CERT Orange: AI napędza fałszywe sklepy w sieci
CERT Orange Polska opisuje schemat oszustwa, który w pierwszym kwartale 2025 r. pojawiał się w fałszywych sklepach internetowych. Przestępcy używali AI do tworzenia zdjęć butików, modeli i produktów, a klientów przyciągali głównie reklamami na Facebooku z historią o likwidacji sklepu.
Według publikacji przygotowanej w ramach raportu CERT Orange Polska za 2025 r., podobne kampanie pojawiały się nie tylko w Polsce, ale też w Hiszpanii, Portugalii i Holandii. Scenariusz zwykle wyglądał tak samo: sponsorowany post obiecywał bardzo duże obniżki, a ich przyczyną miały być kłopoty właściciela, brak czasu, niska rentowność albo nawet uszkodzenie lokalu przez samochód.
Wiarygodność takich ofert miały wzmacniać profile na Facebooku z kilkoma tysiącami obserwujących. CERT Orange wskazuje, że część z nich stanowiły prawdziwe konta, a część fałszywe profile. Same fanpage'e często były wcześniej przejęte, np. po wyciekach danych lub phishingu. Dodatkowo mechanizm wyświetlania sponsorowanych postów potrafił ukrywać ostrzeżenia i eksponować wyłącznie przychylne komentarze.
Jak działał schemat fałszywego sklepu?
Autorzy analizy zwracają uwagę, że obrazy wykorzystywane na profilach i w galeriach powstawały przy użyciu AI. Czasem zdradzały to niespójne szczegóły na zdjęciach tej samej witryny, a w niektórych przypadkach nawet nazwa pobranego pliku, która wyglądała jak prompt użyty do wygenerowania grafiki. Oszuści dodawali też elementy brandingu, np. torby zakupowe z logo, by sklep sprawiał wrażenie działającego od dawna.
Podobny mechanizm widać było już po wejściu na stronę sprzedażową. Produkty prezentowali wygenerowani przez AI modele, a układ ubrań i pozy często powtarzały się w niemal identyczny sposób. Do szybkiego zakupu miały skłaniać wysokie rabaty, informacje o ostatnich sztukach oraz dodatkowe promocje za dorzucenie kolejnych rzeczy do koszyka. Klient mógł zapłacić kartą albo BLIK-iem, a nazwa sklepu widoczna przy transakcji zgadzała się z nazwą witryny, co dodatkowo usypiało czujność.
Co zdradzało oszustwo?
CERT Orange opisuje kilka wariantów finału takiej transakcji. Część klientów nie dostawała towaru wcale. W innych przypadkach przesyłka docierała po długim czasie, a jakość produktu wyraźnie odbiegała od tego, co pokazywały zdjęcia na stronie. Taki model wskazywał jednocześnie na oszustwo finansowe i wykorzystanie dropshippingu.
Wiele domen i nazw sklepów zawierało nazwy polskich miast, jak Warszawa, Kraków czy Gdańsk. Mimo różnych nazw, strony miały bardzo podobną kolorystykę, styl zdjęć i niemal identyczny układ sekcji. To sugerowało korzystanie z tych samych promptów i szablonów. Wszystkie analizowane sklepy działały na platformie Shopify, a adresy IP prowadziły do infrastruktury tej firmy w Kanadzie. W części przypadków wygaszone witryny przekierowywały do marketplace Shop.app, gdzie można było znaleźć te same produkty i wrócić do kolejnych sklepów zbudowanych w podobny sposób.
Kolejnym sygnałem ostrzegawczym były błędy w polskich tłumaczeniach, które według autorów wyglądały na przekład z angielskiego bez rzetelnej weryfikacji. Dotyczyło to zarówno opisów rzekomych właścicieli, jak i informacji w stopkach czy na stronach kontaktowych. Do tego dochodził brak danych teleadresowych.
CERT Orange podaje, że największe nasilenie tej kampanii przypadło na pierwszy kwartał 2025 r., a same domeny rejestrowano nieraz zaledwie kilka dni przed uruchomieniem sponsorowanych reklam na Facebooku. Najważniejszy wniosek pozostaje prosty: przed pierwszym zakupem w nieznanym sklepie warto sprawdzić jego dane i nie ufać ofercie tylko dlatego, że wygląda profesjonalnie.
