hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
27 kwietnia 2026 15:00
(Aktualizacja: 27 kwietnia 2026 15:27)

Jak oszuści wykorzystują AI do tworzenia fałszywych sklepów w internecie

Mateusz Ossowski
AI analiza

Niecały miesiąc temu opublikowaliśmy raport CERT Orange Polska za 2025. Poniższa publikacja, autorstwa Mateusza Ossowskiego, który opisuje popularny w ubiegłym roku schemat wspieranego AI oszustwa „na zamknięcie sklepu”. Zapraszamy do lektury artykułu, ale także oczywiście całego raportu.

Przycisk prowadzący do raportu CERT Orange Polska za 2025 rok

W pierwszym kwartale minionego roku mogliśmy obserwować kampanię fałszywych sklepów internetowych z wykorzystaniem AI do generowania obrazów i przy wykorzystaniu popularnych platform ecommerce i dropshippingu. Kampania bardzo podobnych sklepów została zaobserwowana w Polsce, Hiszpanii, Portugalii i Holandii.

Zacznijmy jednak od scenariusza. W serwisie Facebook mnożyły się posty sponsorowane, kuszące bardzo dużymi przecenami. Rzekome powody się powtarzały a były to np. choroba właściciela, niska rentowność, brak czasu lub nawet zniszczenie witryny sklepowej przez samochód.

Zdjęcia witryny sklepowej i asortymentu wygenerowanego w sztucznej inteligencji.
Przykład kampanii fałszywego sklepu w serwisie Facebook.

Fanpage w serwisie Facebook miał przeważnie po kilka tysięcy obserwujących co zwiększało jego wiarygodność. Wśród obserwujących są zarówno prawdziwe jak i fake-owe konta. Takie fanpage to przeważnie tzw. „Wygrzane” profile, czyli przejęte np. poprzez wycieki lub phishing. Sposób wyświetlania postów sponsorowanych w serwisie Facebook ukrywa komentarze ostrzegające przed oszustwem lub wyświetla tylko pozytywne opinie co pomaga wprowadzić potencjalne ofiary w błąd. Więcej o wykorzystywaniu mechanizmów reklamowych Facebook-a, do wspierania oszustw jest tutaj.

Fanpage są ze sobą niekiedy powiązane np. Liwia Fashion Outlet i Liwia Fashion Butik. Zdjęcia profilowe jak i w galeriach są wygenerowane przez AI. Niekiedy są niespójne jak np. witryna tego samego sklepu, która różni się szczegółami.

Przykłady różnych ujęć tego samego sklepu wygenerowanego przez sztuczną inteligencję.
Przykłady różnych ujęć tego samego sklepu wygenerowanego przez sztuczną inteligencję.

Ciekawostka: o ile nie zawierały metadanych, to niekiedy nazwą pliku był prompt. Np. Nazwa poniższego pliku po pobraniu to: „a couple in their middle 50s standing in front of the store”.

Zdjęcie fikcyjnych właścicieli sklepu wygenerowane przez sztuczną inteligencję.
Zdjęcie fikcyjnych właścicieli sklepu

W celu podniesienia wiarygodności fałszywe sklepy zawierały również zdjęcia z brandingiem np. Toreb zakupowych.

Przykład zdjęcia zawierającego branding sklepu
Przykład zdjęcia zawierającego branding sklepu

W samym sklepie produkty prezentowane na modelach są rownież wytworem sztucznej inteligencji. Należy zwrócić uwagę na idealnie powtarzane pozy a nawet ułożenie ubrań.

Zdjęcia nieistniejącej modelki w różnych sukienkach.
Zdjęcia nieistniejącej modelki w różnych sukienkach.

Do szybkiego zakupu miały zachęcać duże rabaty, ostatnie sztuki i promocje za każdy kolejny towar w koszyku. Proces zakupu pozwalał na płatność kartą lub poprzez BLIK. Sklep widoczny na transakcji pokrywał się z jego nazwą.

Dalej obserwowano kilka scenariuszy. Jednym z nich był brak dostawy towaru lub dostarczenie towaru znacznie odbiegającego od jakością od zdjęć w sklepie i przede wszystkim z bardzo długim okresem dostawy. Wskazuje to na oszustwo finansowe i dropshipping.

Jakie były wspólne cechy tych sklepów?

Wiele z nich miało w nazwie jak i domenie nazwę miasta np. krawiec-warszawa[.]com, violettawarszawa[.]com, minamosawarszawa[.]com, liwiamoda-krakow[.]com, gdanskmoda[.]com. Każdy fanpage zawierał zdjęcia butików, wnętrz, modeli a także brandingu. Wspólną cechą była kolorystyka i styl zdjęć. Wskazuje to na używanie podobnych promptów i szablonowego podejścia przy generowaniu zdjęć.

Wszystkie sklepy postawione były na platformie Shopify, która jest bardzo popularna. IP serwerów kieruje nas do Kanady pod ISP Shopify, co oznacza, że są hostowane na ich serwerach.

W niektórych przypadkach wygaśnięte sklepy kierują do marketplace np. Shop.app, (należącego do Shopify) gdzie możemy znaleźć spotkane wcześniej produkty, które to kierują nas z powrotem do fałszywych sklepów działających dokładnie z tym samym szablonem, mechanizmami i produktami. Ewentualnie umożliwiają dokończenie zakupu za pośrednictwem marketplace shop.app. Po dodaniu produktów do koszyka, jego finalizacja odbywa się w domenie marketplace.

Przeważnie zakup nie wymaga logowania lub rejestracji poza przypadkami gdzie zakup finalizowany jest powrotem w platformie shop.app.

Wspólnymi cechami, które dowodzą, że są ze sobą powiązane to błędy. Można je podzielić na kilka kategorii.

Przede wszystkim tłumaczenia na j. Polski, które są najprawdopodniej z j. Angielskiego. Świadczą o tym przede wszystkim opisy ze strony „właścicieli”.

„Drodzy Klienci, prowadzę mały rodzinny butik w Krakowie razem z moją córką Oliwią. Z wielką miłością wybieram nasze kolekcje stylowa odzież i osobiste doradztwo, jak w prawdziwej rodzinnej firmie.”

Podobne błędy gramatyczne znajdujemy w stopce:
„Masz pytania? Prosimy o kontakt z naszym działem obsługi klienta za pośrednictwem strony kontaktowej lub bezpośrednio przez e-mail pod adresem: info@liwiamoda.com naszą standardową odpowiedzią jest 6-12 w południe w godzinach otwarcia.” Wśród błędów związanych z tłumaczeniem możemy znaleźć błędy nie tylko gramatyczne ale i merytoryczne. Wskazujące na brak weryfikacji przy tworzeniu treści:

Błędnie opisane zdjęcie.
Błędnie dodany opis jest przykładem mnożenia sklepów.

Sklepy są utworzone w bardzo podobnym stylu (graficznym, ikon) oraz identycznym układzie sekcji na stronie głównej i stronach produktowych.

Wszystkie kuszą promocjami i dodatkowymi rabatami za powiększenie koszyka zakupowego.

Każdy ze sklepów nie posiadał danych teleadresowych, zaś w regulaminach jeśli już to pojawia się ten sam holenderski adres, pod którym nie znajdziemy żadnego z ów sklepów. Niekiedy podane są numery telefonów z holenderskim prefiksem, które również pozostawały bez echa.

Nasilenie tej kampanii przypadało na pierwszy kwartał 2025. Domeny były rejestrowane nawet na kilka dni przed uruchomieniem kampanii sponsorowanych w serwisie Facebook. Scenariusz tego oszustwa jest nadal kontynuowany natomiast ze znikomym lub przeważnie zerowym wykorzystaniem kampanii sponsorowanych a przy użyciu globalnych marketplace jako źródła ruchu.

Chociaż w tym schemacie wykorzystana jest sztuczna inteligencja, to trudno szukać jej zaawansowanego zastosowania. Ogranicza się ono do generowania zdjęć i opisów produktów. Czasem bardzo nieudolnych, a niekiedy nawet zabawnych. Schemat oszustwa, w którym kampania sponsorowana w serwisie Facebook prowadzi do nieistniejącego sklepu internetowego, nie jest nowością. Widać jednak, że wykorzystanie AI to stopniowa automatyzacja, ale i możliwość postawienia „sklepu” z dużą ilością asortymentu, a przede wszystkim łudząco prawdziwymi zdjęciami witryn, wnętrz, a nawet brandingu.

Jak nie dać się oszukać?

Pamiętaj, aby zawsze zweryfikować sklep, którego nie znasz, zanim dokonasz pierwszego zakupu!

  • Zadzwoń lub wyślij e-maila do sklepu, który sprawdzasz.
  • Zweryfikuj adres, np. w Google Street View.
  • Zajrzyj do regulaminów, czy zawierają pełne dane firmy, tę zaś sprawdź w bazie CEIDG.
  • Dodatkowym, ale nie ostatnim elementem jest zweryfikowanie, kiedy domena została zarejestrowana.

Najważniejszy jednak jest nasz zdrowy rozsądek. Świetna promocja w sklepie, który zamyka się po 10 latach, a nie ma nawet adresu (bo taki komunikat zawierał jeden z przypadków), to oszustwo i powinna zapalić się nam czerwona lampka.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

23 kwietnia 2026
Dystrybucja strojanizowanego oprogramowania RMM z wykorzystaniem modeli AI
Dowiedz się więcej
22 kwietnia 2026
Czy Polska jest gotowa na cyfrowy blackout? Najważniejsze wnioski po WAT ICT Days którego partnerem było Orange Polska
Dowiedz się więcej
22 kwietnia 2026
Wyciek danych to już nie incydent, lecz długotrwałe zagrożenie
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Strictly Necessary Cookies

Strictly Necessary Cookie should be enabled at all times so that we can save your preferences for cookie settings.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance