W 2024 roku CSIRT KNF zidentyfikował 45 985 domen związanych z fałszywymi inwestycjami - to 89,4 proc. wszystkich zgłoszonych zagrożeń. Oszustwa inwestycyjne stały się najbardziej powszechnym typem cyberprzestępstwa w Polsce, a sztuczna inteligencja pozwala przestępcom skalować działania bez dużego zespołu ludzi.

W skrócie:

• AI generuje fałszywych ekspertów i członków grup
• Przestępcy wyłudzają dokumenty i pieniądze ofiar

Podwójne wyłudzenie: pieniądze i tożsamość ofiar

Oszustwo "Truman Show" różni się od tradycyjnych ataków phishingowych. Zamiast pojedynczej podejrzanej wiadomości, ofiary trafiają do kompletnego ekosystemu: z aplikacją mobilną, grupami dyskusyjnymi i "ekspertami" finansowymi. Wszystko po to, by wyłudzić zarówno środki finansowe, jak i dane osobowe.

Według Check Point Research, przestępcy najpierw żądają weryfikacji tożsamości - skanu dowodu lub paszportu oraz selfie. Dopiero potem proszą o wpłatę depozytu przelewem lub kryptowalutą. Środki znikają, a skradzione dokumenty mogą posłużyć do kolejnych przestępstw, w tym przejęcia kont czy szantażu.

Jak działa "Truman Show Scam" krok po kroku?

Kontakt rozpoczyna się od SMS-ów, reklam w mediach społecznościowych lub komunikatorów. Przekaz jest prosty: "wyjątkowy program", "ponadprzeciętne zwroty", "limitowane miejsca".

• Celem nie jest natychmiastowy przelew, lecz przeniesienie rozmowy do prywatnej grupy na WhatsApp lub Telegram.

W grupie czeka do 90 "uczestników" - wszystkie konta kontrolowane przez przestępców lub generowane przez AI. Prowadzą płynne rozmowy w lokalnym języku, publikują profesjonalne komentarze rynkowe, pokazują codzienne "zyski" i budują presję społeczną.

• Nie ma krytyki ani wątpliwości - tylko stałe pozytywne wzmocnienie.

Kluczowy moment następuje, gdy ofiara otrzymuje instrukcję instalacji aplikacji OPCOPRO z oficjalnych sklepów.

• Aplikacja nie zawiera tradycyjnego malware - to często tylko WebView wyświetlający treści z serwera.

Wykresy, transakcje i salda są generowane zdalnie, ale na telefonie wszystko wygląda jak prawdziwa platforma inwestycyjna.

AI jako mnożnik siły przestępców

Sztuczna inteligencja pozwala skalować rozmowy wielojęzyczne, utrzymywać spójne persony bez dużego zespołu i automatyzować manipulację emocjami. Według danych CBZC, w 2025 roku zatrzymano 1094 osoby za cyberprzestępstwa - średnio 3 zatrzymania dziennie. Oszustwa przestają być incydentalne, a zaczynają przypominać przemysłowe systemy budowania zaufania.

"Oszustwo działa jako lejek: komunikator, grupa, aplikacja, KYC, depozyt. Należy spojrzeć na całość wzorców i infrastruktury, nie tylko na pojedynczy artefakt" - Check Point Research

Czy aplikacja OPCOPRO nadal jest dostępna w sklepach?

Według Infosecurity Magazine, oficjalna aplikacja O-PCOPRO została usunięta z Google Play, ale nadal jest dostępna w Apple App Store. To pokazuje, jak trudno jest platformom wychwycić aplikacje "malicious by design" - które nie zawierają złośliwego kodu, ale służą do oszustwa.

CERT Orange Polska ostrzega przed rosnącą liczbą fałszywych aplikacji inwestycyjnych w Google Play. Początkowo nie wykazują żadnych podejrzanych działań - użytkownik może sprawdzać kursy akcji czy przeglądać wiadomości.

• Kluczowy moment następuje po pewnym czasie, gdy aplikacja wysyła powiadomienie push z zachętą do rejestracji.

Jak rozpoznać oszustwo inwestycyjne w aplikacji mobilnej?

Czerwone flagi to obietnice nadzwyczajnych zysków bez ryzyka, presja czasu i prośby o instalację aplikacji zdalnego pulpitu.

• Prawdziwe inwestycje zawsze jasno wskazują możliwe ryzyko, a historyczne stopy zwrotu wynoszą 5-10 proc. rocznie, nie tysiące procent.

Przed wpłatą:

• sprawdź, czy firma widnieje w Liście Ostrzeżeń KNF lub rejestrze ESMA.

• zweryfikuj domenę w bazie WHOIS - świeżo zarejestrowana domena (kilka tygodni) lub kreatywna końcówka .live albo .site to częste znaki oszustwa.

Nigdy nie wysyłaj dokumentów i selfie do nieznanych platform "KYC".

Jeśli kontaktuje się z Tobą "doradca inwestycyjny", nie instaluj żadnego oprogramowania na jego prośbę. Oszuści często wykorzystują popularne aplikacje do zdalnego dostępu, takie jak AnyDesk czy TeamViewer, aby przejąć kontrolę nad urządzeniem i dokonywać nieuczciwych transakcji.

Warto zapamiętać:

• Traktuj niezamówione "okazje inwestycyjne" jako ryzykowne z definicji
• Weryfikuj firmy przez oficjalne rejestry KNF i ESMA, nie przez linki z czatu
• Depozyty kryptowalutowe są w praktyce nieodwracalne - nie ma możliwości zwrotu
• Zgłoś oszustwo na Policję i zabezpiecz zrzuty ekranu oraz potwierdzenia przelewów

Oszustwo "Truman Show Scam" pokazuje, że zaufanie da się dziś produkować masowo. Bezpieczeństwo musi działać systemowo - analizować zachowania i ekosystemy, nie tylko podejrzane pliki. Firmy powinny zwiększyć czujność wobec finansowych aplikacji WebView i całych ekosystemów wokół nich, a także zapewnić pracownikom łatwą ścieżkę zgłoszenia, jeśli padli ofiarą.

Źródło: Check Point Research, CSIRT KNF, CBZC