Jak działają fałszywe inwestycje online i dlaczego przypominają korporacje cyberprzestępcze

To nie są pojedynczy hakerzy działający z piwnicy, lecz zorganizowane przedsiębiorstwa z działami IT, rekrutacją i call center pracującym na zmiany. Firma Riffsec opublikowała raport „Fałszywe inwestycje w sieci”, który jako jeden z pierwszych kompleksowo analizuje nie tylko metody oszustwa, ale przede wszystkim korporacyjne zaplecze stojące za tym procederem.

Wspomniana analiza pokazuje pełny, wieloetapowy model działania grup wyłudzających pieniądze od internautów. Z ustaleń ekspertów Riffsec wynika, że mamy do czynienia z dojrzałym ekosystemem cyberprzestępczym działającym w modelu zbliżonym do korporacyjnego.

Od reklamy z deepfake do przejęcia kontroli

Proces ataku rozpoczyna się od kampanii reklamowych – najczęściej w mediach społecznościowych, gdzie wykorzystywane są deepfake’i z wizerunkami znanych osób lub podszywanie się pod wiarygodne media. Głównym kanałem dystrybucji wskazanym w raporcie jest Facebook, wspierany przez kampanie w Google Ads i innych platformach.

Użytkownik trafia następnie na tzw. pre-landing page, czyli spreparowany artykuł stylizowany na materiał prasowy. Jego celem jest zwiększenie wiarygodności oferty i skłonienie do pozostawienia podstawowych danych kontaktowych – imienia, adresu e-mail i numeru telefonu.

To moment przełomowy. W ciągu kilku minut kontakt przejmuje „doradca inwestycyjny”, który prowadzi rozmowę według przygotowanych scenariuszy. Przestępcy, budują relację, gratulują „świetnej decyzji” i krok po kroku prowadzą ofiarę przez proces rzekomej inwestycji. Często proszą o zainstalowanie legalnego oprogramowania do zdalnego dostępu (jak AnyDesk czy TeamViewer) pod pretekstem pomocy technicznej, zyskując w ten sposób pełną kontrolę nad komputerem ofiary. Ofiara otrzymuje dostęp do fałszywej platformy inwestycyjnej, która symuluje rosnące zyski, a nawet posiada własny mechanizm uwierzytelniania dwuskładnikowego (2FA), by wzmocnić iluzję bezpieczeństwa.

„W dobie ataków typu human-centric, gdzie celem nie jest luka w oprogramowaniu, lecz emocje ofiary, technologia staje się jedynie tłem dla wyrafinowanej inżynierii społecznej” – komentuje Maciej Broniarz z DC9 CYBER.

Crime-as-a-Service: przestępczość w modelu operacyjnym

Najbardziej ciekawym elementem wspomnianego raportu jest analiza zaplecza organizacyjnego. Autorzy wskazują, że przestępczość ta funkcjonuje w modelu Crime-as-a-Service (CaaS), z wyraźnym podziałem ról:

• „Korporacje leadowe” odpowiadają za marketing, generowanie ruchu i pozyskiwanie danych kontaktowych, działając jak wyspecjalizowane agencje performance marketingu.
• Call center zajmują się z kolei konwersją leadów i bezpośrednim wyłudzaniem środków, operując według skryptów sprzedażowych i struktur motywacyjnych typowych dla legalnych organizacji.

Struktury te posiadają własne działy IT, zespoły rekrutacyjne, a nawet benefity pracownicze, co dodatkowo potwierdza ich „korporacyjny” charakter.

Skala zjawiska potwierdzona śledztwami

Skalę procederu ilustrują dane organów ścigania. W jednym ze śledztw prowadzonych przez CBZC w Krakowie – we współpracy z oddziałami w Gorzowie i Radomiu – zidentyfikowano siedem fałszywych platform inwestycyjnych. Zabezpieczono mienie o wartości 5 mln zł oraz kryptowaluty warte ponad 5 mln dolarów.

Skradzione w ten sposób środki są najczęściej „prane” z wykorzystaniem kont słupów i giełd kryptowalut, co dodatkowo komplikuje proces ich odzyskiwania i utrudnia ściganie sprawców.

Luki w prawie i odpowiedzialność platform

Raport wskazuje również na istotne ograniczenia systemowe. Jak zauważa dr hab. Agnieszka Gryszczyńska z Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie, polskie prawo nie penalizuje wprost tworzenia i dystrybucji deepfake’ów. W praktyce sprawy kwalifikowane są na podstawie istniejących przepisów – m.in. art. 286 k.k. (oszustwo), art. 267 k.k. (bezprawne uzyskanie informacji) czy art. 279 k.k. (kradzież z włamaniem).

Sytuacji nie poprawia fakt, że unijny AI Act – nakładający obowiązek oznaczania treści syntetycznych – jest przez przestępców ignorowany, a transgraniczny charakter działalności dodatkowo utrudnia egzekwowanie prawa.

Wnioski raportu dotykają też roli największych platform technologicznych. To właśnie na nich dystrybuowane są reklamy oszustw, generujące realne przychody reklamowe. Problem odpowiedzialności pośredników pozostaje jednak nierozwiązany – zarówno na poziomie regulacyjnym, jak i operacyjnym.

„Zgłaszania tego typu treści jako szkodliwych jest nieskuteczne, Facebook w znaczącej większości przypadków nie usuwa ich. Podobnie dzieje się na innych platformach mediów społecznościowych. Google jako dostawca największej wyszukiwarki internetowej, mimo deklaracji ochrony swoich użytkowników, pozwala przestępcom umieszczać reklamy fałszywych inwestycji w Google Ads, czy też odpowiednio pozycjonować strony przestępcze. Czy problem ze skutecznym eliminowaniem treści przestępczych z Internetu jest trudny technicznie? W dobie modeli AI, które odpowiednio wytrenowane są w stanie piekielnie dobrze realizować zaawansowane prace w zakresie analizy treści? Globalne korporacje o których mówimy mają do tego odpowiednie zasoby finansowe i techniczne. Czy więc brakuje woli i chęci bo czerpią niemałe korzyści finansowe z działalności przestępczej na swoich platformach? Bo przecież taka skala reklam generuje kolosalne przychody. To pytanie w formie otwartej pozostawiam czytelnikom do własnego przemyślenia” – podsumowuje gorzko Krzysztof Zieliński, CISO w RTV EURO AGD.