Deepfake, gov.pl i fałszywa inwestycja. Jak oszuści przejmują zaufanie do instytucji
Technologia deepfake i zaawansowany spoofing zatarły granicę między autentycznym komunikatem a precyzyjnie zaprojektowaną manipulacją. Omawiany przypadek pokazuje, jak oszuści zamieniają rozpoznawalną twarz, głos i estetykę zaufanych instytucji w narzędzie do wyłudzania danych.
Atakujący uruchomili witrynę silnie nawiązującą do estetyki serwisów rządowych. Dla przeciętnego odbiorcy, przyzwyczajonego do interfejsów aplikacji, takich jak mObywatel czy portali rządowych, obecność oficjalnych logotypów oraz elementów identyfikacji wizualnej stanowi wystarczający certyfikat autentyczności. Przestępcy stworzyli fikcyjną inicjatywę o nazwie Polivenix – Krajowy System Cyfrowy, sankcjonując jej istnienie sfabrykowanymi stopkami prawnymi, sugerującymi nadzór ze strony nieistniejącego Departamentu Bezpieczeństwa Cyfrowego Polivenix.
To w rzeczywistości autonomiczna, fałszywa platforma inwestycyjna, która oficjalną szatę graficzną gov.pl wykorzystuje wyłącznie jako wizualną zachętę. Przestępcy stworzyli iluzję państwowego programu cyfrowego w jednym, konkretnym celu: aby masowo i szybko pozyskiwać zweryfikowane, wysokiej jakości dane kontaktowe (leady) i profilować ofiary pod kątem ich możliwości finansowych. Cały portal nie jest więc miejscem bezpośredniej kradzieży pieniędzy, lecz zaawansowanym miejscem do pośredniczenia w masowych atakach telefonicznych (vishingowych). W trakcie tych połączeń fałszywi konsultanci, powołując się na autorytet projektu, manipulują ofiarami i wywierają na nie presję, aby ostatecznie skłonić je do przelania środków na fałszywy projekt inwestycyjny.
Opisywany incydent rzuca nowe światło na strategię grup przestępczych, które oprócz prostych, masowych kampanii phishingowych tworzą dobrze przygotowane scenariusze socjotechniczne. Oszustwo nie opiera się już wyłącznie na obietnicy szybkich zysków. Kluczowym czynnikiem sukcesu stało się wykorzystanie naturalnego zaufania, jakim obywatele oraz sektor prywatny darzą instytucje państwowe i powszechnie znane postacie ze świata biznesu. Podszywanie się pod oficjalny portal gov.pl podważa wiarygodność państwowych kanałów komunikacji, które użytkownicy na co dzień uznają za bezpieczne i pewne źródło informacji. Z punktu widzenia reputacji zarówno urzędów, jak i prywatnych firm, tego typu incydent niesie za sobą skutki znacznie poważniejsze niż same straty finansowe pojedynczych osób.
Imitacja oficjalnej platformy i symulacja bezpiecznego połączenia
Po wejściu na stronę, użytkownik widzi logotypy serwisów gov.pl. Przestępcy celowo umieścili bezpośrednio na ekranie elementy, które mają sugerować, że system jest bezpieczny pod kątem technicznym. W nagłówku środkowego panelu dodano zieloną kropkę obok napisu „TLS 1.3”, w stopce na samym dole znajduje się tekst o zabezpieczeniu połączenia (TLS 1.3 / RSA-4096). Strona posiada protokół SSL/TLS co symbolizuje kłódka przy adresie URL strony. Cel tego zabiegu to wykorzystanie utrwalonych nawyków użytkowników sieci. W większości materiałów edukacyjnych, czy ostrzeżeń bardzo często przewija się zasada, że witryna jest bezpieczna jeśli obok adresu strony jest symbol zamkniętej kłódki. Dla wielu odbiorców te elementy wzbudzają zaufanie co do autentyczności witryny, co skutecznie odwraca ich uwagę od konieczności weryfikacji faktycznego adresu URL w pasku przeglądarki. W tym przypadku adres strony to expensive.digital - nie mający nic wspólnego z rządowymi serwisami w domenie gov.pl.
Głównym elementem strony jest zablokowany odtwarzacz wideo z komunikatem Prezentacja systemu Polivenix. Aby przejść dalej, użytkownik musi obejrzeć materiał wideo przez co najmniej 10 sekund. W nagraniu wykorzystano metodę deepfake – widzimy w nim np. postaci odwzorowujące Adama Glapińskiego, Rafała Brzoskę, czy prezydenta Karola Nawrockiego. Siedzi ona w gabinecie, trzyma w ręku polski paszport, otwiera go wprost do kamery i palcem wskazuje na swoje zdjęcie oraz dane osobowe. Syntetyczny głos zapewnia przy tym, że robi to „pierwszy i ostatni raz online”, aby udowodnić widzowi swoją autentyczność. Pokazywanie dokumentów tożsamości przez znane osoby publiczne ma na celu uśpienie podejrzeń internauty. W świecie finansów i urzędów to zawsze klient musi potwierdzać swoją tożsamość.Oszuści sprytnie odwrócili tę sytuację - w tym przypadku to rzekomy urzędnik, czy prezes wielkiej firmy „legitymuje się” przed użytkownikiem, by zyskać jego zaufanie. Bardzo czysty, naturalny głos oraz idealnie dopasowany ruch ust sprawiają, że nagranie wygląda niezwykle realistycznie i utwierdza ofiarę w przekonaniu, że bierze udział w legalnym projekcie państwowym.
Pod oknem wideo wyświetla się dynamiczny licznik z informacją Liczba wolnych certyfikatów dostępu jest ograniczona. Miejsca: 64. Zastosowanie reguły ograniczeń ma na celu wyłączenie logicznej oceny sytuacji. Użytkownik podświadomie zaczyna obawiać się utraty unikalnej szansy, co zmusza go do natychmiastowego kliknięcia przycisku „Rozpocznij konfigurację profilu”.
Po kliknięciu w przycisk, system symuluje proces weryfikacji, wyświetlając komunikat Status: Region Zweryfikowany (Polska).
Następnie przed użytkownikiem stawia się pozornie racjonalny wybór modelu konta. Wariant PREMIUM jest oznaczony jako najczęściej wybierany. Działanie to ma charakter czysto psychologiczny – nakłania do wybrania jak najwyższej kwoty, sprawiając, że kolejny krok może wydawać się finansowo przystępny.
W kolejnym oknie wyświetla się komunikat informujący o nadchodzącym kontakcie ze strony dedykowanego asystenta. Ta konkretna osoba, zapowiadana już w sfałszowanym materiale wideo, ma za zadanie wprowadzić użytkownika w szczegóły projektu inwestycyjnego.
W następnym etapie system zadaje proste pytanie testowe - Czy jesteś gotowy na start z minimalną kwotą 1000 zł?. Poprzez kliknięcie Tak, jestem gotowy, ofiara składa deklarację finansową i dokonuje samo kwalifikacji jako realny cel ataku o określonym profilu dochodowym.
Ostatni etap na stronie to Finalna Rejestracja. Użytkownik wprowadza imię, nazwisko, adres e-mail oraz numer telefonu. Bezpośrednio po tym pojawia się komunikat informujący, że po rejestracji skontaktuje się z nim „dedykowany konsultant”.
W praktyce witryna internetowa nie służy do bezpośredniej kradzieży pieniędzy, lecz do zbierania danych kontaktowych (leadów). Prawdziwy atak finansowy zaczyna się dopiero w drugim etapie ataku – podczas rozmowy telefonicznej z „dedykowanym konsultantem”. Oszust dzwoni do użytkownika, którego czujność może być uśpiona przez wcześniejszy deepfake i uważa, że bierze udział w oficjalnym, rządowym programie.
Implikacje i obszary ograniczające ryzyko
Takie ataki pokazują, że ochrona marki nie kończy się na zabezpieczeniu własnej strony internetowej. Organizacja może mieć poprawnie skonfigurowane systemy, a mimo to jej nazwa, identyfikacja wizualna lub wizerunek osób z nią kojarzonych zostaną wykorzystane w cudzej infrastrukturze. Zarządzanie bezpieczeństwem to dziś nie tylko technologia, lecz kompleksowy proces, który obejmuje:
Aktywne monitorowanie. Wykrywanie nadużyć wizerunku marki poza własnymi domenami, korelacja sygnałów z różnych źródeł oraz szybkie blokowanie zagrożeń.
Zarządzanie incydentem wizerunkowym. Gdy przestępcy wykorzystują deepfake, wizerunek prezesa lub logotypy instytucji, samo zablokowanie strony nie wystarczy. W takich sytuacjach powinny reagować też inne piony. Obsługa klienta musi otrzymać gotowe scenariusze rozmów z odbiorcami i klientami, a działy prawne i komunikacji powinny mieć wypracowane ścieżki wydawania oświadczeń. Cel to wyprzedzenie kryzysu, zanim dezinformacja i oszustwo zaczną masowo uderzać w dobre imię organizacji.
Zmiana w podejściu do edukacji. Edukacja użytkowników nie polega na straszeniu technologią deepfake, lecz na zmianie sposobu oceny treści. Wideo, znana twarz i przekonujący głos nie mogą być traktowane jako automatyczny dowód autentyczności treści.
Podsumowanie
Kampania oparta na fikcyjnym systemie inwestycyjnym o nazwie Polivenix udowadnia, że współczesne incydenty bezpieczeństwa rzadko są problemem czysto technologicznym. To przede wszystkim problem socjotechniczny i reputacyjny. Wykorzystanie algorytmów do generowania obrazu i dźwięku sprawia, że zaufanie staje się najłatwiejszym do złamania elementem każdej struktury. Ochrona wizerunku, monitorowanie zewnętrznych zagrożeń i natychmiastowa reakcja na anomalie w przestrzeni publicznej to dzisiejsze standardy dojrzałości biznesowej.
W erze deepfake największym ryzykiem nie jest to, że ktoś uwierzy w fałszywy film — lecz to, że przestanie wiedzieć, komu może jeszcze zaufać. A to jest fundament, na którym opiera się każdy biznes i każda instytucja publiczna.
Więcej o tym, w jaki sposób PREBYTES SIRT pomaga organizacjom wykrywać, analizować i ograniczać skutki nadużycia wizerunku marki, znajdziesz na dedykowanej stronie – zapoznaj się z zakresem wsparcia zespołu Security Incident Response Team.