Fałszywe sklepy online rosną jak grzyby po deszczu. Nie daj się oszukać

Oszuści internetowi coraz częściej wykorzystują emocje i chwytliwe hasła, by skłonić internautów do zakupów w nieistniejących sklepach. Popularnym schematem jest granie na sentymencie - np. informacja o "likwidacji firmy po 29 latach" czy rzekoma wyprzedaż końcówek magazynowych "po kosztach". Tego typu ogłoszenia często wyglądają wiarygodnie i kuszą niskimi cenami. W rzeczywistości za nimi nie stoi żadna legalna firma, a witryna znika z sieci po kilku dniach, by wkrótce pojawiła się w nowej odsłonie - już pod inną nazwą i adresem.

Dzięki sztucznej inteligencji i automatyzacji tworzenie fałszywych sklepów jest dziś szybkie i tanie. Przestępcy korzystają z gotowych szablonów stron oraz narzędzi reklamowych, co utrudnia ich wykrycie.

Najczęstsze techniki to:

• podszywanie się pod znane marki (tzw. phishing brandowy),
• wykorzystywanie reklam sponsorowanych i SEO, by zwiększyć widoczność fałszywych sklepów,
• generowanie treści - opisów produktów, opinii, regulaminów - za pomocą AI,
• tworzenie realistycznych, lecz anonimowych witryn.

- Dzięki AI oszuści działają szybciej, na większą skalę i przy znacznie niższym ryzyku wykrycia. Stworzenie fałszywego sklepu z realistycznymi treściami możliwe jest nawet w ciągu kilkudziesięciu minut. Opisy produktów, regulaminy, opinie - wszystko może być sztucznie wygenerowane. Dlatego tak ważne jest, by klienci nauczyli się rozpoznawać charakterystyczne oznaki nieprawidłowości, np. błędy językowe, dziwne przekierowania, nietypowe adresy URL czy brak danych kontaktowych - mówi Michał Tomaszewski, CISO, szef Zespołu ds. Bezpieczeństwa w Exorigo-Upos.

W 2024 roku zablokowano w Polsce aż 305 tysięcy fałszywych domen. Jednym z największych wyzwań pozostaje phishing brandowy - oszuści tworzą strony łudząco podobne do witryn znanych sklepów, zarówno pod względem grafiki, jak i nazwy domeny. Takie działania trudno wykryć bez specjalistycznych narzędzi monitorujących środowisko online.

- Cyberprzestępcy nie skupiają się na konkretnych branżach, tylko wybierają ekonomicznie atrakcyjne i słabo zabezpieczone przedsiębiorstwa. Jeśli firma generuje wysoki przychód, ale nie inwestuje w bezpieczeństwo - staje się łatwym celem. Gdy zabezpieczenia są solidne i dostęp do danych wymagałby dużo czasu lub nakładów, oszuści po prostu przechodzą dalej - podkreśla Michał Tomaszewski.

Aby nie dać się nabrać na cyfrowe oszustwa, warto zachować czujność i sprawdzać kilka kluczowych elementów strony:

• adres witryny - literówki, nietypowe rozszerzenia domen (np. .store, .top), brak danych WHOIS;
• brak informacji o firmie - niepełne dane kontaktowe, brak polityki zwrotów lub regulaminu;
• jakość treści - powtarzalne opisy, błędy językowe, nielogiczne informacje;
• ograniczone metody płatności - szczególnie jeśli brakuje operatorów takich jak PayU, Przelewy24 i dostępna jest tylko przedpłata;
• niedziałające podstrony - puste zakładki, przekierowania do niespowiązanych witryn.

- Dla sprzedawców działających w internecie najlepszą formą ochrony jest wielowarstwowe podejście do bezpieczeństwa. Legalne sklepy wdrażają certyfikaty SSL, mechanizmy uwierzytelniania dwuskładnikowego, systemy klasy WAF, monitorowanie ruchu sieciowego i testy penetracyjne. Coraz częściej inwestują też w stałe usługi bezpieczeństwa - Security Operations Center - które analizują anomalie i reagują na nie w czasie rzeczywistym. Ale żadna technologia nie zastąpi podstawowej ostrożności użytkownika - mówi Tomaszewski.

Z badań opublikowanych w czasopiśmie "Behavioural Public Policy" wynika, że klienci bardziej ufają sklepom, które udostępniają jasne informacje o sprzedawcy i zawierają rzeczywiste opinie innych użytkowników. Dlatego eksperci sugerują rozważenie stworzenia publicznej bazy certyfikowanych sklepów internetowych. Choć taka lista mogłaby zwiększyć poczucie bezpieczeństwa, nie rozwiąże wszystkich problemów - np. nie powstrzyma phishingu czy typosquattingu.

- Taka lista mogłaby budzić zaufanie, ale nie wyeliminuje zjawiska typosquattingu, ani nie zabezpieczy przed kampaniami phishingowymi. Mogłoby to też utrudnić wejście na rynek nowym, mniejszym podmiotom. Potrzebne są działania systemowe: szybkie i konsekwentne reagowanie zespołów CERT, dzielenie się wiedzą w ramach branży i rozwijanie narzędzi do zgłaszania podejrzanych witryn - podsumowuje Michał Tomaszewski.