Die Opfer werden möglicherweise aufgefordert, Kautionen für Geräte oder Einrichtungsgebühren zu zahlen oder sich an Betrugsmaschen mit gefälschten Schecks zu beteiligen, bei denen sie betrügerische Schecks einlösen und Geld überweisen, bevor der Scheck platzt.
Indikatoren für eine Kompromittierung (IOCs)
Absender-Domäne:
- noreply-zoomevents@zoom.us (offizielle Infrastruktur für Zoom-Veranstaltungen)
Schädliche Scheduler-URLs:
- scheduler.zoom.us/joseph-fifa/social-media-manager
- scheduler.zoom.us/joseph-fcb/social-media
Typische Merkmale von E-Mails:
- Allgemeine Anreden ohne Nennung des Empfängernamens
- Verweise auf Fachkenntnisse im Bereich Social Media
- Links zu den persönlichen Zoom-Scheduler-Seiten
- Absendername "Joseph" mit dem Betreff „ ", Talent Acquisition Team“"
- Keine Stellenangebots-IDs oder offiziellen Links zum Karriereportal
Empfehlungen
Schulung zur Sensibilisierung der Nutzer
- Informieren Sie die Mitarbeiter über die besonderen Merkmale dieser Kampagne
- Schulen Sie die Nutzer darin, die Identität von Personalvermittlern über offizielle Unternehmenskanäle zu überprüfen, bevor sie mit ihnen in Kontakt treten
- Weisen Sie darauf hin, dass seriöse Arbeitgeber vor offiziellen Vorstellungsgesprächen oder Stellenangeboten keine sensiblen personenbezogenen Daten anfordern.
- Führen Sie Phishing-Simulationen durch, die Szenarien zum Thema Personalbeschaffung beinhalten
Proaktive Bedrohungssuche
- Durchsuchen Sie die E-Mail-Empfangsprotokolle anhand der vom IOC aufgeführten
Behalten Sie Ihren Vorsprung im Bereich der Bedrohungsanalyse
Schließen Sie sich Tausenden von Sicherheitsexperten an, die sich auf unsere sorgfältig zusammengestellten Warnmeldungen, Expertenanalysen und IOCs zu Kampagnen verlassen, um sich gegen die neuesten Cyberbedrohungen zu schützen.
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates zu unseren Benachrichtigungen zu Bedrohungsinformationen angemeldet haben.
Wir bleiben in Kontakt!