Perfekcyjna iluzja e-sklepu. Jak rozpoznać fałszywe sklepy online i nie stracić pieniędzy?

Wygląd sklepu internetowego przestał być wyznacznikiem jego wiarygodności. Kampanie wymierzone w klientów takich marek jak Stalco, Ziaja czy Wojas pokazują, że oszuści potrafią idealnie skopiować tożsamość marki. Pokazujemy, na co zwrócić uwagę, aby odróżnić oryginalny sklep od tego fałszywego.

Perfekcyjna iluzja e-sklepu. Jak rozpoznać fałszywe sklepy online i nie stracić pieniędzy?

Marki e-commerce budują swoją reputację i zaufanie klientów latami. To właśnie ta wypracowana relacja staje się głównym celem cyberprzestępców. Oszuści od dłuższego czasu tworzą fałszywe sklepy internetowe, podszywając się pod znane marki. W ostatnim czasie coraz częściej wykorzystują brandy z różnych branż, m.in. od narzędziowej (Stalco), kosmetycznej (Ziaja), po obuwniczą (Wojas).

W tym oszustwie, szablony fałszywych sklepów są niemal identyczne – cyberprzestępcy podmieniają jedynie logotypy, szatę graficzną i asortyment. Pokazuje to, że cała kampania jest realizowana za pomocą jednej, wysoce zautomatyzowanej infrastruktury e-commerce, zintegrowanej z panelem administracyjnym, który służy do wyłudzania danych i środków finansowych. Prześledźmy ten proces na przykładzie fałszywego sklepu podszywającego się pod Stalco.

baner_rdd-sirt_3-OBWIEDNIA (4).png

Wizualny klon, funkcjonalna pułapka - przypadek Stalco

Porównując oryginalną stronę Stalco o adresie stalco.pl z jej fałszywym klonem, który działa pod adresem stalco.club, stajemy przed paradoksem. Graficznie obie witryny prezentują się praktycznie tak samo. Zastosowano identyczną paletę barw, wysokiej jakości logotypy, a nawet oficjalne zdjęcia produktowe. Dla większości klientów różnice te są praktycznie niewidoczne..
Oryginalna strona to serwis zorientowany głównie na prezentację linii produktowych oraz obsługę partnerów biznesowych, chociaż prowadzona jest także sprzedaż detaliczna.

porownanie.png

Z kolei fałszywa strona została zaprojektowana jako mechanizm sprzedażowy. Oferuje pełną funkcjonalność sklepu internetowego, natychmiastowe płatności i nachalne komunikaty zakupowe, takie jak “Szybko, Zamówienie kończy się”, czy “Wyprzedaż w połowie roku | Kup teraz i odbierz darmową dostawę”. Po przejściu na kartę produktu, strona wyświetla licznik czasu, informacje o rzekomym wyczerpywaniu zapasów oraz fałszywe powiadomienia o tym, kto przed chwilą kupił ten produkt. Pośpiech sprzyja oszustom – ma wyłączyć racjonalne myślenie u potencjalnej ofiary.
stalco2.png

Podczas próby przejścia do koszyka, system próbuje nakłonić do dokupienia dodatkowych akcesoriów. Oszuści popełniają tam często rażące błędy językowe, jak np. przycisk Ponieść porażkę, czy stwierdzenie w nagłówku “Chyba też chcesz jednego z nich”.
stalco2_2.png

Po przejściu do koszyka, formularz zamówienia gromadzi pełen zestaw danych ofiary: adres e-mail, imię, nazwisko, telefon oraz adres dostawy. Nawet jeśli w kolejnym etapie użytkownik zrezygnuje z zakupu, podane na stronie dane mogły już trafić do bazy oszustów.
stalco3.png

Kolejny krok to wybór metody wysyłki. Cyberprzestępcy uwiarygadniają się, oferując darmowe metody wysyłki, takie jak InPost, DPD, czy DHL. Dodają jednak domyślnie zaznaczoną opcję "ubezpieczenia" za jedynie 0,35 zł. Ta symboliczna opłata ma przede wszystkim budować podświadome poczucie autentyczności transakcji.
stalco4.png

To kluczowy moment ataku. Formularz płatności kartą oraz pole do wpisywania kodu BLIK są osadzone bezpośrednio na fałszywej stronie. Po wybraniu płatności za pomocą kodu BLIK należy kliknąć przycisk Przejdź do płatności.
stalco5.png

W kolejnym kroku wyłudzany jest kod BLIK.
stalco5_2.png

W przypadku płatności kartą, dane należy wprowadzić w odpowiednie pola na fałszywej stronie.
stalco6.png

Samo wpisywanie kodu BLIK lub danych karty bezpośrednio w formularzu zamówienia nie jest już dziś jednoznacznym dowodem na oszustwo. Współczesne e-sklepy coraz częściej korzystają z bezpiecznych technologii płatności bezpośrednio na stronie, dostarczanych przez certyfikowanych operatorów (np. PayU, Tpay, Autopay czy Przelewy24). Różnica tkwi w tym, dokąd te dane trafiają. W fałszywym sklepie kod BLIK lub dane karty trafiają wprost do cyberprzestępców, którzy mogą np. wykorzystać kod BLIK do zainicjowania wypłaty z bankomatu lub płatności, licząc na to, że użytkownik nieświadomie zatwierdzi operację w aplikacji bankowej.

Ataki na inne marki – Ziaja oraz Wojas

Ten sam schemat ataku zastosowano w kampaniach wymierzonych w inne marki.
W przypadku fałszywego e-sklepu Ziaja (rejestrowanego m.in. pod domenami ziajasklep.club oraz ziajacom.shop), oszuści skopiowali szatę graficzną i estetykę marki, kusząc jednocześnie „limitowanymi zestawami” i rzekomą wyprzedażą do -60%.

ziaja.png

Z kolei na spreparowanej witrynie Wojas (wykorzystano m.in. domeny wojasonline.com oraz wojas-pl.sbs) użytkownicy są witani banerem „Midseason Sale” z obietnicą 70% zniżki i darmowej dostawy.

wojas.png

W obu przypadkach jakość odwzorowania detali graficznych – od czcionek po zdjęcia asortymentu – stoi na poziomie utrudniającym intuicyjną weryfikację wizualną. Oszuści często po prostu pobierają zasoby (teksty, logotypy, elementy graficzne) bezpośrednio z oryginalnych stron sklepów lub ich oficjalnych profili w mediach społecznościowych, zaniżając ceny i nasycając fałszywe strony komunikatami o przecenach i wyprzedażach, które mają zachęcić do zakupów.

Jak rozpoznać fałszywy sklep?

Skoro pod kątem graficznym różnice są niewielkie, należy skupić się na innych elementach. To tutaj oszuści popełniają błędy, których nie da się łatwo zamaskować.

  • Adres URL – Pierwszym i najważniejszym punktem weryfikacji jest pasek adresu przeglądarki. Oryginalne domeny to odpowiednio stalco.pl, ziaja.com oraz wojas.pl. Przestępcy rejestrują adresy łudząco podobne do prawdziwych, licząc na to, że w pośpiechu nie zauważymy różnicy. Tworzą adresy z dodatkowymi słowami (np. stalcopl-24.shop) i zastępują znane i wykorzystywane przez polskie marki końcówki .pl czy .com nietypowymi, jak np. .icu, .ink, .club czy .click. Poniżej przykłady domen, które podszywały się pod oryginalną (stalco.pl):

    • stalco.club,
    • stalco.icu,
    • stalco.site,
    • stalco.click,
    • stalco.ink,
    • stalco.cfd,
    • stalco.cc.
  • Płatność bezpośrednia na stronie – jak nie dać się nabrać? - Sam brak przekierowania na strony zewnętrznych operatorów płatniczych nie jest obecnie dowodem na oszustwo.
    W oryginalnym sklepie formularz karty jest osadzony jako chroniona ramka (iframe) certyfikowanego operatora (np. Stripe, PayU), a sklep nie ma dostępu do tych danych. Na fałszywej stronie wpisane dane trafiają wprost do przestępców. Bezpieczeństwo gwarantuje tu standard 3D Secure – każda transakcja, nawet po podaniu danych na stronie, wymaga dodatkowego potwierdzenia w aplikacji banku lub kodem SMS. W przypadku wpisania kodu BLIK w fałszywym formularzu przestępcy natychmiast spróbują go użyć. Ponieważ użytkownik musi autoryzować taką operację, kluczowy jest komunikat z potwierdzeniem transakcji w aplikacji bankowej. Zanim zatwierdzimy płatność, dokładnie należy przeczytać treść powiadomienia i sprawdzić, jakiego typu operację autoryzujemy. Jeśli zamiast płatności za zakupy jest to np. żądanie zatwierdzenia „Wypłaty z bankomatu” – bezwzględnie należy odrzucić taką transakcję.

  • Błędy językowe automatycznego translatora – Automatyzacja tworzenia fałszywych sklepów sprawia, że przestępcy korzystają z gotowych, uniwersalnych szablonów, które tłumaczą teksty na stronie (nazwy produktów, opisy, komunikaty, przyciski) na język polski, często z błędami. Dla przykładu, w fałszywym sklepie Stalco, przy próbie odrzucenia oferty dodatkowej, pojawia się przycisk z napisem "Ponieść porażkę" (będący niezdarnym tłumaczeniem angielskiego "Pass" / "Decline"). W sklepie Ziaja ceny promocyjne na kafelkach produktowych oznaczone są etykietą "59% WYŁĄCZNY" (błędne tłumaczenie zwrotu "Exclusive offer" lub "59% OFF"). Oryginalne e-sklepy nigdy nie pozwoliłyby sobie na tak rażące błędy językowe w kluczowych krokach transakcyjnych.

image-20260622-101029.png

Podsumowanie

Dzisiejsi cyberprzestępcy coraz rzadziej próbują przełamywać zabezpieczenia techniczne. Znacznie częściej wykorzystują zabiegi socjotechniczne oraz pośpiech, emocje i zaufanie użytkowników do znanych marek. Dopracowana szata graficzna fałszywych witryn, jak w przypadku Stalco, ZiajaWojas, to tylko przynęta. Pierwszą linią obrony jest nawyk sprawdzania paska adresu przeglądarki, jeszcze przed wpisaniem jakichkolwiek danych. Ostateczną barierą chroniącą nasze pieniądze pozostaje jednak uważne czytanie powiadomień autoryzacyjnych w aplikacji bankowej przed zatwierdzeniem płatności.

Choć czujność klientów podczas zakupów bardzo pomaga, żaden biznes nie może opierać swojego bezpieczeństwa na wierze w bezbłędność ludzi. Kiedy konsument daje się nabrać na fałszywą ofertę, uderza to bezpośrednio w reputację i wiarygodność podrabianej marki. Skuteczna obrona firmy nie może być jedynie odpowiedzią na już dokonane ataki. Powinna ona działać zapobiegawczo i wykrywać próby podszywania się pod markę, zanim przestępcy zdążą wyłudzić pieniądze od klientów.

PREBYTES SIRT pomaga organizacjom wykrywać, analizować i ograniczać skutki nadużyć wizerunku marki. Więcej informacji znajdziesz na stronie Security Incident Response Team.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.