Sponsors en partners van WK 2026 maken maar weinig gebruik van DMARC

Dit blijkt uit onderzoek van Proofpoint. Grote internationale sportevenementen trekken regelmatig de aandacht van cybercriminelen, die gebruikmaken van social engineeringscams. Zij doen zich voor als sponsors, luchtvaartmaatschappijen, horecabedrijven, bezorgdiensten of consumentenmerken, met behulp van vervalste e-mails en domeinnamen die sterk lijken op die van bekende organisaties. In de aanloop naar het toernooi, wanneer de vraag naar reizen, tickets, promoties en merchandise toeneemt, is het belangrijk dat het ecosysteem rondom het evenement zich wapent tegen e-mailfraude, een van de belangrijkste aanvalsroutes voor cybercriminaliteit.

Identiteitsfraude tegengaan

Proofpoint onderzocht hoe Domain-based Message Authentication, Reporting and Conformance (DMARC) wordt toegepast op domeinen van WK-sponsors. DMARC is een protocol dat e-maildomeinen beschermt tegen misbruik door cybercriminelen. Het controleert de identiteit van de afzender voordat een bericht wordt afgeleverd. DMARC kent drie beveiligingsniveaus: monitoring, quarantaine en afwijzing. Afwijzing is de meest effectieve methode om te voorkomen dat verdachte berichten in de inbox terechtkomen.

Uit het onderzoek blijkt dat 24 van de 25 onderzochte domeinen (96%) een DMARC-record hebben gepubliceerd, wat aangeeft dat de meeste organisaties stappen hebben gezet om identiteitsfraude via e-mail tegen te gaan. Slechts 16 van de 25 domeinen (64%) passen echter het strengste DMARC-beleid toe, waarbij niet-geverifieerde e-mails worden geblokkeerd. Dit betekent dat meer dan een derde van de domeinen (36%) nog steeds geen actieve bescherming biedt tegen frauduleuze e-mails die misbruik maken van hun merknaam. Bij acht domeinen (32%) staat DMARC ingesteld op monitoring of een gedeeltelijke handhavingsstatus, waardoor vervalste e-mails alsnog in inboxen kunnen belanden.

Fans wordt geadviseerd om extra voorzichtig te zijn. De veiligste manier om tickets te kopen is rechtstreeks via de FIFA, die een volledig DMARC-beleid hanteert. Daarnaast is het belangrijk om alert te zijn op ongevraagde e-mails, sms’jes of telefoontjes, vooral als daarin wordt aangedrongen op dringende actie of onmiddellijke betaling. Financiële gegevens of wachtwoorden moeten nooit via e-mail of sms worden gedeeld. Bij twijfel kunnen fans het beste contact opnemen met de betreffende organisatie via de officiële kanalen. Het gebruik van unieke wachtwoorden per account en het inschakelen van multifactorauthenticatie (MFA) waar mogelijk, draagt bij aan een betere beveiliging.

'Grote events bieden kansen voor oplichters'

“Grote evenementen, zoals het WK voetbal, zorgen voor een enorm enthousiasme wat gaat van reisplannen en kaartverkoop tot speciale aanbiedingen en fanartikelen”, zegt Matt Cooke, EMEA Cybersecurity Strategist bij Proofpoint. "Helaas biedt dat ook kansen voor oplichters om misbruik te maken van fans. Hoewel het bemoedigend is dat veel partnermerken maatregelen hebben genomen om hun e-mailsecurity te verbeteren, laten er nog steeds te veel de deur openstaan voor frauduleuze berichten. Zonder krachtigere cybersecurity wordt het voor criminelen makkelijker om zich voor te doen als een vertrouwd merk. Zo kunnen mensen worden misleid om persoonlijke gegevens te delen of betalingen te doen voor nepaanbiedingen.”