Nieistniejące sklepy i fikcyjne wyprzedaże – jak nie dać się złapać w pułapkę fake e-commerce

Fałszywe sklepy internetowe, pozorne promocje i rzekome likwidacje firm z wieloletnią tradycją – to coraz częstszy sposób działania przestępców, którzy wykorzystują automatyzację, media społecznościowe i narzędzia oparte na sztucznej inteligencji. W 2024 roku CERT Polska przyjął ponad 600 tys. zgłoszeń incydentów cyberbezpieczeństwa – o 62 proc. więcej niż rok wcześniej – z czego blisko 98 tys. dotyczyło oszustw komputerowych. Wiele z nich odnosiło się do sklepów, które nigdy nie istniały lub służyły wyłącznie do wyłudzania danych. To pokazuje, że problem fałszywego e-commerce nie tylko się nasila, ale w dobie rozwoju AI staje się kluczowym obszarem zagrożeń w handlu online.

Schemat oszustów opiera się na publikowaniu poruszających historii, które mają skłonić do zakupu – często pod pretekstem „likwidacji sklepu po 29 latach działalności” czy „sprzedaży końcówek magazynowych po kosztach”. W rzeczywistości pod reklamą nie kryje się żaden realny podmiot, a sama witryna znika po kilku dniach, ustępując miejsca kolejnym, generowanym automatycznie.

Ataki są coraz trudniejsze do wykrycia – przestępcy korzystają z gotowych szablonów do budowy sklepów, podszywają się pod znane marki, wykorzystują reklamy sponsorowane i pozycjonowanie w wyszukiwarkach.

– Dzięki AI oszuści działają szybciej, na większą skalę i przy znacznie niższym ryzyku wykrycia. Stworzenie fałszywego sklepu z realistycznymi treściami możliwe jest nawet w ciągu kilkudziesięciu minut. Opisy produktów, regulaminy, opinie – wszystko może być sztucznie wygenerowane. Dlatego tak ważne jest, by klienci nauczyli się rozpoznawać charakterystyczne oznaki nieprawidłowości, np. błędy językowe, dziwne przekierowania, nietypowe adresy URL czy brak danych kontaktowych – mówi Michał Tomaszewski, CISO, szef Zespołu ds. Bezpieczeństwa w Exorigo-Upos.

Ogromna skala phishingu w Polsce

W zeszłym roku zablokowanych zostało 305 tys. fałszywych domen¹. Wyzwaniem pozostaje również phishing brandowy, czyli podszywanie się pod znane sklepy przez tworzenie niemal identycznych wizualnie stron lub adresów. Trudno je wychwycić bez specjalistycznych narzędzi do monitorowania domen i analizowania środowiska zewnętrznego.

– Cyberprzestępcy nie skupiają się na konkretnych branżach, tylko wybierają ekonomicznie atrakcyjne i słabo zabezpieczone przedsiębiorstwa. Jeśli firma generuje wysoki przychód, ale nie inwestuje w bezpieczeństwo — staje się łatwym celem. Gdy zabezpieczenia są solidne i dostęp do danych wymagałby dużo czasu lub nakładów, oszuści po prostu przechodzą dalej – podkreśla Michał Tomaszewski.

Jak rozpoznać fałszywy sklep i nie dać się oszukać?

Rozpoznanie fałszywych sklepów i wyprzedaży wymaga uważności i krytycznego podejścia do oferty. Warto zwrócić uwagę na sam adres witryny – często zawiera on drobne literówki, nietypowe rozszerzenia domen (np. zamiast .pl pojawia się .store lub .top) albo brak dostępnych danych WHOIS, co może świadczyć o anonimowym, jednorazowym charakterze rejestracji. Dodatkową wskazówką jest brak przejrzystych informacji o polityce zwrotów, regulaminie zakupów czy danych sprzedawcy.

Uwagę należy zwrócić także na same treści – powtarzalne opisy produktów, błędy gramatyczne lub informacje wyraźnie niepasujące do oferty mogą sugerować, że zostały one wygenerowane automatycznie. Równie istotnym sygnałem ostrzegawczym jest ograniczony wybór form płatności – szczególnie jeśli brakuje renomowanych operatorów, takich jak PayU czy Przelewy24, a dostępna jest wyłącznie opcja przedpłaty. Wreszcie – podejrzane są też puste zakładki, niedziałające podstrony oraz linki prowadzące do innych witryn bez związku z marką. Weryfikując te elementy i zachowując ostrożność, użytkownicy mogą skutecznie unikać najbardziej typowych pułapek ecommerce.

– Dla sprzedawców działających w internecie najlepszą formą ochrony jest wielowarstwowe podejście do bezpieczeństwa. Legalne sklepy wdrażają certyfikaty SSL, mechanizmy uwierzytelniania dwuskładnikowego, systemy klasy WAF, monitorowanie ruchu sieciowego i testy penetracyjne. Coraz częściej inwestują też w stałe usługi bezpieczeństwa – Security Operations Center – które analizują anomalie i reagują na nie w czasie rzeczywistym. Ale żadna technologia nie zastąpi podstawowej ostrożności użytkownika – mówi Tomaszewski.

Transparentność w e-commerce

Artykuł opublikowany w „Behavioural Public Policy”², pokazuje, że zwiększona przejrzystość w zakresie informacji o sprzedawcach i ocen użytkowników ma bezpośredni wpływ na poziom zaufania klientów oraz ich decyzje zakupowe. W tym kontekście można rozważać ideę stworzenia ogólnodostępnej bazy certyfikowanych sklepów internetowych.

– Taka lista mogłaby budzić zaufanie, ale nie wyeliminuje zjawiska typosquattingu, ani nie zabezpieczy przed kampaniami phishingowymi. Mogłoby to też utrudnić wejście na rynek nowym, mniejszym podmiotom. Potrzebne są działania systemowe: szybkie i konsekwentne reagowanie zespołów CERT, dzielenie się wiedzą w ramach branży i rozwijanie narzędzi do zgłaszania podejrzanych witryn – podsumowuje Michał Tomaszewski.

Problem fałszywych sklepów internetowych to dziś jedno z najpoważniejszych wyzwań dla całego rynku e-commerce. Kluczową rolę odgrywa tu edukacja konsumentów: świadomość, na co zwracać uwagę i jak reagować na podejrzane sytuacje, może realnie ograniczyć skalę strat. Sklepy online – niezależnie od wielkości – muszą dziś nie tylko zadbać o swoją infrastrukturę IT, ale także aktywnie budować zaufanie i reagować na nowe techniki ataków.

[1] https://cert.orange.pl/wp-content/uploads/2025/04/Raport_CERT_Orange_Polska_2024.pdf

[2] https://www.cambridge.org/core/journals/behavioural-public-policy/article/impact-of-online-platform-transparency-of-information-on-consumers-choices/1D7F0662612755FE18E9694DA9E95BF3