Com a Copa do Mundo de 2026 a menos de 30 dias de distância, criminosos montaram uma rede de sites que imitam o visual da FIFA para enganar torcedores brasileiros em busca de ingressos.
A empresa de cibersegurança ESET identificou ao menos cinco páginas fraudulentas com versão em português — algumas com bilhetes à venda para o jogo do Brasil contra Marrocos, marcado para 13 de junho.
Os links falsos circulam por anúncios no Google, redes sociais, WhatsApp, SMS e e-mail, segundo a ESET.
A técnica usada pelos criminosos tem nome: typosquatting. Consiste em criar endereços muito parecidos com os originais — trocando letras, adicionando extensões incomuns ou substituindo caracteres por símbolos visualmente semelhantes, como “l” por “I” ou “m” por “rn”. A semelhança confunde a vítima, que clica no link sem perceber que está acessando uma página falsa.
No caso mapeado pela ESET, alguns dos sites usam extensões como “.shop” ou “.store” no lugar do “.com” oficial. Outro termina em “.com”, mas começa com “www.wc26” — diferente do endereço legítimo “www.fifa.com”. Em canais como Google e redes sociais, os links aparecem como anúncios pagos, o que aumenta a credibilidade aparente.
As páginas reproduzem com alto nível de fidelidade o design do site da FIFA: logotipo, identidade visual e até o fluxo de compra de ingressos. Também oferecem pacotes de hospedagem e produtos como camisetas.
FIFA orienta: compre apenas pelo canal oficial
Consultada pela imprensa, a FIFA afirmou que sempre incentiva os torcedores a adquirir ingressos exclusivamente pelo FIFA.com/tickets. “Os torcedores são fortemente aconselhados a permanecer atentos, evitar plataformas não oficiais e recorrer exclusivamente aos canais oficiais da FIFA”, diz a organização em nota.
Uma das diferenças entre o site real e o falso é o método de login: a plataforma oficial aceita contas do Google ou da Apple, enquanto a versão fraudulenta exige apenas preenchimento manual de formulário. Outro sinal: o falso oferece “português” como idioma de comunicação — o original disponibiliza apenas inglês, alemão, francês e espanhol.
A escassez real de ingressos também é explorada. A partida entre Brasil e Marrocos aparece nos sites falsos com bilhetes “em promoção” a US$ 1.696, quando na plataforma oficial não há mais ingressos disponíveis para o jogo. A Copa de 2026 mobiliza quase US$ 900 milhões em repasses da Fifa às federações, tornando o torneio um alvo especialmente lucrativo para criminosos que exploram a euforia em torno dos ingressos.
“A combinação entre paixão pelo futebol, ansiedade por ingressos e aparência legítima dos sites cria um ambiente extremamente favorável para golpes. Além do prejuízo financeiro, existe também o risco de roubo de identidade e comprometimento de contas pessoais caso o usuário reutilize senhas em outros serviços”, alerta Thales Santos, especialista em segurança da informação da ESET Brasil.
Como identificar um site falso
O primeiro sinal de alerta é a URL. Sites de grandes organizações usam domínios conhecidos e sem variações. Desconfie de extensões como “.shop” ou “.store” e de prefixos suspeitos como “wc26”. Inconsistências no conteúdo também denunciam a fraude: em um dos links analisados pela ESET, o chat de suporte exibia mensagens em japonês ou chinês — detalhe impensável em uma plataforma oficial.
Cronômetros de contagem regressiva, avisos de “últimas unidades” e descontos exagerados são recursos clássicos usados para pressionar a vítima a agir sem pensar. Ingressos com preços muito abaixo do mercado devem acender o alerta imediatamente.
Pesquisa em 21 países aponta o Brasil como a nação com maior dificuldade para identificar conteúdo falso — vulnerabilidade que os criadores dos sites clonados da FIFA claramente exploram para maximizar o alcance dos golpes entre o público brasileiro.