Campagna fraudolenta relativa alle selezioni per la Coppa del Mondo FIFA 2026 “™ ”
15 giugno 2026
Di Samantha Clarke, Hiwot Mendahun e il team di ricerca sulle minacce di Mimecast
- Campagna di reclutamento fraudolenta che si spaccia per la Coppa del Mondo FIFA 26™
- Sono state rilevate oltre 2.500 e-mail inviate utilizzando l’infrastruttura legittima di Zoom Events
- Attacco in più fasi finalizzato alla raccolta di informazioni di identificazione personale (PII) attraverso finte procedure di colloquio
- Rivolto prevalentemente a destinatari nel Regno Unito, in Germania e negli Stati Uniti che operano all’interno di team di marketing e social media
- Obiettivo della campagna: acquisizione di account sui social media per prosciugare i fondi destinati alla pubblicità aziendale su Meta
Panoramica della campagna
I grandi eventi mondiali suscitano un interesse pubblico su vasta scala. In vista dei Mondiali FIFA del 2026, le forze dell’ordine e i ricercatori nel campo della sicurezza hanno lanciato un allarme pubblico riguardo ad attività di spoofing legate alla FIFA, tra cui portali di lavoro fraudolenti e siti contraffatti di vendita di biglietti e merchandising. Il team di ricerca sulle minacce di Mimecast ha individuato una truffa di reclutamento che sfrutta l’imminente Coppa del Mondo FIFA 26™ per acquisire credibilità. Gli autori delle minacce si stanno spacciando per diversi marchi di grande notorietà per inviare offerte di lavoro non richieste, invitando i destinatari a fissare un appuntamento tramite scheduler.zoom.us. I messaggi vengono inviati tramite l’infrastruttura di Zoom Events e gli URL di pianificazione rimandano a pagine legittime di Zoom Scheduler presenti sul dominio zoom.us, il che rende particolarmente difficile distinguerli da comunicazioni autentiche.
Oltre alla Coppa del Mondo FIFA 26™, abbiamo individuato anche attività simili che si spacciano per l’FC Barcelona, Meta, Warner Bros, Amazon e Publicis Groupe.
Ciò che rende questa campagna particolarmente difficile da individuare è l’uso improprio e deliberato dell’infrastruttura di Zoom stessa, che reindirizza le vittime tramite URL legittimi di scheduler.zoom.us che sembrano indistinguibili dai contatti autentici dei reclutatori. Oltre a questi abusi perpetrati su una piattaforma di fiducia, vengono messe in atto tattiche di ingegneria sociale sistematiche volte a sfruttare chi è alla ricerca di un impiego e chi desidera partecipare all’evento sportivo più seguito al mondo.
In ciascun caso osservato, il contatto iniziale segue uno schema riconoscibile: sufficientemente curato da apparire legittimo, ma abbastanza coerente tra i diversi destinatari da rivelarne l’origine automatizzata.
Il primo contatto
Le e-mail erano rivolte ai responsabili dei social media o a coloro che si riteneva avessero un account Meta for Business attivo. I messaggi esaminati presentavano una struttura coerente:
- Un saluto generico (""Hello"," o ""Hi",") senza il nome del destinatario
- Un’affermazione in cui il mittente dichiara di aver trovato il profilo del destinatario e di essere rimasto colpito dalla sua competenza in materia di social media
- Un'offerta relativa a un ruolo nei social media o di coinvolgimento dei fan legato al marchio di cui si è usurpata l'identità
- Invito a un colloquio introduttivo riservato nell’ambito del programma “ "”"
- Un link all'URL dello Scheduler di Zoom
Il testo dell’e-mail precisa che, una volta prenotata una chiamata, il destinatario riceverà un’e-mail di conferma contenente un link alla domanda ufficiale per la posizione, disponibile all’indirizzo "." La compilazione della domanda è indicata come un passaggio obbligatorio da espletare.
Flusso di attacco in più fasi
Il team Mimecast Threat Research ha rilevato una procedura di prenotazione in più fasi ospitata su Zoom Scheduler (scheduler.zoom.us) nel corso delle campagne dedicate alla FIFA.
Nel corso di diverse campagne, il team di ricerca ha osservato che lo scheduler raccoglieva una grande quantità di informazioni personali:
- Nome completo
- Indirizzo e-mail
- Numero di telefono
- URL del profilo LinkedIn
- Livello di esperienza con piattaforme specifiche (ad esempio, Meta Business Suite)
- Risposte scritte relative all’idoneità al ruolo e all’esperienza pertinente
Obiettivi finali probabili
In base alla struttura della campagna e ai metodi di raccolta dei dati, sono ipotizzabili diversi scenari di minaccia.
Furto di identità e credenziali: una volta compilato il modulo tramite la pagina di pianificazione di Zoom, i destinatari riceveranno un link alla domanda obbligatoria su "" . È probabile che questa pagina reindirizzi gli utenti verso una pagina dedicata al furto di credenziali, progettata per acquisire i dati di accesso. Una volta ottenute le credenziali, è probabile che gli autori delle minacce cerchino di sottrarre i fondi presenti nell’account Meta for Business esistente.
Appropriazione indebita dell'account: i moduli di richiesta potrebbero richiedere agli utenti di autenticarsi tramite Google, Facebook o LinkedIn, consentendo il dirottamento della sessione o la compromissione dell'account.
Raccolta di dati personali durante finte interviste di lavoro: le chiamate programmate potrebbero comportare richieste di informazioni sensibili, tra cui numeri di previdenza sociale, dati relativi a conti bancari e scansioni di documenti d’identità rilasciati dalle autorità pubbliche, con il pretesto di una verifica delle credenziali lavorative.
Frode finanziaria: alle vittime potrebbe essere richiesto di versare depositi per l’acquisto di attrezzature o di pagare spese di attivazione, oppure di partecipare a schemi basati su assegni falsi, in cui vengono incaricati di depositare assegni fraudolenti e di effettuare bonifici prima che l’assegno risulti scoperto.
Indicatori di compromissione (IOC)
Dominio del mittente:
- noreply-zoomevents@zoom.us (infrastruttura ufficiale di Zoom Events)
URL dannosi relativi a Scheduler:
- scheduler.zoom.us/joseph-fifa/social-media-manager
- scheduler.zoom.us/joseph-fcb/social-media
Caratteristiche comuni delle e-mail:
- Saluti generici senza il nome del destinatario
- Riferimenti alle competenze in materia di social media
- Link alle pagine personali di Zoom Scheduler
- Nome del mittente "Joseph" con oggetto ", Team di selezione del personale"
- Non sono ammessi codici di riferimento delle offerte di lavoro né link al portale ufficiale dedicato alle opportunità di carriera
Raccomandazioni
Formazione sulla sensibilizzazione degli utenti
- Informare i dipendenti sulle caratteristiche specifiche di questa campagna
- Istruite gli utenti a verificare l’identità dei reclutatori attraverso i canali ufficiali dell’azienda prima di entrare in contatto con loro
- Sottolinei che i datori di lavoro seri non richiedono informazioni personali sensibili prima dei colloqui formali o delle offerte di lavoro
- Effettuare simulazioni di phishing che includano scenari incentrati sul reclutamento
Ricerca proattiva delle minacce
- Effettuare una ricerca nei registri delle ricevute e-mail utilizzando gli indicatori (IOC) elencati
Mantenete il vostro vantaggio competitivo nell’ambito dell’intelligence sulle minacce
Unitevi alle migliaia di professionisti della sicurezza che si affidano ai nostri avvisi selezionati con cura, alle analisi degli esperti e agli IOC delle campagne per difendersi dalle più recenti minacce informatiche.
La registrazione è andata a buon fine
La ringraziamo per essersi iscritto per ricevere gli aggiornamenti relativi alle nostre notifiche sulle informazioni relative alle minacce.
Vi ricontatteremo!