Nowy typ oszustwa opisanego przez ekspertów Check Point Research nie polega na jednym fałszywym linku czy zainfekowanej aplikacji. „Truman Show Scam” to w pełni syntetyczny ekosystem – z ekspertami, społecznością, dokumentami i aplikacją w oficjalnym sklepie – zaprojektowany tak, aby konsekwentnie budować zaufanie i wyłudzać pieniądze oraz dane.
„Truman Show Scam” znacząco różni się od klasycznych kampanii phishingowych. Zamiast jednorazowego ataku przestępcy tworzą spójną narrację: fikcyjną elitarną grupę inwestorów, codzienne komentarze rynkowe, regulaminy, „partnerstwa” oraz aplikację udającą platformę tradingową. Każdy element jest generowany lub kontrolowany przez atakujących, a całość ma przekonać ofiarę, że uczestniczy w wiarygodnym projekcie inwestycyjnym.
Schemat zaczyna się od SMS-ów, komunikatorów lub reklam obiecujących „ponadprzeciętne zwroty”. Następnie ofiara jest zapraszana do prywatnej grupy na WhatsAppie lub Telegramie, gdzie rozgrywa się właściwy „spektakl”: rzekomi eksperci i uczestnicy publikują analizy, chwalą się zyskami i wzmacniają presję społeczną. Brak krytycznych głosów nie jest przypadkiem – to klasyczna socjotechnika, dziś wzmocniona przez AI.
Kluczowym etapem jest instalacja „oficjalnej” aplikacji OPCOPRO dostępnej w legalnych sklepach. Nie zawiera ona malware’u – często to jedynie WebView wyświetlający dane z serwera. Wykresy, salda i transakcje są generowane centralnie, ale dla użytkownika wyglądają jak prawdziwa platforma inwestycyjna. Następnie pojawia się KYC: skan dokumentu i selfie, a potem depozyt – przelew lub kryptowaluta. W efekcie ofiara traci środki i przekazuje wrażliwe dane.
Od pojedynczego scamu do przemysłowej manipulacji zaufaniem
Zdaniem analityków Check Point Research, sztuczna inteligencja działa tu jako „mnożnik skali”: umożliwia wielojęzyczne rozmowy, utrzymywanie spójnych person i szybkie przenoszenie schematu między rynkami. Oszustwa przestają być incydentalne, a zaczynają przypominać przemysłowe systemy budowania zaufania.
Choć atak wygląda na problem konsumencki, niesie też ryzyka dla organizacji. Kradzież tożsamości ułatwia przejęcia kont, presja finansowa zwiększa podatność na szantaż, a „legalna” aplikacja mobilna może ominąć czujność użytkowników i firmowe procedury. Dodatkowo, dysponując dokumentami i wiarygodną legendą, przestępcy skuteczniej manipulują działami wsparcia IT.
Eksperci podkreślają, że obrona przed takim atakiem nie może ograniczać się do sprawdzania podejrzanych linków. „Truman Show Scam” działa bowiem jak lejek: komunikator → grupa → aplikacja → KYC → wpłata. Skuteczna ochrona wymaga analizy całych ekosystemów i wzorców zachowań, a nie pojedynczych artefaktów.
Rady dla osób prywatnych:
- Traktuj niezamówione „okazje inwestycyjne” jako ryzykowne z definicji.
- Weryfikuj firmy przez oficjalne rejestry/regulatorów, a nie przez linki z czatu.
- Nie wysyłaj dokumentów i selfie do nieznanych platform „KYC”.
- Pamiętaj: depozyty krypto są w praktyce nieodwracalne.
Rady dla firm:
- Zwiększ czujność wobec finansowych aplikacji WebView i całych „ekosystemów” wokół nich.
- Szukaj klastrów domen/infrastruktury powiązanych z aplikacjami i kampaniami.
- Wykrywaj lejki zachowań: czat → aplikacja → KYC → wpłata (to często bardziej diagnostyczne niż sam kod).
- Zapewnij pracownikom łatwą ścieżkę zgłoszenia, jeśli padli ofiarą — bo „wstyd” i cisza zwiększają ryzyko wtórnych nadużyć.
