Pas op voor WK-fraude: Sponsors laten deur voor phishing open
Voetbalfans die zich voorbereiden op het WK 2026 moeten extra waakzaam zijn. Uit nieuw onderzoek van cybersecuritybedrijf Proofpoint blijkt dat meer dan een derde (36%) van de officiële sponsors, leveranciers en partners niet de nodige maatregelen heeft genomen om e-mailfraude te voorkomen. Hierdoor kunnen cybercriminelen zich relatief eenvoudig voordoen als vertrouwde WK-merken.
Grote sportevenementen zijn een goudmijn voor internetoplichters. Door de enorme stroom aan boekingen, merchandise-verkopen en ticketpromoties is de kans groot dat een fan klikt op een e-mail die afkomstig lijkt van een officiële luchtvaartmaatschappij, sponsor of bezorgdienst. In werkelijkheid gaat het vaak om social engineering, waarbij criminelen namen van bekende merken misbruiken om persoonlijke gegevens of geld te stelen.
De 'blinde vlek' in e-mailbeveiliging
Proofpoint analyseerde 25 domeinen van officiële WK-betrokkenen op het gebruik van DMARC (Domain-based Message Authentication, Reporting and Conformance). Dit protocol controleert de identiteit van een afzender voordat een mail de inbox bereikt. Hoewel bijna alle onderzochte partijen (96%) een basisvorm van DMARC hebben geïmplementeerd, schort het aan de handhaving.
Slechts 64% van de partners hanteert het strengste beveiligingsniveau: 'p=reject'. Dit is de enige instelling die frauduleuze e-mails proactief blokkeert en voorkomt dat ze überhaupt in de mailbox van de consument verschijnen. De overige 36% laat de deur feitelijk openstaan; zij monitoren wel wie hun naam misbruikt, maar grijpen niet in om de nepmeldingen tegen te houden.
Fans als zwakste schakel
"Het enthousiasme rondom het WK biedt oplichters kansen," waarschuwt Matt Cooke, Cybersecurity Strategist bij Proofpoint. "Hoewel veel merken stappen hebben gezet, laten nog te veel partijen de deur openstaan. Zonder een strikt 'reject'-beleid wordt het voor criminelen heel makkelijk om fans te misleiden met nepaanbiedingen."
Met name de sector rondom reizen en merchandise loopt risico. Criminelen gebruiken domeinnamen die sprekend lijken op het origineel om fans te verleiden tot betalingen voor niet-bestaande hotelkamers of fan-artikelen.
Hoe bescherm je jezelf?
In de aanloop naar het toernooi adviseert Proofpoint fans om de volgende regels in acht te nemen:
- Koop alleen officieel: Tickets moeten uitsluitend via de FIFA worden aangeschaft. De voetbalbond hanteert zelf wél een strikt veiligheidsbeleid waarbij frauduleuze e-mails direct worden geweigerd.
- Check de urgentie: Wees achterdochtig bij e-mails die aandringen op directe actie of onmiddellijke betaling.
- Geen data via mail: Deel nooit wachtwoorden of financiële details via e-mail of sms.
- Beveilig je accounts: Gebruik unieke wachtwoorden en schakel overal multifactorauthenticatie (MFA) in.
Hoewel de bal in 2026 pas echt gaat rollen, is de strijd in de inbox nu al begonnen. Voor een derde van de officiële WK-partners is er werk aan de winkel om te voorkomen dat hun goede naam wordt misbruikt voor grootschalige fraude.
Meer over Security
Over Witold Kepinski
