Efter en explosiv VM-start och en tung förlust mot Nederländerna står Sverige inför en avgörande match mot Japan.
Samtidigt som svenska fans följer Isak, Gyökeres och resten av landslaget i mobilen visar ny forskning hur cyberbrottslingar utnyttjar fotbollsfebern genom falska streamingsidor, nätfiskeförsök och vilseledande länkar som dyker upp i sista minuten före avspark.
VM pågår för fullt på andra sidan Atlanten och Sverige är återigen en del av den stora fotbollsfesten. Först kom en 5–1-seger mot Tunisien, där Alexander Isak, Viktor Gyökeres, Yasin Ayari och Mattias Svanberg gjorde mål. Därefter följde en tung 5–1-förlust mot Nederländerna.
Nu väntar Japan i en match som kan ta Sverige vidare – eller krossa VM-drömmen.
Det är precis den här typen av VM-dramatik som får fansen att följa varje ögonblick. Via liveresultat, videoklipp, sociala medier och meddelanden som tickar in medan bollen är i spel.
Och det är just där bedragarna försöker slå till.
Det visar ny forskning från Arctic Wolf Labs, som har undersökt den cyberkriminella miljön kring VM 2026. Sedan januari har säkerhetsforskare observerat mer än 10 000 VM-relaterade domäner – och många av attackerna riktar sig mot fans som använder mobilen.
När avspark närmar sig är det lätt att klicka utan att tänka efter. En streaminglänk som dyker upp några minuter före avspark kan se ut som en genväg till sändningen, men enligt Arctic Wolf Labs är det just sådana ögonblick som angriparna försöker utnyttja.
Fem minuter före avspark
Bedrägeriet börjar sällan med en uppenbar fälla. Ofta börjar det med ett inlägg som ser ut precis som allt annat VM-innehåll i flödet: ett videoklipp, en matchtråd eller en länk som lovar tillgång till matchen, precis när spänningen stiger inför avspark. Klickar man vidare hamnar man ofta i WhatsApp, Telegram eller Discord, där angriparna kan fortsätta utan samma kontroll som på öppna plattformar.
Enligt Arctic Wolf Labs är detta en avgörande del av metoden. Inlägget behöver bara vara tillräckligt trovärdigt för att locka användaren vidare. När kontakten väl har flyttats till en meddelandetjänst är förtroendet högre, kontrollen mindre och mobilen ofta sämre skyddad.
Timingen är minst lika viktig som lockbetet. Flera grupper bygger upp kanaler inför matcherna och lovar att den ”riktiga” streaminglänken först ska delas några minuter före avspark. När matchen ska börja och man bara vill sätta igång och titta på fotboll är steget från nyfikenhet till klick betydligt kortare.
”VM är ett perfekt tillfälle för cyberbrottslingar, eftersom fans agerar snabbt och känslomässigt. När en länk lovar gratis streaming fem minuter före avspark är det många som klickar först och tänker sedan”, säger Clare Loveridge, Vice President och General Manager for EMEA på Arctic Wolf.
För svenska fans är hotet extra aktuellt, eftersom landslaget fortfarande har allt att spela för. När Sverige står inför en avgörande match följer fansen varje klipp, varje rykte och varje uppdatering. Det är just detta beteende som bedragarna utnyttjar.
Arctic Wolf Labs har bland annat upptäckt falska VM-biljettsidor, skadliga Android-appar förklädda som biljett-appar och skadlig kod som utger sig för att vara biljettprogram för Windows. Rapporten beskriver också kampanjer där VM-varumärket används för att lura användare att lämna ut sina inloggningsuppgifter.
Inte bara fansen är måltavlor
VM-bedrägerierna stannar inte vid fans som bara vill se matcherna. Arctic Wolf Labs har också upptäckt falska FIFA-jobbportaler, manipulerade dokument med QR-koder och nätfiskeattacker riktade mot organisationer kring turneringen. I vissa fall kan angriparna till och med kringgå klassisk multifaktorautentisering genom att fånga upp engångskoder i realtid samtidigt som offren tror att de loggar in på en legitim webbplats.
”Det nya är inte bara att bedrägerierna handlar om biljetter och streaming. Attackerna flyttar in på mobilen och vidare in i slutna meddelandetjänster, där både användare och säkerhetssystem har svårare att upptäcka dem”, säger Clare Loveridge.
Därför rekommenderar Arctic Wolf att fans stannar upp och tänker efter när en VM-länk verkar för bra för att vara sann eller dyker upp i sista minuten innan matchen börjar – oavsett om den kommer i form av en gratis stream, en QR-kod eller en länk i en chatt.
Appar, ”stream players” och biljett-appar bör bara hämtas från officiella appbutiker och officiella kanaler. QR-koder bör behandlas som vad de är: länkar som man inte kan se vart de leder förrän man skannar dem.
För Sverige handlar de närmaste dagarna om att hålla VM-drömmen vid liv. Men på svenska mobiler är motståndarna inte bara Japan, Nederländerna eller Tunisien.
Det är bedragarna också.
