Deepfake i phishing: oszustwo w nowej odsłonie
W sieci krąży coraz więcej fałszywych reklam udających oferty renomowanych instytucji finansowych. Tym razem ofiarami podszywania padły Bank of Montreal (BMO) i EQ Bank – znane i zaufane marki w Kanadzie. Jak się okazuje, reklamy te nie są tym, czym się wydają. Zamiast kierować użytkowników do oficjalnych serwisów bankowych, odsyłają ich na zewnętrzne, nielegalne domeny, które zbierają dane logowania, dane kontaktowe i zachęcają do podejrzanych „inwestycji”. Niektóre z reklam są wyjątkowo dobrze przygotowane – wykorzystują grafikę i kolorystykę łudząco podobną do oryginalnych materiałów banków, a także zawierają elementy marketingu znane z autentycznych kampanii, takie jak pytania przesiewowe czy zaproszenia do grup dyskusyjnych. Jednak największy niepokój budzi wykorzystanie filmów typu deepfake z udziałem rzekomych przedstawicieli banków, w tym samego Briana Belskiego, głównego stratega inwestycyjnego BMO. Na nagraniach, wygenerowanych przy użyciu sztucznej inteligencji, deepfake Belskiego zachęca użytkowników do dołączenia do prywatnych grup inwestycyjnych na WhatsAppie. Przypadkowy odbiorca może łatwo pomylić tę kampanię z autentycznym przekazem od renomowanego eksperta. Wszystko wygląda realistycznie — profesjonalna prezentacja, znana twarz, spójność wizualna z komunikacją banku. W rzeczywistości jednak to przemyślny zabieg mający na celu kradzież tożsamości i pieniędzy.
Fałszywe strony, zmienione konta i opieszałość platform
Konta, z których emitowane są te reklamy, zazwyczaj nie istnieją na Instagramie — są połączone jedynie z kontami na Facebooku. Tak jest choćby w przypadku fałszywej strony „BMO Belski”, która — jak wykazało BleepingComputer — wcześniej nosiła zupełnie inną nazwę („Brentlinger Matt Blumm”) i została przejęta, a następnie przekształcona na potrzeby kampanii phishingowej. Dzięki temu oszuści omijają problem tworzenia nowych kont od podstaw, unikają podejrzeń wynikających z braku historii i zdobywają natychmiastowy „staż” konta oraz liczby obserwujących — nawet jeśli są to konta martwe lub wygenerowane automatycznie. Zmiana nazwy, zdjęcia profilowego i kilku szczegółów wystarczy, by stworzyć pozory autentyczności. Tymczasem Meta — właściciel Facebooka i Instagrama — pozostaje w tyle, jeśli chodzi o skuteczne reagowanie na tego typu nadużycia. Choć fałszywe reklamy zostały zgłoszone przez użytkowników, nadal pojawiały się one przez kilka dni, co stwarza poważne ryzyko dla nieświadomych internautów. Zespół ds. komunikacji Meta zapewnił jedynie, że trwają działania sprawdzające i że treści uznane za fałszywe zostaną usunięte.
Banki, których nazwy zostały użyte bezprawnie, już reagują. EQ Bank potwierdził, że jest świadomy kampanii i współpracuje z platformami, by jak najszybciej usunąć nielegalne treści. Instytucja ostrzega swoich klientów przed pochopnym klikaniem w reklamy i zachęca do sprawdzania wszelkich ofert wyłącznie za pośrednictwem oficjalnych kanałów.
