W czasach niepewności gospodarczej i wysokiej inflacji coraz więcej osób szuka sposobów na zabezpieczenie swoich oszczędności i pomnożenie kapitału. Niestety, tę potrzebę coraz częściej wykorzystują cyberprzestępcy, publikując w mediach społecznościowych fałszywe reklamy łatwego i wysokiego zysku oraz zaproszenia do grup inwestycyjnych. W polskiej przestrzeni internetowej widoczna jest fala tego typu oszustw. Treści są kierowane do osób zainteresowanych tematyką finansów, a przestępcy wykorzystują, by zwiększyć wiarygodność przekazu materiały podobne do tych, którymi posługują się popularni influencerzy finansowi.
Oszustwa tego typu stają się coraz trudniejsze do rozpoznania. Ich twórcy posługują się dziś zaawansowanymi narzędziami, w tym materiałami generowanymi przez sztuczną inteligencję, które nadają przekazom pozór autentyczności. Dlaczego coraz trudniej je rozpoznać?
Jak działają oszustwa inwestycyjne?
Fałszywe oferty inwestycyjne od lat należą do najbardziej dochodowych form cyberprzestępczości. Według danych FBI, tylko w ostatnim roku przestępcy zarobili na nich niemal 6,6 miliarda dolarów – to ponad dwa razy więcej niż na popularnych atakach typu BEC (Business Email Compromise), które przyniosły 2,8 miliarda dolarów strat .
– Schemat działania oszustów często wygląda podobnie: zaczyna się od reklam w mediach społecznościowych, które mają skłonić ofiarę do kliknięcia w link prowadzący do fałszywej oferty inwestycyjnej. W takich kampaniach przestępcy mogą prosić o podanie danych osobowych, przekazanie dostępów do kont bankowych albo próbować przekierować użytkownika do komunikatorów, gdzie kontynuują manipulację. W ostatnim czasie obserwujemy także rosnącą liczbę przypadków wykorzystywania deepfake’ów, co znacząco utrudnia rozpoznanie oszustwa na pierwszy rzut oka – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
W jednym z przypadków przestępcy w reklamach publikowanych np. na Facebooku zachęcają do wypełnienia formularza kontaktowego, co szybko przenosi do rozmowy na Whatsappie Materiały reklamowe wizualnie są bardzo podobne do tych, którymi posługują się popularni twórcy internetowi. Oszuści w atrakcyjny sposób oferują szybkie zyski i zapewniają o fachowej wiedzy, którą dzielą się w prywatnych konwersacjach. Budują z ofiarami relację – to działania nastawione na sprytne manipulacje i zaatakowanie w najmniej oczekiwanym momencie. W kolejnych krokach mogą przesyłać linki zawierające złośliwe oprogramowanie, które wykrada dane dostępowe do posiadanych inwestycji.
– Inwestycyjni przestępcy profesjonalizują się nie tylko w zakresie narzędzi i technologii jaką wykorzystują przeciwko swoim ofiarom. Bardzo często to również profesjonalizacja pod kątem wiedzy ekonomicznej, używanych sformułowań i języka jakim operują. Osoba, która nawiązuje relacje z oszustami ma wrażenie, że po drugiej stronie jest fachowiec znający się na rzeczy. Zna ofertę biur maklerskich, popularne instrumenty inwestycyjne i orientuje się w zakresie wydarzeń rynkowych. Przestępcy sugerują np. w jakie akcje zainwestować kusząc zyskami, których tak naprawdę nikt nie może przewidzieć. Mamy do czynienia z wytrawnymi przestępcami, którzy są cierpliwi i usypiają czujność ofiary. Pod pozorem troski proszą o przesyłanie screenów z wykonywanych operacji finansowych co ułatwi im później dokonanie oszustwa – tłumaczy Marcin Mazur z DAGMA Bezpieczeństwo IT.
Innym przykładem tego typu działań była kampania z wykorzystaniem trojana Nomani, zaobserwowana przez ESET w 2024 roku. Jej celem było podszywanie się pod lokalne media oraz znane instytucje. Fałszywe reklamy kierowały użytkowników na spreparowane strony phishingowe, które do złudzenia przypominały witryny znanych redakcji lub organizacji.
W innych przypadkach oszuści wykorzystywali ogólne motywy wizualne związane z tematyką finansową, nadając kampaniom losowe, często zmieniane nazwy – takie jak „Quantum Bumex”, „Immediate Mator” czy „Bitcoin Trader”. To zabieg, który ma utrudnić wykrycie i zablokowanie kampanii przez platformy reklamowe oraz uśpić czujność użytkownika, sugerując nową, nieznaną, a przez to rzekomo atrakcyjną ofertę inwestycyjną.
Oszustwo dopasowane do ofiary
Kampania z użyciem trojana Nomani, podobnie jak wiele innych tego typu operacji, była precyzyjnie dopasowana do lokalnych odbiorców. W zależności od regionu oszuści posługiwali się rozpoznawalnymi markami i nazwiskami – w USA wykorzystywano wizerunek Elona Muska, a w Niemczech np. Lufthansy czy partii CDU. Fałszywe reklamy pojawiały się na Facebooku, Instagramie, X, YouTube, a także w komunikatorze Messenger i Threads.
W kampaniach często wykorzystywano deepfake’i, w postaci niskiej jakości nagrań z celebrytami, w których powtarzano te same słowa kluczowe. Reklamy były emitowane z fałszywych lub przejętych kont, w jednym przypadku należącego do aktora z ponad 300 tys. obserwujących. Choć nazwy kampanii i wizualna oprawa często się zmieniały, wiele z nich korzystało z tych samych szablonów i zaplecza technicznego.
Celem przestępców było zdobycie danych kontaktowych ofiary. W kolejnym kroku dzwonili do użytkownika, próbując nakłonić go do udziału w fałszywej inwestycji, zaciągnięcia pożyczki lub zainstalowania oprogramowania do zdalnego dostępu.
Dlaczego wciąż dajemy się nabrać?
Z perspektywy technicznej fałszywe kampanie inwestycyjne często zawierają wyraźne sygnały ostrzegawcze. Jednak w praktyce łatwo je przeoczyć, zwłaszcza gdy jesteśmy pod presją rosnących kosztów życia i szukamy sposobu na szybkie podreperowanie domowego budżetu. W takich okolicznościach nawet oczywiste oszustwa mogą wydać się wiarygodne.
– W trudnej sytuacji ekonomicznej wiele osób staje się bardziej podatnych na oferty obiecujące szybki zysk. Korzystając z urządzeń mobilnych, często przeglądamy treści w pośpiechu, bez większej uwagi, co sprzyja impulsywnym decyzjom. Dodatkowo niewielu użytkowników zdaje sobie sprawę z tego, jak wyrafinowane techniki wykorzystują dziś cyberprzestępcy: od deepfake’ów po reklamy publikowane z przejętych kont – dodaje Kamil Sadkowski.
