Outsider Enterprise: phishing-as-a-service z Gemini
2026-07-11
Google pozwał operatorów Outsider Enterprise, platformy phishingowej sprzedawanej przez Telegram. Sprawa pokazuje, jak AI przyspiesza masowy smishing.

TL;DR
Google poinformował o pozwie przeciwko operatorom sieci Outsider Enterprise, która według firmy działała z Chin, koordynowała operacje przez Telegram i sprzedawała narzędzia phishing-as-a-service. Usługa miała umożliwiać klientom uruchamianie masowych kampanii SMS podszywających się pod znane marki i instytucje.
Google twierdzi, że operatorzy wykorzystywali Gemini do wspierania tworzenia fałszywych stron. Nie oznacza to, że model AI sam prowadził kampanie. Rdzeniem operacji były gotowe szablony, infrastruktura domenowa, kanały dystrybucji, automatyzacja wiadomości i proces przejmowania danych. AI mogła obniżać koszt przygotowania kolejnych wariantów oraz pomagać mniej technicznym użytkownikom usługi.
Według oficjalnego komunikatu Google z siecią powiązano 9 tysięcy fałszywych stron i ponad milion oszukańczych adresów URL. W ciągu dwóch tygodni maja 2026 roku do użytkowników Androida miało trafić 2,5 miliona wiadomości zawierających linki do stron utworzonych z użyciem infrastruktury Outsider.
Dla firm najważniejszy jest wniosek operacyjny: phishing staje się usługą, którą można kupić, skonfigurować i szybko modyfikować. Obrona nie może polegać wyłącznie na rozpoznawaniu jednego szablonu. Potrzebne są jasne zasady komunikacji z klientami, monitoring domen, szybkie zgłoszenia nadużyć, ochrona kont i ćwiczenie decyzji użytkownika przed wpisaniem danych.
Co Google zarzuca operatorom Outsider Enterprise
W czerwcu 2026 roku Google opisał działania prawne przeciwko osobom stojącym za platformą Outsider. Pozew cywilny został skierowany przeciwko niezidentyfikowanym z nazwiska pozwanym, których firma określa jako zagranicznych cyberprzestępców.
Według Google operacja sprzedawała zestaw phishingowy w modelu usługowym. Klienci nie musieli samodzielnie tworzyć całej infrastruktury. Otrzymywali narzędzia do przygotowywania fałszywych stron, wysyłania wiadomości i podszywania się pod rozpoznawalne marki, operatorów telekomunikacyjnych, usługi finansowe oraz instytucje publiczne.
Wiadomości dotyczyły między innymi problemów z rachunkiem inwestycyjnym, nagród od operatora, opłat drogowych, przesyłek i innych spraw, które można zamknąć krótkim komunikatem oraz linkiem. Odbiorca miał trafić na stronę imitującą prawdziwy serwis i przekazać dane osobowe, dane karty lub informacje potrzebne do przejęcia konta.
Google nie ograniczył działań do pozwu. Firma poinformowała o współpracy z FBI oraz operatorami AT&T, T-Mobile i Verizon w celu blokowania wiadomości i utrudniania działania infrastruktury. Takie połączenie działań prawnych, telekomunikacyjnych i technicznych jest ważne, ponieważ sama blokada jednej domeny nie zatrzymuje platformy, która automatycznie tworzy kolejne adresy.
Phishing-as-a-service zmienia ekonomię oszustwa
Phishing-as-a-service, często skracany do PhaaS, to model, w którym operator dostarcza innym przestępcom gotowe elementy ataku. Mogą to być szablony stron, panel zarządzania, hosting, obsługa domen, wysyłka wiadomości, powiadomienia o nowych ofiarach i instrukcje dla użytkowników usługi.
Taki model rozdziela role. Jedna grupa buduje i utrzymuje narzędzie. Inna kupuje dostęp i wybiera markę, pod którą chce się podszyć. Kolejna może zajmować się wysyłką SMS-ów, a jeszcze inna monetyzacją przejętych danych. Dzięki temu osoba bez dużego doświadczenia technicznego może uruchomić kampanię, korzystając z gotowego panelu.
Na PHISHLY opisywaliśmy już ten kierunek na przykładzie BlueKit i rozwoju phishing-as-a-service oraz Kali365 wykorzystującego phishing kodem urządzenia. Outsider Enterprise jest odrębnym przykładem, ponieważ łączy usługowy model z masowym smishingiem, szablonami wielu marek i zarzucanym przez Google użyciem Gemini do rozszerzania możliwości platformy.
Co AI rzeczywiście wnosi do takiej operacji
Generatywna AI nie musi wymyślać nowego rodzaju oszustwa, aby zwiększyć skalę zagrożenia. Wystarczy, że skraca czas potrzebny do stworzenia poprawnego kodu, przeredagowania wiadomości, przetłumaczenia treści albo dopasowania strony do innej marki.
W tradycyjnym modelu operator phishingu przygotowuje kilka szablonów i używa ich do momentu, gdy domeny zostaną zablokowane, a wiadomości zaczną być łatwo rozpoznawane. Narzędzie generatywne może pomóc produkować większą liczbę wariantów: inne układy, teksty, nazwy pól, języki i preteksty. Z punktu widzenia obrony utrudnia to poleganie na jednym podpisie lub identycznym fragmencie wiadomości.
AI może też obniżać barierę wejścia. Użytkownik platformy nie musi rozumieć HTML, stylów ani mechanizmu formularza. Może poprosić model o przygotowanie fragmentu interfejsu, a następnie włączyć go do gotowego zestawu. Według opisu Google operatorzy Outsider mieli udostępniać instrukcje pomagające klientom w takim wykorzystaniu Gemini.
Trzeba jednak zachować proporcje. Skuteczna kampania nadal wymaga list odbiorców, infrastruktury wysyłkowej, domen, hostingu, obsługi przejętych informacji i sposobu wypłacenia środków. AI jest akceleratorem, a nie samodzielnym sprawcą całego procesu.

Schemat rozdziela warstwę usługową od samej wiadomości: platforma dostarcza szablony, automatyzację i warianty, a odbiorca widzi tylko SMS oraz końcową stronę wyłudzającą dane.
Dlaczego masowy smishing nadal działa
SMS jest krótki, pojawia się na ekranie blokady i często dotyczy sprawy, którą można załatwić natychmiast. Użytkownik nie widzi pełnego adresu strony, a nazwa nadawcy może wyglądać jak komunikat systemowy lub marka. To dobre środowisko dla pretekstów opartych na małej opłacie, nagrodzie, blokadzie konta albo problemie z paczką.
Masowa kampania nie musi trafić do każdej osoby z idealnie dopasowaną historią. Wystarczy, że część odbiorców rzeczywiście czeka na przesyłkę, korzysta z danej sieci, ma konto inwestycyjne albo zna wskazaną markę. Duża liczba wiadomości rekompensuje niski odsetek reakcji.
Szerzej mechanizm wiadomości tekstowych wyjaśniamy w poradniku smishing, czyli phishing przez SMS. Dla użytkownika kluczowa jest zmiana nawyku: informację z SMS-a można potraktować jako sygnał do sprawdzenia sprawy, ale nie jako bezpieczną ścieżkę do logowania lub płatności.
Czy pozew może zatrzymać platformę phishingową
Działanie prawne może umożliwić przejmowanie domen, blokowanie usług, zabezpieczanie infrastruktury i nakładanie obowiązków na pośredników. Może też dostarczać podstaw do współpracy z operatorami telekomunikacyjnymi, dostawcami hostingu oraz rejestratorami domen.
Pozew nie rozwiązuje jednak całego problemu. Operatorzy mogą zmieniać nazwy, serwery i kanały sprzedaży. Kod może zostać skopiowany, a klienci mogą przejść do innej usługi. Bruce Schneier zwrócił uwagę, że skuteczność samego pozwu jest niepewna, choć poparł próbę zakłócenia działalności.
Z perspektywy obrony warto traktować takie działania jako jedną warstwę. Potrzebne są jednocześnie filtry sieciowe, wykrywanie domen, współpraca branżowa, ściganie przepływów finansowych i edukacja odbiorców. Żadna z tych warstw osobno nie zapewnia pełnej ochrony.
Co powinna zrobić firma, której marka może zostać podrobiona
Pierwszym krokiem jest ujednolicenie komunikacji. Klient powinien wiedzieć, czy firma wysyła linki do płatności przez SMS, z jakich domen korzysta i gdzie samodzielnie sprawdzić status sprawy. Im więcej nieprzewidywalnych kanałów i wyjątków, tym łatwiej oszustowi odtworzyć wiarygodny pretekst.
Drugim krokiem jest monitoring domen podobnych do marki. Wykrycie nowej domeny nie dowodzi nadużycia, ale pozwala szybko sprawdzić jej treść, hosting i certyfikat. Zespół powinien mieć gotową ścieżkę zgłoszenia do rejestratora, dostawcy hostingu, operatora przeglądarkowych list ostrzeżeń i CERT Polska.
Trzecim jest przygotowanie obsługi klienta. Konsultanci muszą wiedzieć, jak potwierdzać autentyczność wiadomości i gdzie eskalować zgłoszenia. Nie powinni prosić klienta o przesłanie hasła, kodu jednorazowego ani pełnych danych karty.
Czwartym jest ochrona kont pracowników zarządzających domenami, reklamami, SMS-ami i mediami społecznościowymi. Przejęcie prawdziwego konta marki może zwiększyć skuteczność kampanii bardziej niż kolejna fałszywa domena. Potrzebne są silne metody MFA, kontrola uprawnień i szybkie unieważnianie sesji.
Jak przygotować pracowników i użytkowników
Komunikat „nie klikaj w linki” jest zbyt szeroki, aby działać w codziennej pracy. Lepsza reguła dotyczy konkretnej decyzji: jeżeli SMS prosi o płatność, podanie danych, logowanie lub kod, odbiorca powinien przerwać proces i otworzyć oficjalną aplikację albo ręcznie wpisany adres.
W firmie tę zasadę można ćwiczyć w programie security awareness. Testy phishingowe dla firm powinny obejmować różne marki, kanały i preteksty, ale mierzyć przede wszystkim to, czy pracownik wraca do oficjalnego procesu oraz czy zgłasza wiadomość.
AI zwiększa liczbę wariantów, dlatego nie należy uczyć rozpoznawania jednej treści. Ćwiczenia powinny zmieniać język, wygląd i pretekst, zachowując wspólny punkt decyzyjny: podanie danych albo zatwierdzenie operacji w procesie rozpoczętym przez nieoczekiwaną wiadomość.
Co zrobić, jeśli to już się stało
Po wpisaniu danych logowania należy natychmiast zmienić hasło przez oficjalny serwis, wylogować aktywne sesje i sprawdzić metody MFA, urządzenia, aplikacje z dostępem oraz reguły poczty. Jeżeli ten sam sekret był używany w innych usługach, trzeba zmienić go także tam.
Po podaniu danych karty należy skontaktować się z bankiem i postępować zgodnie z jego instrukcją. Bank może zalecić blokadę lub zastrzeżenie karty. Trzeba sprawdzić historię transakcji i zgłosić nieautoryzowane operacje.
Po podaniu kodu jednorazowego albo zatwierdzeniu powiadomienia należy poinformować bank lub administratora konta, nawet jeśli na ekranie nie pojawił się sukces. Kod mógł zostać wykorzystany w czasie rzeczywistym.
Podejrzany SMS warto przekazać na numer 8080. Fałszywą stronę i wiadomość można zgłosić przez formularz CERT Polska. W firmie trzeba zachować dowody i sprawdzić, czy podobna wiadomość dotarła do innych osób.
Obrona musi być szybsza niż rotacja szablonów
Outsider Enterprise pokazuje, że masowy phishing nie jest już tylko zbiorem ręcznie przygotowanych stron. Może być produktem z szablonami, automatyzacją, wsparciem i narzędziami AI. Dlatego obrona powinna koncentrować się na stałych punktach procesu: nieoczekiwanej wiadomości, zmianie kanału, prośbie o dane i próbie zatwierdzenia operacji.
Firmy, które chcą sprawdzić odporność pracowników na smishing, fałszywe płatności i zmienne warianty treści, mogą skontaktować się z PHISHLY.
Najczęstsze pytania
Czym jest Outsider Enterprise?
Według Google jest to zorganizowana platforma phishing-as-a-service sprzedająca gotowe narzędzia do kampanii SMS, fałszywe szablony stron i infrastrukturę ułatwiającą kradzież danych osobowych oraz finansowych.
Jaką rolę miał odgrywać Gemini w tej operacji?
Google zarzuca operatorom, że udostępniali instrukcje wykorzystania Gemini do generowania lub modyfikowania kodu fałszywych stron. AI miała ułatwiać tworzenie wariantów, ale nie zastępowała całej infrastruktury, wysyłki i obsługi skradzionych danych.
Czy pozew Google zakończy phishing-as-a-service?
Nie. Pozew może utrudnić działanie konkretnej operacji, wesprzeć przejmowanie domen i rozliczenie nadużyć, ale model usługowego phishingu może być odtwarzany przez inne grupy i na innej infrastrukturze.
Jak rozpoznać SMS z kampanii phishing-as-a-service?
Nie da się polegać na jednym błędzie. Bezpieczna zasada to nie otwierać linku do płatności, nagrody, paczki lub blokady konta z nieoczekiwanego SMS-a, tylko samodzielnie wejść do oficjalnej aplikacji albo serwisu.
Źródła
- How we're combatting AI scams with security, legislation and more— Oficjalny komunikat Google o pozwie, skali infrastruktury Outsider Enterprise, współpracy z FBI i operatorami telekomunikacyjnymi.
- Google Affirmative Litigation — Outsider phishkit— Oficjalny opis sprawy i zarzutu wykorzystania Gemini do generowania fałszywych stron w kampaniach smishingowych.
- Google targets AI-powered phishing in New York lawsuit— Niezależne źródło opisujące pozew, model usługi i zarzuty dotyczące użycia Gemini oraz usług Google.
- Google Is Suing Chinese Scammers Who Are Using Gemini— Komentarz branżowy Bruce'a Schneiera wskazujący na znaczenie działań prawnych i ograniczenia samego pozwu.
- Dostałeś niepokojący SMS albo email? Zgłoś go do CERT Polska— Oficjalna instrukcja zgłaszania podejrzanych SMS-ów na numer 8080 oraz wiadomości i stron do CERT Polska.