Oszuści stojący za schematem inwestycyjnym znanym jako Nomani zwiększyli swoją aktywność o 62% — wynika z danych słowackiej firmy bezpieczeństwa ESET. Kampanie dystrybuujące ten rodzaj oszustwa przestały ograniczać się jedynie do Facebooka i zaczęły obejmować inne platformy społecznościowe, w tym YouTube. W tym roku ESET zablokował ponad 64 000 unikalnych adresów URL powiązanych z Nomani; najwięcej wykryć odnotowano w Czechach, Japonii, Słowacji, Hiszpanii i Polsce.
Nomani został po raz pierwszy opisany przez ESET w grudniu 2024 r. jako oszustwo wykorzystujące malvertising (złośliwe reklamy w mediach społecznościowych), posty podszywające się pod oficjalne komunikaty firm oraz filmy z fałszywymi świadectwami wytwarzane przy pomocy sztucznej inteligencji. Schemat polega na nakłanianiu ofiar do wpłacenia środków na rzekome produkty inwestycyjne, które mają przynosić wysokie zyski — w rzeczywistości nie istnieją. Gdy osoby próbują wypłacić rzekome zyski, proszone są o dopłatę lub o przekazanie dodatkowych danych osobowych, takich jak dokument tożsamości czy dane karty kredytowej; końcowym celem jest utrata pieniędzy przez ofiarę.
Oszuści nie poprzestają na pierwotnym wyłudzeniu: po pierwszej stracie często próbują oszukać ofiary ponownie, stosując wabiki związane z Europolem lub INTERPOL-em, które mają rzekomo pomóc odzyskać skradzione środki — w praktyce prowadzi to do kolejnych strat finansowych. ESET wskazuje też, że autorzy ataku znacznie ulepszyli jakość generowanych materiałów wideo; deepfake’y używane jako „haczyk” stały się wyraźniejsze, wykazują mniej nienaturalnych ruchów i oddechu oraz mają lepszą synchronizację dźwięku z obrazem, co utrudnia ich rozpoznanie.
Fałszywe treści często wykorzystują żywe w publicznej debacie tematy lub znane osobistości, żeby zwiększyć wiarygodność przekazu. ESET opisuje przypadek z Czech, gdzie spreparowany artykuł informował o rzekomych inwestycjach rządu za pośrednictwem platformy kryptowalutowej oszustów i o wielkich zyskach — to przykład wykorzystania „aktualności” jako sposobu na uwiarygodnienie przekazu.
W warstwie operacyjnej przestępcy stosują kilka zabiegów utrudniających wykrycie kampanii przez systemy platform społecznościowych: reklamy uruchamiane są tylko na kilka godzin, a osoby niespełniające kryteriów targetowania są przekierowywane na neutralne, „przykrywające” strony zamiast bezpośrednio na formularze phishingowe. Coraz częściej wykorzystywane są też natywne narzędzia reklamowe, takie jak formularze i ankiety udostępniane przez sieci społecznościowe, co pozwala zbierać dane bez wychodzenia na zewnętrzne strony.
ESET odnotowuje też usprawnienia w szablonach stron phishingowych — wskazania sugerują użycie narzędzi AI do generowania kodu HTML (między innymi komentarze w źródłach z zaznaczonymi polami wyboru). Ponadto repozytoria GitHub zawierające szablony dla tego typu oszustw pochodziły od użytkowników z Rosji i/lub Ukrainy.
Mimo tych zmian liczba wykryć Nomani w drugiej połowie 2025 r. spadła, co ESET interpretuje jako sygnał, że sprawcy muszą modyfikować taktyki w obliczu nasilonych działań organów ścigania. Ogólnie jednak firma zauważa, że w porównaniu z rokiem 2024 liczba wykryć wzrosła; jednocześnie wykrycia w H2 2025 zmalały o 37% w porównaniu z H1 2025.
Skala problemu jest duża i ma wymiar rynkowy. Reuters w śledztwie ustalił, że 19% wpływów z reklam Meta w Chinach w ubiegłym roku — z kwoty 18 miliardów dolarów (ok. 76 mld zł) — pochodziło z ogłoszeń promujących oszustwa, nielegalny hazard, treści pornograficzne i innego zabronionego rodzaju reklam prowadzonych przez partnerów reklamowych firmy. Część tych agencji reklamowych umożliwiała zamieszczanie zakazanych materiałów; po ujawnieniu dochodzenia Meta miała poddać program przeglądowi. Inne raporty Reutersa szacują, że taki segment reklam mógł przynieść firmie wpływy rzędu 10% jej globalnych przychodów za 2024 r. — czyli około 16 miliardów dolarów (ok. 67 mld zł) — wliczając reklamy realizowane przez podmioty stojące za schematami takimi jak Nomani.
W świetle tych ustaleń kluczowe jest podnoszenie świadomości użytkowników oraz wzmacnianie detekcji i kontroli reklam w sieciach społecznościowych. Dla użytkowników najprostsze środki ostrożności to krytyczne podejście do ofert wysokich zysków, weryfikacja źródeł informacji oraz unikanie przekazywania poufnych danych i opłat przed otrzymaniem zweryfikowanego dowodu wypłacalności platformy inwestycyjnej.