Copa do Mundo 2026: golpistas clonam site da FIFA para enganar brasileiros em busca de ingressos

Ao menos cinco páginas fraudulentas foram criadas nas últimas semanas, segundo a empresa de segurança digital ESET.

Os sites têm versões em português e incluem até opções de ingressos para a partida entre Brasil e Marrocos, marcada para 13 de junho.

De acordo com a ESET, os sites falsos são divulgados por meio de anúncios no Google, redes sociais, WhatsApp, SMS e e-mail.

As páginas, às quais o g1 teve acesso, reproduzem com alto nível de fidelidade o design do site oficial da FIFA, incluindo logotipo, identidade visual e até o fluxo de compra de ingressos. Também oferecem hospedagem e itens relacionados à Copa do Mundo, como camisetas.

O g1 procurou a FIFA, que afirmou que sempre incentiva os torcedores a comprarem ingressos apenas pelo FIFA.com/tickets, a fonte oficial e preferencial de ingressos para a Copa do Mundo.

“Os torcedores são fortemente aconselhados a permanecer atentos, evitar plataformas não oficiais e recorrer exclusivamente aos canais oficiais da FIFA para a compra de ingressos e pacotes de hospitalidade”, diz a organização, em nota.

Na página original, a FIFA solicita que o usuário faça login antes de acessar a compra de ingressos. No site falso visto pelo g1, o mesmo procedimento é reproduzido em uma página praticamente idêntica.

A principal diferença é que a plataforma original permite acesso com contas do Google ou da Apple, enquanto a versão fraudulenta aceita apenas dados preenchidos manualmente em um formulário — um detalhe que pode indicar tentativa de golpe.

O g1 também notou que o site falso oferece a opção "português" no campo "Linguagem de Comunicação Preferida". Já a página oficial da FIFA disponibiliza apenas inglês, alemão, francês e espanhol.

Outro ponto que chama atenção é que o jogo entre Brasil e Marrocos aparece no site falso com ingressos supostamente em promoção, de US$ 2.205 por US$ 1.696. No site oficial da FIFA, porém, não há mais bilhetes disponíveis para essa partida. (veja a comparação na imagem acima).

A vítima pode cair no golpe ao cometer um erro de digitação ou não perceber pequenas alterações no endereço, que costuma ser quase idêntico ao verdadeiro. A estratégia inclui trocar letras e símbolos por caracteres semelhantes, como "l" (L minúsculo) por "I" (i maiúsculo) ou substituir "m" por "rn".

Em alguns casos, ataques de typosquatting são potencializados com anúncios online. A semelhança no endereço confunde a vítima, que clica no anúncio sem perceber que está indo para um site falso.

O primeiro ponto a observar é o endereço do site (URL). Páginas de grandes empresas costumam usar domínios conhecidos, sem variações suspeitas.

O site oficial da FIFA, por exemplo, termina em ".com", enquanto um dos fraudulentos identificados usa a extensão ".shop" e ".store".

Só que outro site falso identificado pela ESET também termina em ".com", assim como o original, mas começa com "www.wc26", o que pode indicar golpe. O endereço oficial da FIFA para venda de ingressos é "www.fifa.com".

Também vale analisar a estrutura da página. Golpistas podem copiar o visual de sites oficiais, mas pequenas inconsistências podem denunciar a fraude. Em um dos links fakes visto pelo g1, o chat de ajuda ao usuário exibia mensagens em um idioma que parecia japonês ou chinês.

Outro alerta é o senso de urgência criado pelos criminosos. Páginas fraudulentas costumam exibir mensagens como "últimas unidades" ou cronômetros de contagem regressiva para pressionar a vítima a concluir a compra rapidamente.

Também é importante desconfiar de preços muito abaixo do mercado. Criminosos costumam anunciar ingressos e produtos com descontos exagerados para atrair vítimas.

"A combinação entre paixão pelo futebol, ansiedade por ingressos e aparência legítima dos sites cria um ambiente extremamente favorável para golpes. Além do prejuízo financeiro, existe também o risco de roubo de identidade e comprometimento de contas pessoais caso o usuário reutilize senhas em outros serviços", explica Thales Santos, especialista em segurança da informação da ESET Brasil.