想進 FIFA 工作？小心這可能是駭客設下的陷阱

06/16/2026

FIFA 工作機會向來吸引全球求職者關注，但資安研究人員警告，近期有駭客利用世界盃熱潮，假冒 FIFA 官方或合作企業發布虛假職缺，誘騙求職者提供個人資料與帳號資訊。面對這類求職詐騙手法，求職者在投遞履歷前應先確認職缺來源與企業身分，避免成為網路攻擊受害者。

每逢全球矚目的大型賽事，除了帶來龐大的觀賽人潮與商機之外，也往往成為網路犯罪集團眼中的絕佳機會。

隨著 2026 年 FIFA 世界盃足球賽正式開打，資安業者陸續發現與賽事相關的網路釣魚活動大幅增加。從假門票、假直播到假博弈平台，攻擊者不斷利用球迷對賽事的熱情設下陷阱。而最新研究顯示，駭客如今甚至開始將目標轉向求職市場，利用 FIFA 徵才與官方合作夥伴名義進行詐騙。

繼 CTM360 與 ESET 先後發布相關警訊後，Fortinet 旗下 FortiGuard Labs 也公布最新調查報告，揭露世界盃相關網路威脅正快速擴散。

根據研究團隊統計，今年 1 月至 5 月期間，全球已出現超過 13,000 個與 FIFA 2026 有關的新註冊網域名稱。其中，超過 1,100 個網域被判定為惡意或可疑網站，占整體數量約 8.8%。

這些網站大多利用熱門關鍵字吸引受害者，包括：

世界盃門票販售
官方賽事直播
球賽投注平台
旅遊住宿服務
FIFA 官方活動

對一般球迷而言，最常見的風險仍是假門票與假直播網站。然而，FortiGuard Labs 發現，攻擊者近期正逐漸將重心轉向另一個更容易取得敏感資料的目標——求職者。

由於世界盃賽事規模龐大，主辦單位與合作企業通常需要大量短期與專案型人力，包括：

活動支援人員
飯店服務人員
物流與後勤人員
媒體工作者
承包商與臨時工
場館運營團隊

而這樣的需求，也給了攻擊者可乘之機。

研究人員指出，近期已發現多起以 FIFA 官方職缺 或 知名贊助商招募計畫 為名義的憑證竊取（Credential Harvesting）攻擊活動。

在這類攻擊中，受害者通常會透過電子郵件、社群媒體或求職平台收到面試通知、招募邀請或工作機會資訊。攻擊者甚至會模仿正式企業流程，寄送行事曆邀請、線上面談通知與工作說明文件，增加可信度。

然而，當求職者點擊信件中的連結後，便可能被導向一個偽造的 Google 登入頁面。

這些網頁往往與真正的 Google 登入介面極為相似，即使有經驗的使用者也可能難以察覺異狀。當受害者輸入帳號與密碼後，系統通常只會顯示一則看似普通的錯誤訊息，讓使用者誤以為登入失敗。

但實際上，攻擊者此時已成功取得帳號憑證。

一旦取得 Google 帳號存取權限，駭客便可能進一步接觸：

電子郵件內容
Google Drive 文件
行事曆資訊
聯絡人資料
其他綁定的第三方服務

甚至利用相同帳號發動後續社交工程攻擊或商務電子郵件詐騙（BEC）。

從資安角度來看，這類攻擊其實反映出一個長期趨勢：攻擊者越來越擅長利用熱門事件進行社交工程。

無論是奧運、世界盃、演唱會或大型展覽，只要能夠吸引大量關注，就有機會被包裝成詐騙誘餌。過去駭客利用的是球迷想買門票的心理，如今則進一步利用求職者希望參與國際賽事工作的期待。

因此，面對任何與大型活動相關的工作機會時，求職者都應提高警覺，優先透過 FIFA 官方網站或企業正式徵才平台確認資訊來源，避免透過來路不明的電子郵件或社群訊息提供個人資料與登入帳號。

參考來源 : https://www.ithome.com.tw/news/176605