Na ile dzisiejsze oszustwa to wciąż proste schematy socjotechniczne, a na ile efekt profesjonalizacji grup cyberprzestępczych?
Cały czas mamy bardzo dużo klasycznych, prostych ataków, realizowanych niekoniecznie przez wyspecjalizowane osoby czy grupy. Ofiary wciąż tracą pieniądze przy prostych zakupach w internecie oraz w modelu na wyłudzenie kodów BLIK. Tego typu oszustwa na portalach sprzedażowych i społecznościowych wciąż są powszechne, ponieważ sprawcy nadal osiągają w ten sposób realne zyski.
Równolegle, rośnie znaczenie bardziej złożonych modeli, które z perspektywy pojedynczego pokrzywdzonego wyglądają jak drobny, jednorazowy incydent na niewielką kwotę. Gdy jednak spojrzymy szerzej i głębiej, bardzo często widzimy wyspecjalizowaną grupę – polską lub zagraniczną – działającą w sposób stały, zorganizowany, z podziałem ról.
Dobrym przykładem są ataki na użytkowników OLX czy Vinted. Tuż po wystawieniu ogłoszenia ofiara dostaje wiadomość poprzez komunikator, zwykle WhatsApp, od rzekomego kupującego: „Już zapłaciłem, opłaciłem kuriera, proszę kliknąć w link, żeby odebrać pieniądze”. Takie działania nie są dziełem „samotnych wilków”. Za nimi stoją grupy, często międzynarodowe, których członkowie nie mówią po polsku, lecz korzystają z przygotowanych skryptów rozmów na wiele krajów. Mają gotowe scenariusze do komunikacji, wsparte usługami tłumaczeniowymi.
Czytaj więcej
Geopolityka cyberbezpieczeństwa, suwerenność technologiczna, NIS2 i KSC, cyberodporność, infrastruktura krytyczna, AI, cyberprzestępczość - to tema...
Podobnie funkcjonuje rynek fikcyjnych sklepów internetowych. Takiego sklepu nie prowadzi jedna osoba: ktoś odpowiada za model biznesowy, ktoś inny za tworzenie i utrzymanie stron, rejestrację domen, hosting, zarządzanie kontaktami z „klientami”, obsługę infolinii czy odpowiadanie na wiadomości e-mail, kolejne osoby dostarczają rachunki bankowe słupów i piorą pieniądze. Gdy jeden sklep traci reputację, a pokrzywdzeni zaczynają w związku z jego działalnością składać zawiadomienia do organów ścigania, natychmiast pojawia się kolejny: z inną nazwą, lekko zmienioną szatą graficzną, ale z tymi samymi sprawcami, bo to ich stały model działania.
W przypadku oszustw inwestycyjnych widzimy już pełną profesjonalizację: struktury przypominające cyberprzestępcze korporacje, z działami HR, IT, wielojęzycznymi działami obsługi klienta i wyraźnym podziałem ról.
Agnieszka Gryszczyńska, dyrektorka Departamentu ds. Cyberprzestępczości w Prokuraturze Krajowej
Grupy wyspecjalizowane w cyberprzestępstwach rekrutują pracowników w Polsce. Premie za oszukiwanie ludzi
W ramach jednej ze swoich prezentacji na konferencji SECURE 2026 mówiła pani o ogłoszeniach rekrutacyjnych z systemem benefitów, premii, drabinką stanowisk w takich „firmach”. Na ile są to grupy zagraniczne, a na ile rekrutacje odbywają się w Polsce, gdzie Polacy oszukują Polaków?
Grupy, o których mówiłam na konferencji to te, wobec których prowadzone są już postępowania, więc mamy dobre rozpoznanie. W opisanych, głośnych medialnie sprawach byli to głównie cudzoziemcy, choć zatrzymano też m.in. Polaka.
Mamy jednak wiedzę o rekrutacjach prowadzonych w Polsce, skierowanych do Polaków. Rekrutowane osoby wyjeżdżają następnie do państw bliższych: jak Ukraina, gdzie mieści się call center albo do krajów azjatyckich. Tam jako native speakerzy języka polskiego obsługują polskie ofiary. Sama grupa ma charakter międzynarodowy, w jednym call center pracują osoby różnych narodowości, obsługujące ofiary w ich ojczystych językach. Chodzi o to, by ofiara czuła się komfortowo i bezpiecznie: jeśli rozmawia z kimś, kto świetnie mówi po polsku, używa właściwej terminologii, łatwiej obdarza go zaufaniem.
Na ile te osoby na starcie nie są świadome, w czym uczestniczą, a na ile – mimo zdobycia tej świadomości – zostają, bo praca daje im zarobek? Czy są dane, ilu z nich się wycofuje, a ilu tłumaczy później, że „nie wiedziało”?
Moim zdaniem ktoś, kto popracował w takim call center choćby kilka dni, doskonale rozumie, na czym polega ten „model biznesowy”, że jest to zwykłe oszustwo. Na etapie rekrutacji można to wypierać, ale po rozpoczęciu pracy nie ma realnej możliwości, żeby nie zrozumieć, w czym się uczestniczy.
Nie mamy twardych danych statystycznych, ilu pracowników rezygnuje i na jakim etapie. Być może wraz z kolejnymi realizacjami i zatrzymaniami, ta wiedza będzie pełniejsza. Możemy natomiast powiedzieć, że osoby, wobec których w ostatnich dwóch latach Centralne Biuro Zwalczania Cyberprzestępczości prowadziło czynności, doskonale wiedziały, że biorą udział w modelu przestępczym i że za skuteczne oszukiwanie ludzi otrzymują premie.
Z opublikowanych raportów – choćby KNF czy Riffsec – wiemy też, jak wyglądają ogłoszenia rekrutacyjne, proces kontrolowania jakości pracy czy tutoringu pracowników oszukańczych call center. Wiemy również, że pod siedzibami takich call center pojawiają się protesty osób z transparentami „nie oszukujcie niewinnych”. Trudno w takiej sytuacji przyjąć, że pracownik nie zdaje sobie sprawy z charakteru działalności.
Czytaj więcej
W długiej historii przestępczych ataków hakerskich doszło do wielu wycieków danych, które nawet po latach czy dekadach pozostają niewyjaśnione. Nie...
Co ważne, pracownicy są szkoleni z zakresu socjotechniki, rozmowy są nagrywane i odsłuchiwane, a osoby osiągające słabsze wyniki przechodzą dodatkowe szkolenia z zakresu psychomanipulacji prowadzone przez psychologa. Funkcjonują mechanizmy znane z dużych korporacji: ocena jakości pracy konsultantów, a nawet badania na wariografie – z pytaniami o kontakty z organami ścigania. To bardzo wyraźne sygnały, że nie chodzi o legalną działalność inwestycyjną, tylko o oszukiwanie ludzi.
Jednocześnie należy mieć na względzie, że azjatyckie call centers działają też na nieco innych zasadach – w modelu „obozów pracy”, gdzie zmusza się pracowników call center do niewolniczej i przymusowej pracy i stosuje się wobec nich kary fizyczne.
Nowe cyberprzestępstwa. Tak oszuści jeszcze raz oszukują oszukanych
Czy na podstawie pani codziennej pracy można stwierdzić, że w ostatnim czasie pojawił się zupełnie nowy schemat oszustwa inwestycyjnego albo jakiś jego nowy element? Cokolwiek panią zaskoczyło, czy to raczej ciągle te same wzorce?
Ciekawym, a zarazem niebezpiecznym zjawiskiem są kolejne etapy oszustw. Po pierwszym ataku do pokrzywdzonych zgłaszają się rzekome firmy, które oferują „odzyskanie środków”, albo ofiary widzą reklamy takich podmiotów. Nowością, która mnie w tym roku zaskoczyła, jest podszywanie się pod polskich prawników: z wykorzystaniem prawdziwych imion i nazwisk adwokatów czy radców prawnych, a także stron internetowych łudząco podobnych do witryn renomowanych kancelarii.
Zdarzyło się na przykład, że znajoma prawniczka zapytała mnie, czy znam konkretnego adwokata i czy mogę go polecić. Nazwisko było prawdziwe, osoba miała dobrą reputację, więc teoretycznie odpowiedziałabym „tak”. Dopiero po obejrzeniu przesłanego linku okazało się, że nie jest to jego strona, tylko podszywająca się – z fatalnym tłumaczeniem i licznymi nieścisłościami.
Jeżeli nawet prawnicy potrafią dać się nabrać na takie ogłoszenia i fałszywe strony kancelarii prawnych, to tym bardziej zwykła ofiara. Etap „odzyskamy twoje pieniądze, pomożemy ci” jest więc często pomysłem sprawców jak kolejny raz oszukać oszukanego. Trzeba o tym pamiętać, ponieważ nadal ten atak jest skuteczny.
Nic nie działa z punktu widzenia sprawców lepiej niż połączenie obietnicy miłości i pieniędzy
Drugim obszarem, który się bardzo dynamizuje jest love scam. To zjawisko przeniosło się z Facebooka na Tindera. Tam przestępcy od razu mają dostęp do grupy osób szukających relacji i otwartych na podjęcie komunikacji z nieznaną osobą.
Nowy rodzaj oszustwa na Tinderze. Inwestor zamiast amerykańskiego żołnierza
Nadal działa schemat „na amerykańskiego żołnierza”, czy pojawiły się nowe odmiany?
Model „na żołnierza” jest już mocno ograny. Dominującym dziś schematem jest „inwestor”, bo jest „atrakcyjniejszy” z perspektywy sprawców. Ile razy można prosić o pieniądze na operację nogi czy wykupienie się z wojska? Na Tinderze – i wobec kobiet, i wobec mężczyzn - pojawia się profil osoby „ociekającej bogactwem”: złoto, drogi samochód w tle, egzotyczne podróże. Najpierw rozmowa jest neutralna, trwa kilkanaście godzin, a potem pada: „Jestem bogaty, ty też możesz być bogata. Jestem inwestorem, nauczę cię”.
To, co uderza, to tempo. W jednym z analizowanych przeze mnie przypadków już czwartego dnia rozmowy pojawił się temat wspólnych dzieci, choć rozmówcy nigdy się przecież nie widzieli. Komunikacja jest intensywna, bardzo szybko obudowana emocjami i deklaracjami dotyczącymi przyszłości. Na Facebooku sprawcy nie mieli takiej skuteczności, bo nie każdy użytkownik szuka tam relacji. Tinder daje od razu wstępną selekcję: to osoby otwarte na nawiązanie kontaktu z nową osobą. Nic nie działa z punktu widzenia sprawców lepiej niż połączenie obietnicy miłości i pieniędzy.
Trudno uwierzyć, że ktoś w cztery dni jest w stanie uwierzyć w „miłość życia”, ale skoro działał „amerykański żołnierz”, to czemu nie zadziała fikcyjny inwestor. Zdjęcia używane do takich oszustw są generowane przez AI?
W analizowanych przeze mnie sprawach nie badałam tego szczegółowo pod kątem technicznym. Na pewno część zdjęć to po prostu skradzione fotografie z cudzych profili. W modelu „amerykańskiego żołnierza” często były to przeróbki prawdziwych zdjęć wojskowych, powielane w różnych sprawach.
Pamiętam sprawę, w której pokrzywdzona zaczęła krytycznie myśleć dopiero wtedy, gdy „partner” wysłał jej kolejne zdjęcie, twierdząc, że jest nad Bałtykiem, a na fotografii widać było morze i góry w tle. Dopiero wtedy uznała: „nie ma takiego miejsca nad Bałtykiem”. To pokazuje, że wcześniej nawet słabe, źle przerobione zdjęcia często nie budziły czujności. Krytyczne myślenie pojawia się, dopiero gdy narracja zaczyna się „rozjeżdżać”.
Tymczasem ofiary - w ostatnio analizowanych przeze mnie sprawach częściej są to jednak kobiety – są intensywnie manipulowane emocjonalnie. Rozkochuje się je, kontakt pojawia się o różnych porach dnia i nocy, co dodatkowo obniża czujność. Łączy się wizję wielkiej miłości z wizją wspólnego bogactwa: „wybudujemy dom, będziemy razem, ty też będziesz bogata”. Gdy ofiara odmawia np. założenia konta czy wykonania przelewu, pojawiają się emocjonalny chłód i manipulacja: „Ja tyle dla ciebie robię, a ty nie chcesz zrobić tego dla mnie i naszych przyszłych dzieci. Nie chcesz, żebyśmy zaczęli nowe życie?”. Takie cytaty wracają w relacjach pokrzywdzonych - w niemal dosłownie przytoczonych przeze mnie słowach.
Na ile w takich przypadkach mamy do czynienia z profesjonalnymi członkami grup przestępczych, a na ile z „wolnymi strzelcami”?
Tu nie musi działać duża, zhierarchizowana grupa. Teoretycznie „samotny strzelec” także może stosować ten model, jeśli ma przemyślany sposób prania pieniędzy albo korzysta z usług wyspecjalizowanych pośredników. Na końcu zawsze pojawia się konieczność przetransferowania środków.
Schemat jest taki: kobieta proszona jest o dokonanie wpłat, a w bardziej skomplikowanym wariancie – o założenie konta w kantorze lub na giełdzie kryptowalut na własne dane. Często sama tego nie potrafi, więc „partner” deklaruje: „ja ci pomogę, robiłem to wielokrotnie”. Ofiara przekazuje dane z dokumentu tożsamości, selfie z dowodem, loginy i hasła. Sprawca zyskuje pełny dostęp do środków i transferuje je dalej.
To wymaga zorganizowania na poziomie prania pieniędzy. Nie mam w tym obszarze potwierdzonej wiedzy o dużych, formalnie zorganizowanych grupach działających na terenie Polski, ale spokojnie może to być także działalność grupowa – zwłaszcza że taka osoba zwykle prowadzi równoległe rozmowy z wieloma ofiarami i musi sprawnie „wyprać” uzyskane środki.
Czytaj więcej
Pierwszy atak hakerski finansowany przez obce mocarstwo został wykryty w 1986 r. z powodu... 75 centów. Wtedy nikt nie przypuszczał, jak duży może...
Często w tle pojawiają się tzw. bankierzy, odpowiedzialni za pranie pieniędzy albo szersza grupa z podziałem ról. Warto też pamiętać, że komunikacja w znacznym stopniu odbywa się po angielsku. Ofiary nie są „naiwne” czy „nieinteligentne”, bo to często osoby dobrze wykształcone i znające język obcy. Nowym elementem jest powszechne wykorzystywanie translatorów: pojawiają się ofiary, które nie mówią po angielsku, ale korzystają z automatycznego tłumaczenia, co poszerza sprawcom grupę docelową.
Ofiary zwykle całość rozmowy prowadzą na Tinderze?
Tinder zwykle służy do nawiązania pierwszego kontaktu. Później rozmowa przenosi się na WhatsAppa lub inny komunikator, gdzie można korzystać z tłumaczeń. Sam sprawca też nie musi znać języka ofiary, bo może otwarcie powiedzieć, że używa translatora i przeprosić za błędy, budując na tym wręcz dodatkową nić „zaufania”.
Wracając do sztucznej inteligencji: AI na pewno pomaga tworzyć przestępcom treści m.in. właśnie wiadomości na czatach czy maile phishingowe. Na ile widać już wpływ AI pod kątem przyspieszenia i skali w działaniu przestępców?
Widzimy wykorzystanie AI przy tworzeniu reklam, deepfake’ów, szczególnie w oszustwach inwestycyjnych. Pojawiają się też prace naukowe porównujące skuteczność maili phishingowych generowanych przez duże modele językowe z tymi pisanymi przez ludzi. Wynik takich badań jest niepokojący: maile generowane przez LLM-y (Large Language Models, czyli duże modele językowe - przyp. red.) okazują się bardziej „klikalne”, a więc skuteczniejsze.
Proste narzędzia oparte na AI - translatory i generatory treści, które można spersonalizować, znacząco podnoszą wiarygodność ataków. Przez lata powtarzaliśmy użytkownikom: „jeśli są błędy językowe, nie klikaj”, „jeśli nie ma polskich znaków, nie klikaj”. Tymczasem dziś ofiara dostaje maila językowo i gramatycznie „idealnego”, z polskimi znakami, często spersonalizowanego („Droga Agnieszko…”). Sama pisząc szybko, robię literówki, a AI takich błędów nie popełnia.
To ogromne ułatwienie dla sprawców. Jednocześnie wciąż widzimy wiele ataków niespersonalizowanych, źle przetłumaczonych, z błędami, bo nie wszystkie grupy „zainwestowały” w AI i nie wszyscy z tych narzędzi korzystają. Niemniej badania pokazują, że phishing generowany przez LLM-y ma wyższy współczynnik klikalności, co pokazuje, w jakim kierunku zmierza to zjawisko.
CYBERSEC EXPO & FORUM 2026 w Katowicach
15-16 czerwca w w Międzynarodowym Centrum Kongresowym w Katowicach odbędzie się konferencja CYBERSEC 2026, poświęcona wyzwaniom związanym z cyberbezpieczeństwem na różnych polach. Wydarzenie zainauguruje debata poświęcona relacji między geopolityką cyberbezpieczeństwa a suwerennością technologiczną. Istotną częścią agendy będzie również cyberbezpieczeństwo państwa i administracji samorządowej. Wdrażanie dyrektywy NIS2, rosnące wymagania regulacyjne oraz skala zagrożeń dla usług publicznych i infrastruktury krytycznej wymuszają budowę systemu odporności cyfrowej. W centrum uwagi znajdą się modele współpracy między administracją centralną i lokalną, rozwój centrów operacji bezpieczeństwa oraz wdrażanie koncepcji Zero Trust w sektorze publicznym. Zaplanowano też dyskusję o walce z cyberprzestępczością. W obliczu wykorzystania sztucznej inteligencji, deepfake’ów czy modeli „cybercrime as a service”, konieczne jest zdefiniowanie roli wyspecjalizowanych jednostek oraz współpraca instytucji krajowych i międzynarodowych.
Czytaj więcej
Geopolityka cyberbezpieczeństwa, suwerenność technologiczna, NIS2 i KSC, cyberodporność, infrastruktura krytyczna, AI, cyberprzestępczość - to tema...
Nikola Bochyńska jest dziennikarką WNP
