Während am 11. Juni 2026 in Nordamerika der erste Anstoß der FIFA Fußball-WM fiel, lief im Hintergrund längst eine zweite, unsichtbare Partie. Sicherheitsforscher mehrerer Firmen melden eine der größten Betrugswellen, die je rund um ein Sportereignis dokumentiert wurde. Help Net Security berichtete am 8. Juni 2026 über rund 19.000 FIFA-bezogene Domains, die Kriminelle im Vorfeld registriert haben. Der WM 2026 Betrug trifft Fans bei Ticketkauf, Streaming, Merchandise und Reisebuchung, und er betrifft auch österreichische Nutzer, die online nach Karten, Trikots oder Übertragungen suchen.
Dieser Beitrag analysiert die belegten Zahlen, ordnet sie historisch ein und zeigt, wie sich die Bedrohung seit Katar 2022 industrialisiert hat. Wir stützen uns ausschließlich auf Befunde benannter Sicherheitsanbieter und Behörden aus den Jahren 2025 und 2026, darunter Fortinet, Recorded Future, KELA, Arctic Wolf und das FBI.
19.000 gefälschte Domains: Das Ausmaß in Zahlen
Die Größenordnung des Betrugs lässt sich am besten an den registrierten Domains ablesen. Fortinet meldete über seine Forschungseinheit FortiGuard Labs mehr als 13.000 neue WM-2026-Domains, die zwischen Jänner und Mai 2026 entstanden. Davon stuften die Analysten rund 8,8 Prozent als bösartig oder verdächtig ein. Arctic Wolf zählte seit Jänner 2026 mehr als 10.000 schädliche WM-Domains. Help Net Security kam in seiner Auswertung vom 8. Juni 2026 auf rund 19.000 FIFA-bezogene Registrierungen insgesamt.
Die Threat-Intelligence-Firma KELA bezifferte den harten Kern der betrügerischen Infrastruktur auf mehr als 4.300 gefälschte FIFA-Domains, kombiniert mit über 1,5 Millionen kompromittierten Konten und mehr als 7.300 geleakten Zugangsdaten-Fundstellen. Die Firma FalconFeeds dokumentierte bereits im August 2025 einen ersten Schub von über 1.500 neuen Domains, gefolgt von einer zweiten Welle im September. Ein späterer Scan bestätigte mehr als 4.500 Domains, die dem WM-Betrugsökosystem zuzuordnen waren.
Die unterschiedlichen Zahlen erklären sich durch verschiedene Zählweisen. Manche Anbieter erfassen alle WM-bezogenen Domains, andere nur jene mit nachgewiesener Schadaktivität. Der gemeinsame Nenner bleibt aber eindeutig: Die Angreifer haben Monate vor dem Eröffnungsspiel eine breite Infrastruktur aufgebaut, und der WM 2026 Betrug übertrifft frühere Turniere deutlich.
FBI-Warnung vom 27. Mai 2026: Gefälschte FIFA-Seiten
Eine der konkretesten Warnungen kam von einer Behörde. Das Internet Crime Complaint Center (IC3) des FBI veröffentlichte am 27. Mai 2026 eine öffentliche Mitteilung. Darin warnt das FBI, dass Akteure FIFA-Websites fälschen, um persönliche Daten zu sammeln sowie gefälschte WM-Tickets und Hospitality-Produkte zu verkaufen. Betroffene sollen Vorfälle samt gefälschter Domain, Interaktionsdetails und Transaktionsdaten an das IC3 melden.
Besonders aufschlussreich ist die Liste der vom FBI genannten Beispiel-Domains. Die Kriminellen weichen auf ungewöhnliche Top-Level-Domains aus, um Aufmerksamkeit zu wecken und Filter zu umgehen. Genannt wurden unter anderem fifa[.]cab, fifa[.]pink, fifa[.]blue, fifa[.]pub, fifa[.]city, fifa[.]bio, fifa[.]beer, fifa[.]click, fifa[.]cam, fifa[.]ceo, fifa[.]help sowie Tippfehler-Varianten wie filfa[.]org und Kombinationen wie fifa-online[.]com und fifa-2026[.]xyz.
Help Net Security ergänzte diese Liste um weitere beobachtete Adressen, darunter fifa.moe, fifa.buzz und fifaticket2026vip.com. Das Muster ist immer dasselbe. Eine seriös wirkende Marke wird mit einer exotischen Endung kombiniert, die für ein offizielles Turnierangebot völlig unüblich wäre. Wer das weiß, erkennt einen großen Teil der Fälschungen bereits an der Adresszeile.
Die Betrugsmaschen im Detail
FortiGuard Labs ordnete die beobachteten Aktivitäten in mehrere klar abgegrenzte Kategorien ein. Der WM-Betrug ist kein einzelner Trick, sondern ein ganzes Geschäftsmodell mit arbeitsteiliger Struktur. Die folgenden Maschen treten laut Fortinet, Recorded Future und FBI am häufigsten auf.
Ticketbetrug und gefälschte Verkaufsshops
Die mit Abstand häufigste Masche ist der Ticketbetrug. Gefälschte Verkaufs- und Resale-Shops imitieren offizielle Verkaufsstellen und nehmen Zahlungen für Karten entgegen, die nie geliefert werden. Recorded Future identifizierte über sein Payment-Fraud-Intelligence-Team eine Kampagne im April und Mai 2026 mit 33 WM-bezogenen Kaufbetrugs-Domains, die mit rund 2.500 Online-Anzeigen verknüpft waren. Die Analysten warnten zudem, dass Betrüger gestohlene Kreditkartendaten nutzen, um Tickets und Reiseleistungen zu kaufen und schnell weiterzuverkaufen.
Fake-Streaming, Wett- und betrügerische Apps
Eine zweite große Kategorie zielt auf den Wunsch, jedes Spiel live zu sehen. Fortinet beobachtete bösartige Streaming- und Wett-Apps sowie APK-Downloads aus Drittquellen außerhalb der offiziellen App-Stores. Diese Apps fordern weitreichende Berechtigungen, schleusen Schadsoftware ein oder greifen Zahlungsdaten ab. Wer ein kostenloses Stream-Angebot über eine unbekannte App sucht, bezahlt am Ende oft mit seinen Daten.
Fake-Merchandise, Krypto-Scams und Fake-Jobs
Daneben dokumentierte Fortinet gefälschte Merchandise-Shops für Trikots und Fanartikel, Kryptowährungs-Scams samt vorgetäuschter Airdrops sowie gefälschte Stellenanzeigen, die Bewerbungsdaten abgreifen. Justin Moore von der Forschungseinheit Unit 42 von Palo Alto Networks nannte gegenüber Cybersecurity Dive QR-Code-Betrug als ein verbreitetes Risiko, etwa über manipulierte Codes an Veranstaltungsorten oder in gefälschten Werbemitteln.
FortiGuard Labs: 8,8 Prozent der Domains bösartig
Die Fortinet-Analyse liefert die detaillierteste Aufschlüsselung. Von den mehr als 13.000 neuen WM-Domains zwischen Jänner und Mai 2026 wurden etwa 8,8 Prozent als bösartig oder verdächtig erkannt. Das klingt nach einem kleinen Anteil, entspricht aber über tausend aktiv betriebenen Betrugsseiten allein in diesem Zeitraum und bei nur einem Anbieter.
Besonders relevant für österreichische Nutzer ist ein zweiter Befund. Fortinet identifizierte mehr als 1.700 mutmaßliche FIFA-bezogene Impersonation-Konten und -Kanäle über soziale Medien und Messaging-Plattformen hinweg. Fast 90 Prozent davon entfielen auf Facebook und Instagram. Der Betrug findet also nicht nur auf obskuren Websites statt, sondern mitten in den Feeds, die Millionen Fans täglich nutzen.
Die missbrauchten Domains enthielten laut Fortinet häufig Begriffe rund um Ticketing, Streaming, Wettplattformen und Hospitality. Das sind genau die kommerziellen Köder, die für Fans am attraktivsten sind. Diese Zielgenauigkeit unterscheidet den FIFA WM 2026 Betrug von wahllosem Spam und macht ihn so gefährlich.
Recorded Future und KELA: Industrialisierter Betrug
Mehrere Anbieter beschreiben den WM-Betrug 2026 nicht mehr als Sammlung einzelner Maschen, sondern als ein zusammenhängendes, industriell organisiertes Ökosystem. KELA verwies in seiner Forschung auf eine benannte Operation mit dem Codenamen “Ghost Stadium”. Das Ökosystem umfasse geklonte Ticketing-Seiten, gefälschte Visa- und Reiseportale sowie Hospitality-Scams. Die Kombination aus 4.300 Domains, 1,5 Millionen kompromittierten Konten und 7.300 geleakten Zugangsdaten zeigt, wie eng Datendiebstahl und Betrug verzahnt sind.
Recorded Future betonte zudem die Rolle KI-generierter Inhalte. Threat-Akteure nutzen automatisch erzeugte Texte und Bilder, um Betrug, Impersonation, Phishing, Smishing und Social Engineering zu skalieren. Was früher mühsame Handarbeit war, lässt sich heute per Knopfdruck vervielfachen. Das erklärt den sprunghaften Anstieg der Domainzahlen gegenüber früheren Turnieren.
Die folgende Tabelle fasst die zentralen Befunde der wichtigsten Sicherheitsanbieter zusammen.
| Anbieter | Befund | Zeitraum / Quelle |
|---|---|---|
| FortiGuard Labs (Fortinet) | 13.000+ neue WM-Domains, davon ca. 8,8 % bösartig | Jänner bis Mai 2026 |
| Fortinet (Social Media) | 1.700+ Impersonation-Konten, ca. 90 % auf Facebook/Instagram | 2026 |
| Arctic Wolf | 10.000+ schädliche WM-Domains | seit Jänner 2026 |
| Help Net Security | ca. 19.000 FIFA-bezogene Domains insgesamt | 8. Juni 2026 |
| KELA | 4.300+ Fake-Domains, 1,5 Mio.+ Konten, 7.300+ Zugangsdaten | 2026 (“Ghost Stadium”) |
| Recorded Future | 33 Kaufbetrugs-Domains, verknüpft mit 2.500 Anzeigen | April bis Mai 2026 |
| FalconFeeds | 1.500+ Domains in einem Monat, 4.500+ bestätigt | ab August 2025 |
Markenmissbrauch: FIFA, Hoststädte und gefälschte Endungen
Die mit Abstand am häufigsten missbrauchte Marke ist die FIFA selbst. FBI, Fortinet, Recorded Future und KELA berichten übereinstimmend von Lookalike-Domains und gefälschten Websites, die das offizielle Turnierbranding kopieren. Recorded Future stellte fest, dass Akteure zusätzlich Domains der Austragungsstädte fälschen. Die WM 2026 verteilt sich auf 16 Städte in den USA, Kanada und Mexiko, was die Angriffsfläche erheblich vergrößert.
Die vom FBI dokumentierten Endungen reichen von .cab über .pink, .blue, .pub, .city, .bio, .beer und .click bis .ceo und .help. Diese TLDs sind günstig zu registrieren und unterliegen oft laxerer Prüfung. Für Fans ergibt sich daraus eine einfache Faustregel: Offizielle FIFA-Angebote laufen über die bekannte Hauptdomain, nicht über kreative Endungen. Jede Abweichung sollte misstrauisch machen.
Der Markenmissbrauch beschränkt sich nicht auf die FIFA. In früheren Turnieren waren auch Sponsoren wie Zahlungsdienstleister und Getränkehersteller beliebte Köder. Das Prinzip bleibt gleich: Vertrauen in eine bekannte Marke wird ausgenutzt, um Zahlungs- und Anmeldedaten abzugreifen.
Was die Experten sagen
Die Einschätzungen benannter Fachleute zeichnen ein klares Bild. Ismael Valenzuela von Arctic Wolf brachte die Strategie der Angreifer gegenüber Cybersecurity Dive auf den Punkt:
“Angreifer nutzen die Weltmeisterschaft als Deckmantel, um umfangreiche Phishing-Operationen sowohl gegen Fans als auch gegen die Organisationen rund um das Ereignis zu fahren.”
Ismael Valenzuela, Arctic Wolf
Justin Moore von Palo Alto Networks Unit 42 betonte gegenüber demselben Medium, dass das häufigste und am weitesten verbreitete Risiko in klassischer Cyberkriminalität liege, konkret in “Ticketing-Scams, Impersonation, QR-Code-Betrug und sogar Ransomware” gegen die unterstützende Infrastruktur. Diese Aussage verdeutlicht, dass nicht nur Fans, sondern auch Dienstleister, Hotels und Veranstalter ins Visier geraten.
Behördlich untermauert das FBI diese Analysen. Seine IC3-Mitteilung beschreibt gefälschte FIFA-Seiten als Werkzeug zum Sammeln persönlicher Daten und zum Verkauf nicht existenter Tickets. Die Übereinstimmung zwischen privaten Forschern und Strafverfolgern ist selten so deutlich wie hier.
Vergleich mit Katar 2022: Wie stark die Bedrohung wuchs
Der historische Vergleich macht das gewachsene Ausmaß sichtbar. Zur WM in Katar 2022 zählte ReliaQuest 174 bösartige Domains, die offizielle Turnierseiten imitierten. Kaspersky berichtete von mehr als 170 Domains, die sich als offizielle Ressourcen ausgaben. Group-IB kam in seiner damaligen Analyse auf mehr als 16.000 Scam-Domains mit FIFA-Branding sowie rund 40 gefälschte Apps.
Setzt man diese Werte gegen 2026, zeigt sich ein klarer Trend zur Skalierung. Die Zahl der als bösartig bestätigten Domains liegt nun bei mehreren Anbietern im fünfstelligen Bereich, und die soziale Komponente über Facebook und Instagram ist neu in dieser Dimension. Die folgende Tabelle stellt beide Turniere gegenüber.
| Kennzahl | Katar 2022 | WM 2026 |
|---|---|---|
| Bösartige Imitations-Domains | 174 (ReliaQuest), 170+ (Kaspersky) | 10.000+ (Arctic Wolf) |
| WM-bezogene Scam-Domains gesamt | 16.000+ (Group-IB) | 19.000 (Help Net Security) |
| Gefälschte Apps | ca. 40 (Group-IB) | Streaming-/Wett-Apps und APKs (Fortinet) |
| Social-Media-Impersonation | Dutzende Konten (Group-IB) | 1.700+ Konten (Fortinet) |
| KI-generierte Inhalte | kaum dokumentiert | zentraler Faktor (Recorded Future) |
Ein direkter Eins-zu-eins-Vergleich ist wegen unterschiedlicher Zählmethoden mit Vorsicht zu genießen. Die Richtung ist dennoch unmissverständlich. Der WM-Betrug hat sich von einer Randerscheinung zu einem organisierten, KI-gestützten Wirtschaftszweig entwickelt.
Markt- und Wirtschaftsfolgen des WM-Betrugs
Die wirtschaftlichen Folgen lassen sich auf mehreren Ebenen verorten. Für einzelne Fans drohen direkte Verluste durch nie gelieferte Tickets, gestohlene Kreditkartendaten und betrügerische Abo-Fallen bei vermeintlichen Streaming-Diensten. Recorded Future hob hervor, dass Betrüger gestohlene Karten für den Kauf und schnellen Weiterverkauf von Tickets und Reiseleistungen einsetzen, was Geldwäsche und Folgebetrug nach sich zieht.
Für Unternehmen entstehen Reputations- und Betriebsrisiken. Wenn Kriminelle eine Marke fälschen, leidet das Vertrauen der Kunden, auch wenn das Unternehmen selbst nicht gehackt wurde. Dienstleister rund um das Turnier, von Hotels bis Zahlungsabwicklern, sind laut Unit 42 zusätzlich von Ransomware und Betriebsstörungen bedroht. Die Kosten für Abwehr, Monitoring und Takedown gefälschter Domains belasten Sicherheitsbudgets erheblich.
Auch der legitime Markt für Sicherheits- und Threat-Intelligence-Dienste profitiert. Anbieter wie Fortinet, Recorded Future, KELA und Arctic Wolf positionieren ihre Forschung als Verkaufsargument für Schutzdienste. Großereignisse wirken so als Katalysator für die gesamte Cybersicherheitsbranche, die ihren Umsatz seit Jahren zweistellig steigert.
Was das für Österreich und den DACH-Raum bedeutet
Auch ohne österreichische Mannschaft im Hauptfeld betrifft der WM-Betrug Nutzer in Österreich unmittelbar. Wer online nach Übertragungsrechten, Reisepaketen, Trikots oder Tickets für Freunde sucht, landet potenziell auf denselben gefälschten Seiten, die FBI und Fortinet beschreiben. Die Angriffe sind grenzüberschreitend angelegt und kennen keine Landesgrenzen, wie Recorded Future und das FBI betonen.
In Österreich ist die Plattform Watchlist Internet die zentrale Anlaufstelle für Meldungen zu Fake-Shops und Online-Betrug. Sie warnt regelmäßig vor gefälschten Webshops und betrügerischen Ticketangeboten und bietet eine Meldemöglichkeit für Verdachtsfälle. Wer auf eine verdächtige WM-Seite stößt, sollte den Fall dort melden und keine Zahlungen leisten. Die generellen Schutzprinzipien gegen Phishing und Fake-Shops gelten hier eins zu eins.
Für DACH-Nutzer kommt eine sprachliche Komponente hinzu. KI-generierte Inhalte ermöglichen es Betrügern, fehlerfreie deutschsprachige Texte zu erstellen. Der klassische Hinweis “schlechtes Deutsch entlarvt den Betrug” greift damit nicht mehr zuverlässig. Umso wichtiger werden technische Prüfungen wie die genaue Kontrolle der Domain und der Zahlungswege.
So schützen Sie sich vor WM-Betrug
Die gute Nachricht: Ein Großteil der Maschen lässt sich mit wenigen Gewohnheiten abwehren. Die folgenden Maßnahmen fassen die Empfehlungen von FBI, Fortinet und Recorded Future zusammen.
- Tickets ausschließlich über offizielle FIFA-Kanäle und autorisierte Wiederverkaufsplattformen kaufen, niemals über Links aus Social Media oder E-Mails.
- Die Domain in der Adresszeile genau prüfen. Exotische Endungen wie .cab, .pink oder .xyz sind ein klares Warnzeichen.
- Keine Streaming- oder Wett-Apps aus Drittquellen oder per APK installieren, sondern nur aus offiziellen App-Stores.
- Bei Zahlungen Kreditkarte mit Käuferschutz oder Dienste mit Rückbuchungsoption bevorzugen, keine Überweisungen oder Kryptozahlungen an Unbekannte.
- QR-Codes an Veranstaltungsorten und in Werbung mit Vorsicht behandeln, Ziel-URL vor dem Öffnen prüfen.
- Zwei-Faktor-Authentifizierung für E-Mail, Zahlungs- und Ticketkonten aktivieren, um gestohlene Passwörter zu entwerten.
- Verdachtsfälle in Österreich an Watchlist Internet und in den USA an das FBI-IC3 melden.
Die folgende Übersicht ordnet die häufigsten Maschen ihren typischen Ködern und Risiken zu.
| Masche | Köder | Hauptrisiko |
|---|---|---|
| Ticketbetrug | günstige oder ausverkaufte Karten | Geldverlust, keine Lieferung |
| Fake-Streaming | kostenloser Live-Stream | Schadsoftware, Datendiebstahl |
| Fake-Merchandise | Original-Trikots zum Tiefpreis | Zahlung ohne Ware |
| Krypto-Scam / Airdrop | WM-Token, kostenlose Coins | Wallet-Leerung |
| Fake-Jobs | Stellen im WM-Umfeld | Identitätsdiebstahl |
| QR-Code-Betrug | Codes vor Ort und in Werbung | Phishing-Seite, Zahlungsumleitung |
Fünf Prognosen für die WM-Phase 2026
Aus den vorliegenden Befunden lassen sich mehrere Entwicklungen für die laufende Turnierphase bis zum Finale am 19. Juli 2026 ableiten.
- Die Zahl aktiver Betrugs-Domains steigt mit jeder K.-o.-Runde weiter, weil kurzfristige Ticketnachfrage neue Köder schafft.
- Der Schwerpunkt verlagert sich von Ticketvorverkauf hin zu Live-Streaming-Betrug und Last-Minute-Reiseangeboten, sobald die Spiele laufen.
- KI-generierte Inhalte machen Fälschungen sprachlich und visuell überzeugender, womit sich klassische Erkennungsmerkmale weiter abnutzen.
- Social-Media-Plattformen bleiben der Hauptverteilkanal, da fast 90 Prozent der Impersonation-Konten laut Fortinet auf Facebook und Instagram liegen.
- Behörden und Anbieter intensivieren Takedown-Aktionen, doch die Lücke zwischen Registrierung und Abschaltung gefälschter Domains bleibt das zentrale Problem.
Häufige Fragen zum WM 2026 Betrug
Wie viele gefälschte WM-Domains gibt es 2026?
Die Angaben variieren je nach Zählweise. Fortinet meldete über 13.000 neue WM-Domains mit rund 8,8 Prozent bösartigem Anteil, Arctic Wolf zählte mehr als 10.000 schädliche Domains, und Help Net Security kam auf rund 19.000 FIFA-bezogene Registrierungen insgesamt.
Woran erkenne ich eine gefälschte FIFA-Seite?
Achten Sie auf ungewöhnliche Domain-Endungen wie .cab, .pink, .xyz oder .click, die das FBI als Beispiele für Fälschungen nennt. Offizielle Angebote laufen über die bekannte FIFA-Hauptdomain. Auch Tippfehler-Varianten wie filfa.org sind ein Warnsignal.
Was mache ich, wenn ich bereits gezahlt habe?
Kontaktieren Sie umgehend Ihre Bank oder Ihren Kreditkartenanbieter, um eine Rückbuchung zu prüfen. Sichern Sie alle Belege, Domain und Kommunikation. In Österreich können Sie den Fall an Watchlist Internet melden, das FBI nimmt Meldungen über das IC3 entgegen.
Sind kostenlose WM-Streams gefährlich?
Häufig ja. Fortinet beobachtete bösartige Streaming- und Wett-Apps sowie APK-Downloads aus Drittquellen, die Schadsoftware verbreiten oder Zahlungsdaten abgreifen. Nutzen Sie nur offizielle Übertragungswege und Apps aus etablierten Stores.
Ist der WM-Betrug 2026 schlimmer als bei Katar 2022?
Nach den vorliegenden Zahlen ja. Bei Katar 2022 zählte ReliaQuest 174 imitierende Domains, 2026 liegen mehrere Anbieter im fünfstelligen Bereich. Neu ist der starke Einsatz KI-generierter Inhalte und die Verlagerung auf soziale Medien.
Betrifft der WM-Betrug auch Österreich?
Ja. Die Kampagnen sind grenzüberschreitend, und österreichische Fans, die nach Tickets, Streams oder Reisen suchen, landen auf denselben gefälschten Seiten. KI-generierte deutschsprachige Texte machen die Fälschungen zusätzlich glaubwürdiger.
Welche Marken werden am häufigsten gefälscht?
Allen voran die FIFA selbst, ergänzt um Domains der 16 Austragungsstädte in den USA, Kanada und Mexiko. In früheren Turnieren waren zusätzlich Sponsoren aus dem Zahlungs- und Getränkesektor beliebte Köder.
Related Coverage
- Phishing-Angriffe erkennen und richtig reagieren
- Cyberangriffe Österreich: 2.122 pro Woche [2026]
- Cyberkriminalität Österreich: 62.328 Fälle, -5,4 % [2026]
- Cyberangriffe DACH 2026: 289 Mrd. Euro Schaden
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- Passwortsicherheit: starke Passwörter, Hashing und 2FA
- Online-Sicherheit verständlich erklärt
Quellen und weiterführende Analysen: Fortinet FortiGuard Labs, FBI IC3 Public Service Announcement, Recorded Future, Cybersecurity Dive und Watchlist Internet Österreich.
