Nomani: fala oszustw inwestycyjnych z deepfake’ami AI rośnie — ESET raportuje +62% r/r

Wprowadzenie do problemu / definicja luki

Nomani to nazwa kampanii oszustw inwestycyjnych, które żerują na reklamach w mediach społecznościowych i coraz częściej wykorzystują generowane przez AI materiały wideo (deepfake) jako „haczyk” wiarygodności. Według danych ESET, aktywność tej kampanii wzrosła rok do roku o 62%, a dystrybucja nie ogranicza się już wyłącznie do Facebooka — obserwowane są także emisje na innych platformach, m.in. YouTube.

W praktyce to nie „luka” w rozumieniu CVE, ale luka procesowo-psychologiczna: połączenie systemów reklamowych, targetowania, automatyzacji kreacji oraz podatności użytkowników na autorytet (znana osoba, „news” o rządowym programie, modny temat) — wzmocnione realizmem materiałów AI.

W skrócie

• ESET odnotował 62% wzrost kampanii Nomani r/r; w 2025 roku blokowano ponad 64 tys. unikalnych URL-i powiązanych z tą aktywnością.
• Kampanie wychodzą poza Facebooka (m.in. YouTube).
• Deepfake’i stają się trudniejsze do wykrycia: lepsza rozdzielczość, mniej „nienaturalnych” ruchów, lepsza synchronizacja audio-wideo.
• Przestępcy ograniczają ślad: krótkie emisje reklam (godziny), „cloaking”, przechwytywanie danych przez natywne formularze/ankiety platform reklamowych.

Kontekst / historia / powiązania

ESET opisał Nomani już w grudniu 2024 r. jako kampanię wykorzystującą malvertising w social media, posty podszywające się pod marki oraz „testymoniale” wideo generowane przez AI, które obiecują wysokie zyski z nieistniejących produktów inwestycyjnych.

W 2025 r. kampania została „doszlifowana”: nie tylko poprawiono jakość deepfake’ów, ale też zoptymalizowano operacje pod kątem omijania moderacji reklam oraz szybkiej rotacji infrastruktury.
Warto też zauważyć szerszy trend: organy ścigania w USA (IC3/FBI) już wcześniej ostrzegały, iż generatywna AI jest wykorzystywana do tworzenia materiałów promocyjnych i wideo na potrzeby oszustw finansowych/inwestycyjnych.

Nomani wpisuje się także w problem systemowy reklam-oszustw na dużych platformach: śledztwo Reuters opisywało skalę „ekonomii” reklam fraudowych i napięcie między egzekucją zasad a bodźcami przychodowymi w ekosystemie reklamowym.

Analiza techniczna / szczegóły luki

Poniżej typowy „łańcuch oszustwa” obserwowany w kampaniach Nomani (z uwzględnieniem elementów, które ESET wskazuje jako nowsze usprawnienia):

1. Wejście: reklama w social media + deepfake jako „autorytet”
   Ofiara widzi reklamę z wideo sugerującym rekomendację inwestycji przez znaną osobę lub „wiarygodne źródło”. W nowszych wariantach poprawiono realizm (ruchy twarzy, „oddech”, A/V sync), co zmniejsza liczbę oczywistych artefaktów.
2. Inżynieria społeczna: obietnica wysokich zwrotów + presja czasu
   Komunikaty wprowadzają narrację „okazji”, „limitowanych miejsc”, „gwarantowanych zysków” i prowadzą do pozostawienia danych lub przejścia na stronę/formularz.
3. Minimalizacja wykrywalności: krótkie kampanie + cloaking + targetowanie
   Reklamy bywają uruchamiane tylko na kilka godzin. jeżeli użytkownik nie pasuje do profilu targetowania (lub mechanizmy wykryją „niepożądany” ruch), następuje przekierowanie na „bezpieczną” stronę maskującą zamiast adekwatnego phishingu.
4. Zbieranie danych: przejęcie leadów także przez natywne narzędzia platform
   Zamiast klasycznego „wyślij na zewnętrzny landing”, przestępcy potrafią używać wbudowanych formularzy i ankiet w ramach frameworków reklamowych, aby obniżyć ślad i ryzyko blokady domeny.
5. Strony phishingowe: lepsze szablony + sygnały użycia AI do generowania HTML
   ESET zauważa ulepszenia szablonów i wskazówki sugerujące automatyzację/AI przy tworzeniu kodu HTML.
6. Monetyzacja: „dopłaty”, wyłudzenia danych i wieloetapowe oszustwo
   Gdy ofiara chce wypłacić rzekomy zysk, pojawia się żądanie opłat „administracyjnych/podatkowych” albo prośby o dane osobowe (np. dokument tożsamości) i informacje o karcie płatniczej. Finał jest przewidywalny: strata pieniędzy i/lub kradzież danych.
7. „Recovery scam”: wtórne oszustwo na odzyskanie środków
   Po stracie przestępcy potrafią uderzyć ponownie, podszywając się pod instytucje (np. Europol/INTERPOL) i obiecując „pomoc w odzyskaniu pieniędzy” — co kończy się kolejnymi wyłudzeniami.

Praktyczne konsekwencje / ryzyko

Dla użytkowników:

• Bezpośrednia strata finansowa (wpłata „inwestycji”, dopłaty, prowizje, fałszywe opłaty wypłat).
• Ryzyko kradzieży tożsamości i nadużyć finansowych, jeżeli przekazano skan dokumentu, dane karty lub inne wrażliwe informacje.
• „Podwójne uderzenie” w postaci recovery scam, czyli wtórnego wyłudzenia po pierwszej stracie.

Dla firm i instytucji (zwłaszcza marek, mediów, finansów):

• Nadużycia wizerunku (podszycia pod brand/eksperta), koszty obsługi zgłoszeń i reklamacji, reputacyjne „spillover”.
• Trudniejsze blokowanie: krótkie emisje reklam i natywne formularze ograniczają skuteczność klasycznego podejścia „zdejmij domenę = zdejmiesz kampanię”.

Dlaczego to ważne w Polsce?
ESET wskazuje, iż znacząca część detekcji pochodziła m.in. z Polski (obok Czech, Japonii, Słowacji i Hiszpanii). To nie znaczy, iż kampania jest „tylko u nas”, ale iż realnie trafia także na polskich użytkowników.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i zespołów helpdesk (szybka checklista)

• Zasada nr 1: „gwarantowany zysk” + „znana twarz” w reklamie = domyślnie oszustwo. Deepfake’i są coraz lepsze.
• Nie podawaj danych KYC poza zaufanym kanałem: skany dokumentów, dane kart, selfie „weryfikacyjne” — to najczęstszy punkt krytyczny.
• Nie płać „opłat za wypłatę” ani „podatków przed wypłatą” na żądanie „platformy” — to typowy mechanizm dociskania ofiary.
• Zgłoś reklamę i profil w platformie społecznościowej (to ważne zwłaszcza przy krótkich kampaniach).
• Jeśli doszło do transakcji: natychmiast kontakt z bankiem/operatorami płatności, zastrzeżenie instrumentów, zgłoszenie sprawy organom ścigania.

Dla organizacji (SOC/Threat Intel/Brand Protection)

• Monitoruj reklamy podszywające się pod markę: narzędzia brand protection + threat intel pod kątem kreacji wideo i wariantów copy.
• Zbieraj sygnały „lead-gen”: jeżeli przestępcy używają natywnych formularzy/ankiet, klasyczne feedy blokad domen nie wystarczą — potrzebne są procesy zgłaszania konkretnych kampanii reklamowych.
• Edukacja ukierunkowana (finanse, HR, obsługa klienta): pokaż realne przykłady deepfake + mechanizmy dopłat/wypłat oraz „recovery scam”.
• Procedury kryzysowe: gotowe komunikaty „nie promujemy inwestycji przez reklamy”, landing do weryfikacji, szybki kanał zgłaszania dla klientów.

Różnice / porównania z innymi przypadkami

W porównaniu do „klasycznych” oszustw inwestycyjnych (spam, cold-calling, proste landingi), Nomani wyróżnia się trzema elementami:

1. Deepfake jako akcelerator zaufania – materiał wideo, który jeszcze rok-dwa lata temu łatwo było rozpoznać, dziś bywa jakościowo „wystarczający”, by przejść szybki test wiarygodności w feedzie.
2. Operacje w modelu ad-tech – krótkie emisje, testowanie kreacji, cloaking, wykorzystywanie natywnych narzędzi reklamowych do przechwytywania danych.
3. Przenoszenie rozmowy „na czat” – w szerszym krajobrazie takich kampanii często widać „domykanie” oszustwa w komunikatorach (np. WhatsApp), gdzie łatwiej prowadzić długą manipulację 1:1. Kaspersky opisywał podobny schemat: deepfake w reklamie → przekierowanie do prywatnej grupy/czatu → dopinanie wpłat.

Podsumowanie / najważniejsze wnioski

Nomani pokazuje, iż „AI w cyberprzestępczości” to nie tylko malware i automatyzacja ataków, ale także potężne wzmocnienie skali oszustw. Wzrost o 62% r/r, ekspansja na kolejne platformy i coraz lepsze deepfake’i oznaczają, iż bariera wejścia dla oszustów spada, a koszt po stronie ofiar rośnie.

Najważniejsze działania „tu i teraz” to: twarde zasady weryfikacji inwestycji, szybkie raportowanie reklam, procedury reakcji po incydencie (bank/zastrzeżenia/zgłoszenia) oraz — po stronie organizacji — monitoring nadużyć marki i procesy zgłaszania kampanii, nie tylko domen.

Źródła / bibliografia

1. The Hacker News — „Nomani Investment Scam Surges 62% Using AI Deepfake Ads on Social Media” (24 grudnia 2025). (The Hacker News)
2. ESET (Newsroom) — „ESET Threat Report: AI-driven attacks on the rise…” (16 grudnia 2025). (ESET)
3. ESET (WeLiveSecurity) — „ESET Threat Report H2 2025” (16 grudnia 2025). (We Live Security)
4. FBI/IC3 — „Criminals Use Generative Artificial Intelligence to Facilitate Financial Fraud” (3 grudnia 2024). (Internet Crime Complaint Center)
5. Kaspersky — „How users are losing money to deepfake ads on Instagram” (4 sierpnia 2025). (Kaspersky)
6. Reuters (Investigation) — „Meta is earning a fortune on a deluge of fraudulent ads, documents show” (6 listopada 2025). (Reuters)