Sieć 150+ klonów stron kancelarii: jak działa „recovery scam” napędzany AI i jak się przed nim bronić - Security Bez Tabu

Sieć 150+ klonów stron kancelarii: jak działa „recovery scam” napędzany AI i jak się przed nim bronić

Wprowadzenie do problemu / definicja luki

„Recovery scam” (oszustwo „odzyskiwania środków”) to model nadużycia, w którym przestępcy żerują na osobach już wcześniej oszukanych (np. na inwestycjach, kryptowalutach, fałszywych sklepach). Podszywają się pod kancelarie prawne lub „specjalistów od odzyskiwania pieniędzy”, obiecują pomoc i przenoszą rozmowę na kanały poza stroną (telefon/WhatsApp), by wyłudzić dane, a finalnie kolejne płatności. W opisywanej kampanii skala i jakość „opakowania” (klony stron) sugerują użycie automatyzacji i narzędzi AI do szybkiego generowania wiarygodnych serwisów.

W skrócie

  • Analitycy Sygnia zidentyfikowali globalną, aktywną sieć ponad 150 domen podszywających się głównie pod kancelarie (USA/UK, ale też sygnały aktywności m.in. w Japonii i Rumunii).
  • Kampania jest nastawiona na trwałość: rozproszone rejestracje domen, wiele rejestratorów, osobne certyfikaty TLS, często osłona przez Cloudflare, co utrudnia powiązanie i zdejmowanie infrastruktury.
  • Strony wyglądają profesjonalnie, ale są „płytkie” (mało podstron), a CTA prowadzą do WhatsApp/telefonu kontrolowanego przez oszustów.
  • Badacze wskazują na powtarzalność elementów (struktury, fragmenty treści, zasoby graficzne, czasowe „batch deployment”), co jest typowe dla zautomatyzowanej produkcji stron.

Kontekst / historia / powiązania

Podszywanie się pod kancelarie nie jest nowe, ale w ostatnich latach widoczny jest trend „industrializacji” oszustw: gotowe playbooki, automatyzacja treści i szybsze budowanie wiarygodności oferty. FBI/IC3 już wcześniej ostrzegało przed fikcyjnymi kancelariami kierowanymi do ofiar fraudów (szczególnie wątek kryptowalut), gdzie dochodzi zarówno do kradzieży środków, jak i danych osobowych.

Do tego dochodzą mechanizmy masowego „spinu” infrastruktury (rotacja domen), które dobrze znamy z phishingu. W Polsce analogiczny problem skali i rotacji domen widać w praktyce choćby w kontekście blokad i list ostrzeżeń CERT Polska (phishing działa „masowo”, krótkożyjące domeny są szybko zastępowane nowymi).

Analiza techniczna / szczegóły luki

1. Jak powstała mapa 150+ domen

Sygnia opisuje, że dochodzenie zaczęło się od zgłoszenia realnej kancelarii, która wykryła kilka stron podszywających się pod jej markę. Pivoty TI (powtarzalne elementy HTML/układu, te same fragmenty treści, zasoby graficzne, metody kontaktu) doprowadziły najpierw do kilkudziesięciu, a finalnie do ponad 150 powiązanych domen.

2. Infrastruktura zaprojektowana „pod unikanie korelacji”

Najważniejszy wniosek techniczny: operatorzy nie poszli w prostotę, tylko w tarcie dochodzeniowe:

  • Osobne certyfikaty TLS per domena – utrudnia pivotowanie po certyfikatach.
  • Rozproszone hostingi i zakresy IP, często za Cloudflare – maskowanie originów, trudniejsze powiązanie i egzekucja takedownów.
  • Odseparowane analityki (np. unikalne identyfikatory GTM/GA na wielu stronach); sporadyczne overlap’y traktowane jako „mocne sygnały” wspólnej kontroli.
  • Fragmentacja rejestracji domen (wiele rejestratorów) – mniej skuteczne pivoty „po rejestratorze”, choć badacze zauważają też pewne klastry wynikające z wygody operatorów.

3. Evasion na poziomie treści i „UX” oszustwa

Sygnia opisuje, że kampania utrudnia wykrywanie również warstwą contentową: podobne, ale nie identyczne grafiki i teksty, wielojęzyczność (np. chiński/portugalski/rumuński), a także serwisy sprawiające wrażenie profesjonalnych, lecz o ograniczonej głębi nawigacji.

4. Łańcuch konwersji: strona → WhatsApp/telefon → wyłudzenie

Kluczowa taktyka: strona ma „złapać” zaufanie, ale właściwa manipulacja dzieje się poza WWW. Badacze opisują schemat: skryptowane otwarcia na WhatsApp, zbieranie szczegółów wcześniejszego oszustwa, budowanie autorytetu („legal recovery”), a potem narracja „płatność dopiero po odzyskaniu”, która ma obniżyć czujność.

Praktyczne konsekwencje / ryzyko

Dla ofiar (osób prywatnych)

  • Powtórna wiktymizacja: osoba już po stracie pieniędzy jest bardziej podatna na obietnicę „odzyskania” i może ujawnić więcej informacji (dane, dokumenty, historię transakcji).
  • Kradzież danych + dalsze oszustwa: FBI/IC3 wskazuje, że fikcyjne kancelarie mogą prowadzić do kradzieży zarówno środków, jak i danych osobowych, co napędza kolejne nadużycia.

Dla firm (realnych kancelarii i marek)

  • Reputacja i zaufanie: klony stron z realnymi nazwiskami prawników i logotypami uderzają w wiarygodność, nawet jeśli firma nie ma z tym nic wspólnego.
  • Ryzyko prawne i operacyjne: zgłoszenia od klientów, incident response, komunikacja kryzysowa, a czasem lawina skarg i prób „weryfikacji” przez partnerów.

Rekomendacje operacyjne / co zrobić teraz

1. Dla organizacji (kancelarie, marki, działy bezpieczeństwa)

  1. Monitoring brand abuse: cykliczne polowanie na klony po logotypach i fragmentach treści (reverse image search, detekcja podobieństwa DOM, brand keywords). Sygnia wskazuje, że pivoty po unikalnych elementach (np. logotypy) realnie pomagały odkrywać kolejne domeny.
  2. DMARC/SPF/DKIM + monitoring domen podobnych (typosquatting/lookalike).
  3. Playbook takedown: równoległe ścieżki zgłoszeń do rejestratora, dostawcy hostingu, Cloudflare oraz do wyszukiwarek (abuse reports), z gotowymi szablonami dowodów.
  4. Weryfikowalność kontaktu: na stronie firmy wyeksponuj zasady kontaktu (numery, kanały, brak WhatsApp jeśli nieużywany), oraz procedurę „jak sprawdzić, czy to my”.
  5. Threat intel: zbieraj i koreluj IOC/IOA (numery telefonów, identyfikatory analityk, wzorce hostingu). Sygnia pokazuje, że nawet rzadkie overlap’y (np. identyfikatory) są wartościowe.

2. Dla użytkowników (praktyczna checklista)

  • Sprawdź „głębię” serwisu: prawdziwe kancelarie zwykle mają rozbudowane treści, publikacje, polityki, realne dane rejestrowe, profile prawników; klony bywają płytkie i „puste” w środku.
  • Weryfikuj kanał kontaktu: jeśli strona natychmiast wypycha na WhatsApp/telefon — to czerwone światło.
  • Nie wysyłaj dokumentów „na start” (dowód, wyciągi, screeny portfeli krypto) bez niezależnej weryfikacji kancelarii. FBI/IC3 podkreśla ryzyko kradzieży danych i środków.
  • Sprawdź domenę (wiek, historia, literówki) i poszukaj kancelarii w oficjalnych rejestrach/izbach.
  • Zgłaszaj domeny: w PL dodatkowo możesz zgłaszać phishing/scam do ekosystemu blokad i ostrzeżeń (model podobny do „rotacji domen” jest powszechny).

Różnice / porównania z innymi przypadkami

  • „Assembly line” oszustw vs klasyczny phishing: Trend Micro opisywał, jak AI obniża próg wejścia i umożliwia budowę „taśm produkcyjnych” scamów (szybciej, taniej, na większą skalę). To dobrze pasuje do obserwacji Sygnia o batchowym wdrażaniu domen i o jakości treści „jak od prawdziwej firmy”.
  • Ostrzeżenia FBI/IC3: model „fikcyjnej kancelarii” jest na radarze organów ścigania od co najmniej 2024 r., ale teraz dochodzi warstwa operacyjnej odporności infrastruktury i masowej automatyzacji tworzenia serwisów podszywających się pod realne podmioty.

Podsumowanie / kluczowe wnioski

Ta kampania nie jest ciekawostką, tylko sygnałem kierunku: oszustwa będą coraz bardziej „produktowe” — z rozproszoną infrastrukturą, automatyzacją treści i presją na przeniesienie rozmowy poza stronę, gdzie trudniej o monitoring i dowody. Dochodzenie Sygnia pokazuje, że skuteczna obrona to połączenie brand protection, threat intelligence i procedur takedown, a po stronie użytkownika — prosta zasada: jeśli obietnica brzmi jak ratunek po poprzedniej stracie, zweryfikuj ją podwójnie.

Źródła / bibliografia

  1. Sygnia – Inside a Sophisticated Recovery Scam Network: Evidence from a Live Investigation into Legal Services Impersonation (5 lutego 2026). (Sygnia)
  2. SecurityWeek – Researchers Expose Network of 150 Cloned Law Firm Websites in AI-Powered Scam Campaign (5 lutego 2026). (SecurityWeek)
  3. FBI IC3 – Fictitious Law Firms Targeting Cryptocurrency Scam Victims (PSA, 2024/2025). (Internet Crime Complaint Center)
  4. CERT Polska – Warning List (lista ostrzeżeń przed niebezpiecznymi stronami). (CERT Polska)
  5. Trend Micro – Reimagining Fraud Operations: The Rise of AI-Powered Scam Assembly Lines (18 listopada 2025). (www.trendmicro.com)