Em Portugal, o cenário é particularmente sensível devido ao aumento histórico de ataques dirigidos ao utilizador comum. De acordo com os dados mais recentes do Centro Nacional de Cibersegurança (CNCS), o número de incidentes registados pelo CERT.pt disparou 40% em 2025, atingindo os 3.864 casos. Metade destas ocorrências teve origem na exploração do fator humano, através de phishing por e-mail, SMS ou redes sociais. É o clássico "clique por impulso" que, em momentos de grande emoção desportiva, se torna a porta de entrada perfeita para que os atacantes consigam comprometer dispositivos e credenciais.

Um dos esquemas mais recorrentes envolve sites de venda de bilhetes que replicam na perfeição o design oficial da FIFA para induzir as vítimas em erro. Estes portais fraudulentos aceitam pagamentos em quase qualquer moeda, mas o desfecho é invariavelmente o mesmo: o dinheiro é roubado e o bilhete nunca chega a ser emitido. Além disso, os criminosos utilizam estes formulários para recolher dados pessoais sensíveis, que são posteriormente vendidos em fóruns da dark web ou utilizados em novos ataques de roubo de identidade.

Paralelamente, surgiram lojas online falsas que prometem merchandising oficial com descontos impossíveis de ignorar. Nestas páginas, os utilizadores encontram peluches da mascote e t-shirts a preços reduzidos, frequentemente acompanhados por selos de "Loja de Confiança" falsificados para aumentar a credibilidade da burla. Tal como nos sites de bilhetes, o objetivo principal é levar o fã de futebol a introduzir os seus dados bancários num ambiente controlado pelos atacantes, facilitando a exfiltração de fundos das contas comprometidas.

As campanhas de e-mail malicioso também ganharam força, com mensagens que prometem "subsídios" de 500.000 dólares para cobrir despesas de viagem e alojamento. Estes e-mails utilizam logótipos oficiais e linguagem persuasiva para convencer as vítimas a clicar em links ou a contactar falsos representantes do evento. Trata-se de uma tática de engenharia social clássica que joga com a esperança de um prémio inesperado, mas que apenas serve de isca para a instalação de malware ou para a captura de palavras-passe em páginas de login forjadas.

Para garantir que o verão não é arruinado por uma fraude, a Kaspersky recomenda a verificação rigorosa de todos os URLs e o uso exclusivo de canais oficiais para aquisições relacionadas com o torneio. É fundamental desconfiar de ofertas demasiado generosas e manter a autenticação de dois fatores ativa em todas as contas financeiras. Ignorar mensagens não solicitadas e utilizar soluções de segurança com proteção baseada em inteligência artificial são passos essenciais para manter os dispositivos seguros e garantir que o foco permanece apenas no espetáculo dentro das quatro linhas.