TikTok to dziś jedna z największych platform na świecie – korzysta z niej ponad 1,7 miliarda użytkowników, a przeciętny użytkownik spędza tam blisko 35 godzin miesięcznie. To ogromna skala i uwaga, o którą walczą reklamodawcy.
Niestety coraz częściej, obok zwykłych kampanii marketingowych pojawiają się reklamy kasyn, „łatwych pieniędzy”, inwestycji czy aplikacji które udają usługi czy gry. Część z nich tworzona jest w całości przez sztuczną inteligencję.
W materiałach pojawiają się logotypy znanych mediów, rozpoznawalne twarze i wypowiedzi, które nigdy nie padły. Wszystko jest przygotowane tak, by wyglądało wiarygodnie i nie odbiegało od formatu, do którego użytkownicy są przyzwyczajeni.
Reklamy, które wyglądają normalnie
Fałszywe kampanie, niczym na pierwszy rzut oka się nie wyróżniają. To reklamy publikowane w oficjalnym systemie platformy – oznaczone, dopasowane do formatu i wizualnie nieodróżnialne od zwykłych kampanii widocznych w aplikacji.
– Użytkownik widzi reklamę oznaczoną w normalny sposób, konto wygląda wiarygodnie i nazywa się dokładnie tak jak znany serwis informacyjny czy marka. W takiej sytuacji automatycznie zakładamy, że skoro ktoś wykupił oficjalną reklamę, to wszystko jest bezpieczne. I właśnie na tym założeniu oszuści budują cały mechanizm – podkreśla Iwona Prószyńska z CERT Polska.
Problem nie kończy się na samej reklamie – tak naprawdę dopiero się od niej zaczyna. To tylko punkt wejścia – działa jak punkt startowy, który kieruje użytkownika do przygotowanego wcześniej środowiska.
Dlatego te kampanie są trudne do wychwycenia. Nie łamią oczywistych schematów, nie wyglądają podejrzanie i nie wyróżniają się na tle reszty treści w aplikacji.
Reklama to dopiero początek
Sama reklama ma skłonić do jednego: kliknięcia. To, co najważniejsze z perspektywy oszustów, dzieje się dopiero później – na kolejnych ekranach, stronach i fałszywych panelach, które mają wyglądać znajomo i bezpiecznie.
Ten sam schemat powtarza się w różnych wariantach, ale za każdym razem różni się w szczegółach. Zmieniają się grafiki, nazwy kont, domeny i scenariusze, natomiast logika działania pozostaje identyczna.
Reklamy kasyn mogą prowadzić zarówno do stron łudząco przypominających oficjalne sklepy z aplikacjami, gdzie „instalacja” jest tylko kolejnym krokiem w procesie wyłudzenia, jak i bezpośrednio do fałszywych serwisów hazardowych działających poza prawem. W podobny sposób działają materiały o inwestycjach – kierują do paneli rejestracyjnych, które wyglądają jak platformy finansowe, ale służą wyłącznie do zbierania danych i pieniędzy. Zdarzają się też kampanie sprzedażowe – reklama produktu wygląda jak realna promocja, ale po przejściu użytkownik trafia na fałszywy sklep.
W jednym z analizowanych przypadków reklamy imitowały materiały informacyjne i wykorzystywały wizerunki influencerów, żeby uwiarygodnić przekaz. Po przejściu dalej użytkownik trafiał do domeny, która tylko wyglądała jak znany serwis, ale w rzeczywistości była przygotowana wyłącznie pod wyłudzenie.
Schemat oszustw jest bardzo podobny. Najpierw reklama, potem przekierowanie do środowiska, które wygląda znajomo – z ocenami, komentarzami i przyciskami instalacji lub rejestracji.
Dalszy przebieg może wyglądać różnie, ale cel za każdym razem pozostaje ten sam: wyłudzenie danych, pieniędzy albo dostępu do urządzenia.
W praktyce te elementy często się łączą – rejestracja prowadzi do wpłaty, a ta do instalacji kolejnego narzędzia.
– Czasy prostych, oczywistych scamów dawno się skończyły. Dziś oszuści korzystają z gotowych schematów i narzędzi, które pozwalają im tworzyć bardzo wiarygodne scenariusze – dopasowane nie tylko do platformy, ale i użytkownika. Pamiętajmy, że nasz algorytm wie, że szukamy sposobu na szybki zarobek, a przestępcy chętnie to wykorzystują. – podkreśla Iwona Prószyńska z CERT Polska.
Z technicznego punktu widzenia skutki mogą być poważne i nie kończą się na utracie pieniędzy.
– W momencie, gdy ktoś zdecyduje się pobrać taką aplikację, na jego urządzenie może trafić praktycznie wszystko. Instalowane aplikacje mogą przejmować SMS-y, powiadomienia i dane logowania, a także umożliwiać dalsze działania na koncie użytkownika. Widzimy przypadki, w których taka aplikacja staje się punktem wejścia do kolejnych ataków czy przejmowania kont – wskazuje Karol Bojke z CERT Polska.
Warto pamiętać, że tego typu strony są często bardzo dopracowane. Opinie, komentarze i oceny nie są dowodem wiarygodności – są częścią scenariusza.
To właśnie dlatego kluczowe jest upewnienie się, czy rzeczywiście znajdujemy się w oficjalnym sklepie z aplikacjami.
Dlaczego te reklamy wciąż wracają
Z punktu widzenia użytkownika te reklamy „pojawiają się znikąd” i równie szybko znikają. W rzeczywistości za ich obecnością stoi dość prosty model działania, który pozwala im funkcjonować mimo blokad.
Publikacja reklam na platformie jest szybka i w dużej mierze zautomatyzowana. Wystarczy przygotować materiał, podpiąć link i kampania może być aktywna w krótkim czasie. To działa tak samo dla uczciwych reklamodawców, jak i dla oszustów.
Moderacja działa równolegle, ale w praktyce często przegrywa ze skalą i tempem publikacji. Problem w tym, że te reklamy są projektowane tak, żeby przechodziły przez system – wyglądają jak zwykłe kampanie, wpisują się w format platformy i nie budzą podejrzeń na etapie publikacji, często mieszcząc się na granicy regulaminu.
– W praktyce oznacza to, że zanim zostaną usunięte – o ile w ogóle zostaną – zdążą dotrzeć do dużej liczby odbiorców. Zdarza się, że treści są niezgodne z prawem, a mimo to pozostają na platformie, bo są oceniane wyłącznie przez pryzmat jej wewnętrznego regulaminu. To, że coś jest nielegalne, nie zawsze oznacza, że zostanie usunięte, a reakcja często pojawia się dopiero wtedy, gdy sprawa robi się widoczna albo zostanie zgłoszona na dużą skalę – zaznacza Klaudia Dobińska z CERT Polska.
Drugi element to sposób, w jaki tworzone są same kampanie. Nie ma jednej reklamy – są jej dziesiątki wariantów. Różnią się detalami: grafiką, nazwą konta, linkiem. Jeśli jedna wersja znika, w jej miejsce pojawiają się kolejne.
Część kampanii wykorzystuje też techniki omijania weryfikacji. Inna wersja reklamy trafia do systemu moderacji, a inna wyświetla się użytkownikowi. To sprawia, że część treści przechodzi przez kontrolę, mimo że ostatecznie prowadzi do oszustwa.
– To nie jest problem pojedynczych treści, tylko całego modelu działania. Te kampanie są przygotowywane tak, żeby funkcjonować mimo blokad i wracać w kolejnych odsłonach – mówi Klaudia Dobińska z CERT Polska.
Na to nakłada się jeszcze sposób działania algorytmów rekomendacji. Wystarczy jedno wejście w taką reklamę – nawet przypadkowe – żeby platforma zaczęła podsuwać kolejne, podobne materiały.
– Czasem wystarczy jeden klik. System uznaje, że to treści, które użytkownika interesują, i zaczyna je podbijać. W efekcie bardzo szybko trafia się w strumień podobnych materiałów – wskazuje Karol Bojke z CERT Polska.
W praktyce oznacza to, że kontakt z jedną taką reklamą może uruchomić cały ciąg kolejnych – szczególnie u młodszych użytkowników, którzy szybciej reagują i częściej eksplorują treści impulsywnie.
Na co zwracać uwagę
Przed kliknięciem:
- sprawdź, jak reklama buduje wiarygodność – jeśli udaje materiał informacyjny, wykorzystuje logo mediów lub wypowiedzi znanych osób, warto zrobić prostą weryfikację: czy dany materiał istnieje naprawdę? (np. na stronie redakcji). Czy dana osoba faktycznie to powiedziała i czy konto publikujące reklamę jest oficjalne? (zweryfikowane, spójne z innymi kanałami). Brak takich potwierdzeń to jeden z najczęstszych sygnałów ostrzegawczych;
- patrz, czy całość jest logiczna – jeżeli w jednej reklamie pojawiają się logotypy kilku konkurencyjnych stacji, mediów albo marek, to powinno od razu zapalić lampkę ostrzegawczą. Podobnie wtedy, gdy znany dziennikarz, celebryta czy marka nagle „reklamują” kasyno, inwestycję albo aplikację, która w ogóle nie pasuje do ich wizerunku;
- sprawdzaj konto, ale nie tylko po nazwie – sama nazwa profilu nie mówi nic, bo może być identyczna jak nazwa medium czy marki. Warto zobaczyć, jakie inne materiały publikuje konto, od kiedy istnieje, czy ma spójną historię publikacji, czy linkuje do oficjalnych kanałów i czy jego aktywność nie ogranicza się wyłącznie do reklam;
- nie ufaj wypowiedziom tylko dlatego, że brzmią znajomo – coraz częściej w reklamach pojawiają się głosy i wizerunki wygenerowane albo przerobione przez AI. Jeśli ktoś mówi w nienaturalny sposób, mimika nie zgadza się z dźwiękiem, a wypowiedź brzmi jak zlepek chwytliwych haseł, to bardzo możliwe, że materiał został spreparowany;
- nie reaguj na presję czasu –komunikaty typu „tylko dziś”, „ostatnia szansa”, „zostało kilka miejsc”, „sprawdź zanim zniknie” mają wymusić szybką reakcję. Im większy pośpiech i obietnica łatwego zysku, tym większa powinna być ostrożność.
Po kliknięciu:
- dokładnie sprawdź adres strony – nie wystarczy, że strona wygląda jak Google Play, App Store, sklep albo portal. Trzeba spojrzeć na domenę: czy jest prawdziwa, czy nie ma w niej dodatkowych znaków, literówek, dziwnych końcówek albo przypadkowych członów, które nie pojawiają się w oficjalnych adresach;
- nie zakładaj, że wygląd strony coś gwarantuje – opinie, oceny, komentarze, liczniki pobrań czy przyciski „instaluj” mogą być częścią tej samej inscenizacji. Fałszywe strony bardzo często są dopracowane właśnie po to, żeby użytkownik przestał zadawać pytania;
- sprawdzaj, skąd naprawdę pobierana jest aplikacja – jeżeli po kliknięciu pojawia się pobieranie pliku z przeglądarki albo prośba o zgodę na instalację z nieznanego źródła, to powinien być sygnał alarmowy. Legalne aplikacje pobiera się z oficjalnych sklepów;
- nie podawaj danych pod presją ekranu – jeśli strona od razu prosi o login, hasło, numer karty, numer telefonu czy kod autoryzacyjny, trzeba założyć, że to może być próba wyłudzenia. Szczególnie wtedy, gdy wcześniej obiecywano wygraną, szybki zysk albo „potwierdzenie wieku” potrzebne do dalszego przejścia;
- weryfikuj usługę poza reklamą – zamiast iść dalej ścieżką przygotowaną przez oszustów, lepiej samodzielnie wyszukać nazwę aplikacji, sklepu albo marki w oficjalnym sklepie, wyszukiwarce czy na stronie firmy. Jeśli reklama prowadzi do czegoś, czego nie da się znaleźć żadną inną drogą, to bardzo poważny sygnał ostrzegawczy;
- zgłaszaj takie przypadki – fałszywe strony i aplikacje można zgłosić do CERT Polska (np. przez formularz incydentu), a same reklamy bezpośrednio na TikToku. Zgłoszenia pomagają szybciej usuwać treści i ograniczać ich zasięg;
- jeśli już klikniesz, nie brnij dalej – przerwij proces, nie instaluj aplikacji, nie podawaj danych i zamknij stronę. W razie wątpliwości warto sprawdzić telefon (np. z pomocą oprogramowania bezpieczeństwa) i zmienić hasła do kluczowych usług.
Problem, który nie znika
Fałszywe reklamy nie znikną z dnia na dzień. Będą się zmieniać – w formie, języku i narzędziach – ale ich logika pozostanie taka sama: najpierw zbudować zaufanie, potem skłonić do działania.
– To nie jest tak, że użytkownicy są nieostrożni. Te materiały są po prostu coraz lepiej przygotowane. Dlatego kluczowe jest wyrobienie nawyku sprawdzania – zatrzymania się na chwilę i zadania sobie pytania: czy ja to mogę potwierdzić w innym miejscu? – mówi Iwona Prószyńska z CERT Polska.
W praktyce to właśnie te proste nawyki będą decydować o bezpieczeństwie: weryfikacja źródła poza reklamą, sprawdzenie domeny, nieinstalowanie aplikacji z nieznanych miejsc i zgłaszanie podejrzanych treści. Każde takie działanie ogranicza zasięg oszustw i utrudnia ich dalsze funkcjonowanie.
To problem, który będzie wracał – ale jednocześnie taki, na który użytkownicy mają realny wpływ. Im większa świadomość i gotowość do weryfikacji, tym trudniej będzie takim kampaniom działać tak skutecznie jak dziś.
W świecie, w którym atak może zacząć się jednym kliknięciem, ostrożność staje się naszym najsilniejszym filtrem.