Badacze zajmujący się cyberbezpieczeństwem ostrzegają przed nowym rodzajem oszustwa inwestycyjnego, które skutecznie wykorzystuje połączenie reklam w mediach społecznościowych, postów stylizowanych na treści znanych firm oraz sztucznej inteligencji. Dzięki temu scammerzy tworzą wideo z fałszywymi rekomendacjami znanych osobistości. Wszystko to prowadzi do poważnych strat finansowych i wycieku danych osobowych ofiar.

Celem głównym oszustów jest nakłonienie ofiar do wypełnienia formularzy na stronach phishingowych, które zbierają dane osobowe. Jak opisano w raporcie firmy ESET dotyczącym zagrożeń na drugą połowę 2024 roku, tego typu ataki znacząco się nasiliły. W badanym okresie liczba zidentyfikowanych adresów URL powiązanych z kampanią nazwano Nomani (gra słów nawiązująca do frazy „no money”), rosła średnio o ponad 100 nowych linków dziennie. Między pierwszą a drugą połową roku odnotowano wzrost ataków o ponad 335%.

Schemat działania oszustów opiera się na publikacji fałszywych reklam na platformach społecznościowych. W niektórych przypadkach celują oni w osoby wcześniej już oszukane, zachęcając je do kliknięcia w link obiecujący pomoc w odzyskaniu pieniędzy. Wykorzystują przy tym fałszywe powiązania z organizacjami takimi jak Europol czy INTERPOL, aby budować zaufanie do ich działań.

Metody dystrybuowania tych oszustw obejmują nie tylko korzystanie z fałszywych profili, ale także kradzież prawdziwych kont należących do małych firm, instytucji rządowych bądź drobnych influencerów. Profilami są także często wytwarzane na chwilę konta z niewielką liczbą postów i obserwujących. Oszuści udostępniają swoje treści przez aplikacje takie jak Messenger czy Threads oraz piszą sfabrykowane pozytywne recenzje na Google. Tak zróżnicowana metoda działań pozwala im dotrzeć do szerokiego grona potencjalnych ofiar.

Strony, na które kierują linki zamieszczone w reklamach, imitują lokalne portale informacyjne lub wykorzystują logotypy znanych organizacji. Często promują również różnego rodzaju usługi związane z kryptowalutami pod zmiennymi nazwami jak Quantum Bumex, Immediate Mator czy Bitcoin Trader. Wszystko to sprawia wrażenie, że mamy do czynienia z renomowanymi podmiotami. Tymczasem celem takich stron jest głównie pozyskanie informacji kontaktowych użytkowników.

W dalszym etapie, cyberprzestępcy używają tych danych, by kontaktować się z ofiarami telefonicznie. Podsuwają fałszywe oferty inwestycyjne, które pokazują „wirtualne zyski”. Ofiary często są namawiane do zaciągania pożyczek, instalowania aplikacji do zdalnego dostępu na swoich urządzeniach lub przekazywania dodatkowych, bardziej wrażliwych danych, jak hasła czy skany dokumentów tożsamości.

Ofiary, które próbują wypłacić rzekome zyski, są zmuszane do płacenia “opłat administracyjnych” lub dostarczania kolejnych dokumentów. W efekcie nie tylko tracą swoje oszczędności, ale także dostarczają oszustom jeszcze więcej danych osobowych. Takie oszustwo często kończy się, gdy cyberprzestępcy znikają z pieniędzmi i danymi ofiary, co specjaliści nazywają „scamem rzeźniczym”.

Badania wskazują, że Nomani jest najprawdopodobniej dziełem rosyjskojęzycznych grup przestępczych. Świadczą o tym m.in. komentarze w kodzie źródłowym w języku rosyjskim oraz wykorzystanie narzędzi analitycznych Yandex.

Podobnie jak w przypadku większych operacji oszustów takich jak Telekopye, istnieje podejrzenie, że za każdym etapem ataku stoją różne specjalnie wyspecjalizowane grupy. Jedne zajmują się przechwytywaniem i wykorzystywaniem kont w mediach Meta, inne budują infrastrukturę phishingową, a jeszcze inne prowadzą call center, które bezpośrednio kontaktują się z ofiarami.

ESET podkreśla, że oszuści wykorzystują techniki inżynierii społecznej do budowania zaufania i naginania nawet najbardziej zaawansowanych systemów zabezpieczeń, takich jak autoryzacje czy telefoniczne weryfikacje bankowe.