Przestępcy działają jak wielkie korporacje, mają swoich marketingowców, badają rynek i na bieżąco dostosowują kampanie do wydarzeń w kraju. O tym, jak wyglądają kulisy ich „pracy”, kto jest na celowniku i jakie nowe zagrożenia przynosi AI, opowiada Paweł Piekutowski z UKNF.
Ze statystyk wynika, że dynamicznie rośnie liczba domen zajmujących się phishingiem, które blokujecie. Czy phishing, czyli wyłudzanie danych osobowych, to dzisiaj największy problem, jeśli chodzi o oszustwa finansowe?
Paweł Piekutowski, UKNF: Strony phishingowe od dawna wykorzystywane są do różnego rodzaju wyłudzeń, w tym oszustw powiązanych z rynkiem finansowym. Działający w strukturach UKNF zespół CSIRT KNF wykrył w 2025 r. około 50 tys. stron phishingowych, z czego ponad 40 tys. było powiązanych z oszustwami inwestycyjnymi. Wykorzystują one logotypy dużych spółek skarbu państwa, wizerunki celebrytów, nakłaniając użytkowników do ulokowania pieniędzy w nieistniejące inwestycje. Strona internetowa jest tylko wabikiem, haczykiem. Samo oszustwo odbywa się za pośrednictwem połączenia telefonicznego i rozmowy z ofiarą. Na stronę kierują reklamy wyświetlane na dużych platformach cyfrowych, w mediach społecznościowych, ale też w znanych serwisach informacyjnych. Wspólnie z CERT Polska staramy się blokować tego typu strony internetowe, trafiają one na listę ostrzeżeń, a następnie są blokowane przez operatorów telekomunikacyjnych.
Sami lokalizujecie takie domeny czy dostajecie zgłoszenia od użytkowników?
Większość identyfikujemy samodzielnie, korzystając z narzędzi analitycznych, ale otrzymujemy również zgłoszenia od użytkowników i podmiotów z rynku finansowego, co ułatwia nam realizację tego zadania.
Duża dynamika blokowanych stron to efekt waszej większej skuteczności czy skala tego zjawiska przybiera na sile?
Jedno i drugie. Rośnie skuteczność działań podejmowanych przez zespoły CSIRT KNF i CERT Polska, natomiast widzimy też istotny wzrost prób wyłudzeń. Nasilenie ataków phishingowych wynika też ze zmian modeli działalności przestępczej. Rośnie liczba oszustw finansowych, ponieważ przynoszą one przestępcom największe zyski, a jednocześnie nie generują dużych kosztów. Prawa ekonomii też działają na tym rynku.
Za najbardziej dochodową działalność przestępczą uchodzą oszustwa typu scam romance. Zmanipulowane osoby, kierując się emocjami, oddają przestępcom oszczędności życia. W Polsce tego rodzaju oszustw na szczęście jest niewiele.
Oszustwa typu scam romance to historie nośne medialnie i dlatego jest o nich głośno, stąd może być poczucie, że skala tego procederu jest bardzo duża. W rzeczywistości przestępcy dużo częściej kuszą perspektywą wielkich zarobków niż wielkiej miłości. Amatorów dużych zysków jest też bardzo wielu. Coraz więcej osób jest kuszonych perspektywą uzyskiwania dochodu pasywnego, którą przestępcy doskonale potrafią wabić.
Moim zdaniem te wszystkie reklamy są niesamowicie trywialne, poziom języka komunikacji słaby, wizja gigantycznych zarobków absolutnie nierealna. A ludzie się na nie mimo wszystko łapią.
Przekaz jest odpowiednio celowany. Przestępcy dokładnie dobierają grupy wiekowe i sposób przekazu. Jeżeli celem ataku są osoby młodsze, wtedy wykorzystywane są wizerunki youtuberów do reklamowania fałszywych inwestycji. W komunikacji z ludźmi starszymi używane są reklamy z celebrytami oraz spółkami skarbu państwa. Przestępcy działają metodą prób i błędów. Wypuszczają kampanię, obserwują, jakie jest zainteresowanie, jakie formy komunikacji działają w danej grupie docelowej. To są bardzo dobrze zorganizowane, wieloosobowe grupy przestępcze, których sposób działania można porównać do działalności wielkich korporacji. Mają specjalistów od marketingu, promocji, którzy potrafią liczyć pieniądze, tworzyć kampanie, sprawdzać, jak dobrze się one „sprzedają”.
Czy pojawiły się ostatnio jakieś kampanie, które zaskoczyły formą, sposobem przekazu?
Widziałem ich bardzo dużo i to, co mnie wciąż zaskakuje, to stałe dostosowywanie się przestępców „do rynku”. Dopasowują oni przekaz do aktualnej sytuacji gospodarczej i politycznej. W mediach są doniesienia o protestach rolników i od razu mamy fałszywe reklamy powiązane z tym tematem. Powódź? Od razu następuje wysyp oszukańczych zbiórek na poszkodowanych. Sukces sportowy – i można być pewnym, że przestępcy wykorzystają okazję, żeby wykorzystać wizerunek sportowca.
W styczniu była inauguracja prezydenta Trumpa i od razu w reklamach w Polsce pojawili się politycy.
Wizerunki polityków są rzeczywiście często wykorzystywane. Ostatnio coraz silniejszy jest też trend oszustw na kancelarie pomagające odzyskać pieniądze wyłudzone przez oszustów. Jest to bardzo niebezpieczne zjawisko, ponieważ notujemy bardzo dużo przypadków, gdy osoba oszukana trafia na reklamę firmy odszkodowawczej, nawiązuje z nią kontakt w nadziei na odzyskanie pieniędzy i po raz drugi pada ofiarą oszustwa.
Jaki jest kierunek ataków scamerskich na Polskę?
Ze względu na położenie geograficzne oraz kwestie językowe tzw. kotłownie, z których wykonywane są połączenia telefoniczne do Polski, są często zlokalizowane w Europie Środkowo-Wschodniej.
Czy są to gangi przestępcze, czy w działalność oszustów zaangażowani są też aktorzy państwowi?
W przypadku niektórych krajów o ograniczonych standardach demokratycznych nie można wykluczyć, że grupy przestępcze działają przy cichym przyzwoleniu lub wsparciu ze strony lokalnych struktur państwowych. Zazwyczaj dotyczy to jednak działań o charakterze dezinformacyjnym, a nie bezpośredniego udziału w oszustwach finansowych. W przeważającej liczbie przypadków za tego typu działalnością stoją zorganizowane grupy przestępcze nastawione głównie na osiąganie zysków. Tak jak wspominałem, bardzo często mają one strukturę, która przypomina firmy komercyjne. Można łatwo znaleźć różnego rodzaju ogłoszenia o pracę w tego typu tzw. kotłowniach. Z naszych obserwacji wynika, że grupy te najczęściej wykazują aktywność w dni robocze, od poniedziałku do piątku, w godzinach 8.00–16.00. Z perspektywy wielu osób zaangażowanych w tego typu oszustwa ich codzienna działalność niewiele różni się od zwykłej pracy biurowej – przychodzą rano do „biura”, włączają komputer, parzą kawę, wysyłają mejle i wykonują telefony, jak w typowej pracy na stanowisku sprzedażowym czy obsługowym.
Co ze świętami?
W okresie świątecznym zarówno nowych domen, jak i połączeń telefonicznych jest mniej. Przed świętami następuje natomiast bardzo duże nasilenie działalności oszustów. Nie są to kampanie inwestycyjne, ale związane z zakupami przedświątecznymi: SMS-y w sprawie niedopłaty do paczki itp.
Generalnie uczciwe warunki pracy.
Tylko działalność jest nieuczciwa.
Jak sztuczna inteligencja wpływa na sposób działania oszustów?
Obecnie AI wykorzystywana jest głównie do manipulacji z wykorzystaniem mechanizmów deepfejk. Praktycznie codziennie widzimy nowe i zmanipulowane przez przestępców filmy, w których celebryta czy znana osoba zachęcają do fałszywych inwestycji. Mamy też duże obawy co do możliwego wzrostu wykorzystania AI w atakach typu BEC (business email compromise) wymierzonych w firmy. Wcześniej najczęściej wykorzystywaną metodą było podszycie się pod prezesa albo dyrektora finansowego, prowadzącą do przejęcia adresu mejlowego i nakłonienia pracownika księgowości do zrealizowania przelewu. Obecnie znacznie łatwiej jest dokonać manipulacji, na przykład podszywając się pod prezesa za pomocą wygenerowanego przez sztuczną inteligencję głosu, w celu wpłynięcia na działania pracownika.
Fałszywe reklamy najczęściej pojawiają się na platformach internetowych. Jest wiele głosów, że nie dość mocno przykładają się one do walki z oszustwami. One same przekonują, że robią wszystko, co w ich mocy.
W ostatnich latach konsekwentnie dążymy do wypracowania coraz skuteczniejszych kanałów komunikacji z platformami cyfrowymi. Ludzie, którzy pracują w polskich oddziałach tych platform, dostrzegają problem i starają się go zwalczać. W wielu przypadkach mamy kanały dostępowe, za pomocą których możemy zgłaszać szkodliwe treści, i te treści są coraz szybciej i sprawniej neutralizowane. Natomiast znaczącym problemem jest skala tego zjawiska. Na każdą zgłoszoną przez nas i zablokowaną reklamę przypada kilkadziesiąt czy kilkaset nowych złośliwych reklam. Pytanie, czy platformy podejmują działania adekwatne do poziomu zagrożenia, które sukcesywnie narasta. Przestępcy zauważyli, że reklama jest nie tylko bardzo dobrą dźwignią handlu, ale też bardzo dobrą dźwignią różnego rodzaju oszustw, więc szeroko z niej korzystają. Wykorzystując do tego platformy cyfrowe.
Scamming out! 2.0
Bankier.pl i „Puls Biznesu” po raz drugi zainicjowały akcję Scamming out! – kampanię informacyjno-edukacyjną, której celem jest wzrost zainteresowania społeczeństwa i czynników decyzyjnych rosnącą skalą zagrożenia ze strony cyberoszustów. Zapraszamy do śledzenia kampanii w obu serwisach oraz na stronie poświęconej naszej akcji: scammingout.pl
