Nowa fala oszustw na TikToku: Fałszywe reklamy w serwisie

27.03.2026 13:48 Grzegorz Chruścielewski

Fałszywe reklamy w popularnym serwisie. Nowa fala oszustw na TikToku

Rosnąca popularność krótkich filmów sprawiła, że TikTok stał się naturalnym ekosystemem nie tylko dla twórców i legalnych reklamodawców, lecz także dla zorganizowanych grup cyberprzestępczych. Mechanizm jest prosty: odbiorca przewija bezrefleksyjnie kolejne wideo, a między nimi widzi komunikat zachęcający do inwestycji, zakupu z ogromnym rabatem albo pobrania „ekskluzywnej” aplikacji. Na pierwszy rzut oka wszystko wygląda legalnie, bo konto promujące ofertę posługuje się nazwą znanej marki lub logotypem międzynarodowego banku. Badania App Annie wskazują, że przeciętny użytkownik w Polsce spędza w aplikacji ponad 20 godzin miesięcznie, co z perspektywy przestępców oznacza setki okazji do podania fałszywej treści. Z danych CERT Polska wynika, że od początku roku liczba zgłoszeń dotyczących oszustw reklamowych wideo wzrosła o ponad 80% w porównaniu z analogicznym okresem ubiegłego roku.

Na problem zwracają uwagę również regulatorzy europejscy. Komisja Europejska, analizując pierwsze efekty Digital Services Act, podkreśliła, że formaty sponsorowane w aplikacjach mobilnych są dziś jednym z najsłabiej kontrolowanych kanałów dystrybucji szkodliwych treści. Cyberprzestępcy korzystają z tego okna, wykorzystując sztuczną inteligencję do generowania deepfake’ów oraz automatycznego klonowania serwisów transakcyjnych. W 2022 r. amerykańska Federal Trade Commission oszacowała straty wynikające z podobnych oszustw na ponad 1,2 mld USD i ostrzegła, że skala procederu podwaja się praktycznie co dwanaście miesięcy.

Skala zjawiska na TikToku i metoda działania przestępców

W przeciwieństwie do klasycznych kampanii phishingowych, które rozsyła się pocztą elektroniczną, reklamy na TikToku budują zaufanie dzięki oficjalnemu mechanizmowi platformy. System aukcyjny przyjmuje każde zlecenie, o ile konto reklamodawcy przejdzie pobieżną weryfikację. Przestępcy rejestrują więc firmę słup, kupują kilkudniową kampanię i publikują spot z hasłem „tylko dziś 300 % zysku na kryptowalutach” lub „abonament premium za 1 zł”. Ad prowadzi do strony graficznie nieodróżnialnej od serwisu banku, gdzie ofiara podaje login, numer karty i kod SMS. „Reklama wyświetlana wewnątrz aplikacji jest automatycznie utożsamiana z czymś zweryfikowanym – i na tym błędnym założeniu żerują przestępcy” – zauważa Iwona Prószyńska z CERT Polska. Gdy dane trafiają do atakujących, możliwe jest wyczyszczenie rachunku, przejęcie profili społecznościowych oraz zaciągnięcie pożyczek na nazwisko ofiary. Według szacunków Związku Banków Polskich, średnia wartość pojedynczego incydentu przekracza dziś 7 tys. zł.

Warto zaznaczyć, że skala procederu wymyka się klasycznym metodom moderacji. Jak wynika z informacji National Cyber Security Centre w Wielkiej Brytanii, wystarczy kilka minut, aby po zablokowaniu jednego konta pojawiło się kolejne, wykorzystujące tę samą kreację wideo, lecz inną domenę docelową. Automatyczne systemy wykrywania treści sponsorowanych są bowiem optymalizowane głównie pod kątem naruszeń praw autorskich oraz mowy nienawiści, a nie oszustw finansowych.

Zaawansowane narzędzia: deepfake, klonowanie stron i złośliwe aplikacje

Jednym z najsilniejszych czynników zwiększających wiarygodność fałszywej reklamy jest wykorzystanie wizerunku osoby publicznej. Dzięki technikom deepfake oszuści potrafią w ciągu kilkudziesięciu minut wygenerować nagranie, w którym znany aktor, sportowiec lub polityk „poleca” określoną inwestycję. Laboratoria Sensity AI wykazały, że koszt przygotowania półtoraminutowego materiału w rozdzielczości Full HD spadł poniżej 20 dolarów. To stawia defensywę w trudnej sytuacji, bo przeciętny użytkownik nie jest w stanie odróżnić syntetycznego wideo od autentycznego nagrania konferencji.

Równolegle rozwijają się narzędzia umożliwiające błyskawiczne klonowanie witryn. Gotowe szablony, dostępne w sieci darknet za mniej niż 100 USD, pozwalają skopiować layout banku 1:1, w tym czcionki, animacje i certyfikaty TLS. Z kolei złośliwe aplikacje dystrybuowane poza oficjalnym sklepem Play potrafią przechwytywać powiadomienia, SMS-y uwierzytelniające oraz nagrywać ekran. Badanie Trend Micro pokazuje, że aż 15 proc. mobilnych trojanów wykrytych w trzecim kwartale 2023 r. było rozpowszechnianych właśnie poprzez reklamy w mediach społecznościowych.

Jak rozpoznać pułapkę i chronić swoje dane

Specjaliści radzą, aby każde nietypowe ogłoszenie traktować z rezerwą, szczególnie jeśli łączy markę finansową z obietnicą natychmiastowego zysku. W praktyce warto sprawdzić, czy ta sama promocja widnieje na oficjalnej stronie firmy; jeśli nie, mamy podstawę do podejrzeń. Kolejnym krokiem jest analiza historii profilu publikującego reklamę – konta powołane wyłącznie do emisji jednego spotu z reguły kasują wcześniejsze treści, żeby utrudnić identyfikację. Nie należy ufać wiadomościom nakazującym pobranie aplikacji z linku w opisie filmu; legalni wydawcy udostępniają instalatory wyłącznie w autoryzowanych sklepach.

Kluczowe jest także uważne czytanie adresu URL wyświetlanego po kliknięciu. Cyberprzestępcy często posługują się literówkami lub egzotycznymi domenami najwyższego poziomu, które imitują oryginalną nazwę marki. Jeśli cokolwiek budzi wątpliwość, najlepiej otworzyć nową kartę przeglądarki i ręcznie wpisać znany adres banku lub e-sklepu, zamiast korzystać z przekierowania. CERT Polska przypomina, że żadna instytucja finansowa nie prosi o instalację dodatkowego oprogramowania do obsługi rachunku ani o podanie kodu SMS poza stroną logowania.

Użytkownicy mogą zminimalizować ryzyko, włączając wieloskładnikowe uwierzytelnianie w bankowości oraz mediach społecznościowych, regularnie aktualizując system operacyjny i aplikacje, a także zgłaszając podejrzane treści bezpośrednio w menu „Report ad”. Według NASK liczba domen wpisanych na krajową listę ostrzeżeń przekroczyła już 90 tys., ale skuteczność tej tarczy zależy przede wszystkim od czujności internautów.

Reakcja platform i regulatorów

TikTok deklaruje w najnowszym raporcie Transparency, że w pierwszym półroczu 2023 r. usunął globalnie ponad 20 mln materiałów promujących oszustwa finansowe. Po stronie legislacyjnej w USA toczą się prace nad obowiązkową weryfikacją reklamodawców z segmentu inwestycyjnego, a w Unii Europejskiej akt Digital Services Act rozszerza odpowiedzialność platform za nielegalny przekaz komercyjny. Jednocześnie CERT Polska, we współpracy z bankami i operatorami telekomunikacyjnymi, prowadzi projekt szybkiego blokowania złośliwych domen – dziennie odcina się średnio 250 nowych adresów wykorzystywanych do phishingu.

Mimo rosnącej presji regulatorów przestępcy wciąż działają szybciej niż systemy moderacji. Zablokowanie jednej kampanii oznacza pojawienie się następnej, często pod nieznacznie zmodyfikowaną nazwą. Eksperci podkreślają, że skuteczne przeciwdziałanie wymaga kombinacji edukacji użytkowników, zaawansowanych algorytmów analizy wideo oraz pełnej transparentności dotyczącej źródeł finansowania reklam. Ostatecznie to czujność odbiorcy pozostaje pierwszą linią obrony przed nową falą oszustw na TikToku.

Strona główna >
Aktualności >

Grzegorz Chruścielewski redaktor naczelny

(wszystkie artykuły)

Redaktor naczelny, pasjonat motoryzacji, podróżnik i żeglarz. Właściciel White Cat Media. Uwielbia silniki spalinowe i zapach benzyny, ale z zainteresowaniem przygląda się rozwojowi samochodów elektrycznych. Własnym camperem przemierza najdalsze zakątki świata łącząc pasję do podróży z motoryzacją. O żeglarstwie piszę na Globber.pl a moje motoryzacyjne artykuły przeczytasz na Gazoo.pl.