Deepfake i fałszywa platforma bukmacherska

TL;DR

Deepfake w reklamie społecznościowej może być początkiem phishingu finansowego. CERT Orange Polska opisał kampanię, w której sfałszowane materiały wideo z udziałem znanych osób kierowały użytkowników do fałszywej platformy bukmacherskiej. Celem były dane osobowe, dane karty i wpłaty.

To nie jest zwykła fałszywa reklama. Deepfake wzmacnia zaufanie, bo użytkownik widzi twarz i słyszy głos osoby, którą rozpoznaje. W okresie dużych wydarzeń sportowych taki przekaz może wyglądać jak promocja, bonus albo specjalna okazja dla kibiców.

Ten temat łączy się z phishingiem na wydarzenia sportowe, w tym z oszustwami opisanymi przy fałszywych biletach na Mundial 2026. W obu przypadkach działa ten sam mechanizm: emocje, ograniczony czas, znana marka albo znana osoba i szybka płatność.

Jak działa kampania deepfake

Atak zaczyna się w mediach społecznościowych. Użytkownik widzi sponsorowany post lub reklamę, w której znana osoba rzekomo poleca specjalną platformę, bonus lub okazję związaną z wydarzeniem sportowym. W opisanym przypadku CERT Orange Polska wskazał wykorzystanie wizerunku znanych osób oraz reklam na Facebooku i Instagramie.

Nagranie może wyglądać wystarczająco wiarygodnie, szczególnie na małym ekranie telefonu. Atakujący mogą użyć klonowania głosu, synchronizacji ruchu ust i dynamicznych napisów, które odciągają uwagę od artefaktów obrazu.

Po kliknięciu użytkownik trafia na stronę udającą profesjonalną platformę bukmacherską. Widzi liczniki, bonusy, komunikaty o wpłatach innych użytkowników, znaki bezpieczeństwa i elementy sugerujące legalność. Następnie ma założyć konto i dokonać pierwszej wpłaty.

W tym momencie phishing przestaje być tylko wyłudzeniem danych. Staje się pełnym oszustwem płatniczym, w którym dane osobowe i finansowe są zbierane równolegle z realną wpłatą.

Dlaczego deepfake zwiększa skuteczność oszustwa

Deepfake działa, bo skraca dystans. Zamiast anonimowego banera użytkownik widzi kogoś znanego. To może być sportowiec, celebryta, dziennikarz, influencer albo osoba kojarzona z zaufaniem publicznym.

Atakujący nie muszą przekonać użytkownika argumentami technicznymi. Wystarczy, że stworzą wrażenie rekomendacji. Jeśli do tego dodadzą presję czasu, bonus powitalny, licznik do meczu i dynamiczne komentarze innych osób, użytkownik może działać impulsywnie.

Ważny jest też kontekst sportowy. Przed dużym turniejem wiele osób szuka promocji, typów, transmisji, biletów i zakładów. To naturalne środowisko dla oszustów, bo emocje są wysokie, a decyzje szybkie.

Deepfake nie musi być idealny. Wystarczy, że będzie wystarczająco dobry, aby użytkownik nie zatrzymał się przed kliknięciem.

Polski kontekst: legalność bukmacherów i reklamy

W Polsce legalne zakłady wzajemne przez Internet mogą oferować tylko podmioty posiadające odpowiednie zezwolenia. Ministerstwo Finansów publikuje informacje o legalnych podmiotach i domenach. To ważny punkt weryfikacji przed rejestracją i wpłatą pieniędzy.

Użytkownik nie powinien ufać stronie tylko dlatego, że wygląda profesjonalnie, pokazuje ikonę certyfikatu, używa polskiego języka albo ma reklamę w mediach społecznościowych. Legalność trzeba sprawdzić u źródła, a nie w samej reklamie.

Dla firm ten temat jest istotny także poza branżą hazardową. Ten sam schemat może zostać użyty do fałszywych inwestycji, szkoleń, webinarów, platform zakupowych, rekrutacji albo kampanii z udziałem rzekomego eksperta.

W praktyce deepfake jest kolejną warstwą socjotechniki. Nie zmienia celu ataku, ale zwiększa wiarygodność przynęty.

Co powinien zrobić użytkownik

Nie należy rejestrować się ani wpłacać środków na platformie znalezionej przez reklamę z udziałem znanej osoby. Najpierw trzeba samodzielnie sprawdzić domenę i legalność podmiotu w oficjalnym wykazie.

Warto zwrócić uwagę na profil publikujący reklamę. Jeśli jego nazwa, historia i tematyka nie pasują do promowanej oferty, to sygnał ostrzegawczy. Równie ważne są błędy językowe, przesadny bonus, licznik czasu i presja natychmiastowej wpłaty.

Przy nagraniach warto patrzeć na synchronizację ust, nienaturalny głos, dziwną mimikę, artefakty wokół twarzy i nadmierne napisy. Ale nie należy zakładać, że brak widocznych błędów oznacza autentyczność. Deepfake będzie coraz lepszy.

Najbezpieczniej przyjąć zasadę: reklama z twarzą znanej osoby nie jest dowodem, że oferta jest prawdziwa.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik założył konto na fałszywej platformie, powinien założyć, że podane dane osobowe mogą zostać użyte w kolejnych atakach. Warto zachować adres strony, zrzuty ekranu, e-maile, potwierdzenia i historię płatności.

Jeżeli użytkownik podał dane karty, należy natychmiast skontaktować się z bankiem, zastrzec kartę lub ograniczyć płatności internetowe i sprawdzić transakcje. Jeżeli użyto BLIK lub przelewu, trzeba zgłosić sprawę bankowi jak najszybciej.

Jeżeli użytkownik użył hasła, którego używa także w innych usługach, należy je zmienić wszędzie tam, gdzie się powtarza. Warto też sprawdzić skrzynkę pocztową pod kątem kolejnych wiadomości od oszustów.

W firmie incydent warto zgłosić, jeśli użyto służbowej skrzynki, telefonu, karty albo danych. Fałszywa reklama prywatna może stać się początkiem dalszego ataku na organizację.

Jak ćwiczyć ten scenariusz

Ten temat dobrze nadaje się do awareness, bo uczy ograniczonego zaufania do reklam i wizerunku znanych osób. Można pokazać użytkownikom, że phishing nie zawsze wygląda jak e-mail z błędem językowym. Czasem zaczyna się od dobrze przygotowanej reklamy w legalnej platformie społecznościowej.

W ćwiczeniu warto sprawdzić, czy użytkownik potrafi odróżnić rekomendację od reklamy, czy weryfikuje domenę, czy sprawdza legalność podmiotu i czy rozumie, że deepfake może być użyty do wyłudzenia płatności.

Konkretna zasada na koniec: twarz znanej osoby nie potwierdza legalności usługi. Zanim podasz dane lub wpłacisz pieniądze, sprawdź podmiot i domenę w niezależnym, oficjalnym źródle.