FTC ostrzega przed rekordowymi stratami w oszustwach podszywających się pod instytucje i firmy - Security Bez Tabu

FTC ostrzega przed rekordowymi stratami w oszustwach podszywających się pod instytucje i firmy

Cybersecurity news

Wprowadzenie do problemu

Oszustwa typu imposter scam, czyli kampanie oparte na podszywaniu się pod zaufane instytucje, firmy lub przedstawicieli wsparcia, należą dziś do najgroźniejszych form cyberprzestępczości wymierzonej w użytkowników indywidualnych. Przestępcy wykorzystują autorytet banków, urzędów, operatorów płatności i dużych marek, aby wywołać presję i skłonić ofiarę do przekazania pieniędzy lub danych.

Najnowsze ostrzeżenia amerykańskiej Federal Trade Commission pokazują, że skala tego procederu osiągnęła poziom rekordowy. Problem nie dotyczy wyłącznie klasycznych prób wyłudzeń, ale całego ekosystemu ataków socjotechnicznych, w których człowiek staje się najsłabszym ogniwem bezpieczeństwa.

W skrócie

Według danych regulatora, w 2025 roku konsumenci w USA stracili około 3,5 mld dolarów w oszustwach bazujących na podszywaniu się pod instytucje i firmy. Ta kategoria odpowiadała za niemal jedną trzecią wszystkich zgłoszeń oszustw.

Największe straty generowały fałszywe alerty bezpieczeństwa rzekomo pochodzące od banków. Istotnym kanałem działania przestępców pozostały także media społecznościowe, które odpowiadały za ponad 2,1 mld dolarów zgłoszonych strat związanych z oszustwami tego typu.

Kontekst i historia zjawiska

Oszustwa impersonacyjne nie są nowym zjawiskiem, ale ich skuteczność wyraźnie wzrosła wraz z popularyzacją komunikacji mobilnej, platform społecznościowych i reklam wyświetlanych w wyszukiwarkach. Atakujący nie muszą przełamywać zaawansowanych zabezpieczeń technicznych, jeśli potrafią zbudować wiarygodny pretekst i odpowiednio zmanipulować ofiarę.

W ostatnich latach szczególnie powszechne stały się scenariusze, w których przestępcy podszywają się pod bank, urząd skarbowy, organ ścigania, dostawcę usług płatniczych albo dział bezpieczeństwa znanej firmy. Celem jest wywołanie strachu, poczucia pilności lub przekonania, że konto ofiary zostało naruszone. Dodatkowo działania regulatorów pokazują, że zjawisko jest traktowane coraz poważniej także na poziomie egzekwowania prawa i odpowiedzialności podmiotów wykorzystujących takie praktyki.

Analiza techniczna

Z technicznego punktu widzenia imposter scam to połączenie inżynierii społecznej, komunikacji wielokanałowej i nadużycia zaufania do rozpoznawalnej marki lub instytucji. Atak może rozpocząć się od SMS-a, telefonu, wiadomości e-mail, reklamy sponsorowanej, komunikatora albo kontaktu przez media społecznościowe.

Choć początkowy wektor bywa prosty, skuteczność kampanii wynika z dobrze zaplanowanego łańcucha socjotechnicznego. Przestępca prowadzi ofiarę krok po kroku do działania, które z punktu widzenia systemu bankowego lub usługi wygląda na dobrowolnie autoryzowane.

  • inicjalny kontakt podszywający się pod zaufany podmiot,
  • wytworzenie presji czasowej pod pretekstem zagrożenia dla konta lub tożsamości,
  • przekierowanie ofiary do rozmowy z rzekomym analitykiem bezpieczeństwa lub pracownikiem banku,
  • nakłonienie do wykonania przelewu, wypłaty gotówki, zakupu kart podarunkowych lub podania wrażliwych danych,
  • zerwanie kontaktu po uzyskaniu pieniędzy albo informacji.

Szczególnie niebezpieczne są fałszywe alerty bankowe. Ofiara otrzymuje wiadomość lub telefon o rzekomej podejrzanej aktywności, a następnie słyszy instrukcję, by przelać środki na konto zabezpieczające albo zatwierdzić operację mającą zablokować nadużycie. W praktyce sama autoryzuje transfer do przestępców.

Media społecznościowe pozostają wyjątkowo atrakcyjnym środowiskiem dla takich kampanii. Umożliwiają precyzyjne targetowanie, szybkie tworzenie fałszywych profili, przejmowanie konwersacji w prywatnych wiadomościach i budowanie pozorów wiarygodności przy użyciu spreparowanych lub skompromitowanych kont.

Konsekwencje i ryzyko

Najbardziej oczywistym skutkiem są bezpośrednie straty finansowe, jednak skala ryzyka jest znacznie szersza. Ofiary mogą ujawnić dane osobowe, informacje o rachunkach, kody jednorazowe, dane kart płatniczych lub dokumenty potwierdzające tożsamość, co otwiera drogę do dalszych nadużyć.

W praktyce może to prowadzić do przejęcia kont, oszustw kredytowych, kolejnych kampanii wymierzonych w rodzinę i współpracowników, a także wtórnej kompromitacji tożsamości. Dla sektora finansowego i dostawców usług cyfrowych oznacza to wzrost liczby incydentów, większe koszty obsługi zgłoszeń oraz silniejszą presję regulacyjną.

Dla organizacji szczególnie groźne są scenariusze, w których atakujący podszywają się pod zarząd, dział finansowy lub partnera biznesowego. Tego rodzaju ataki mogą skutkować nieautoryzowanymi płatnościami, ujawnieniem danych lub naruszeniem procedur wewnętrznych.

Rekomendacje

Skuteczna obrona przed oszustwami podszywającymi się pod instytucje wymaga połączenia kontroli technicznych, edukacji użytkowników i sprawnych procedur operacyjnych. Samo wdrożenie narzędzi bezpieczeństwa nie wystarczy, jeśli organizacja nie przygotuje ludzi na realistyczne scenariusze manipulacji.

  • prowadzenie regularnych szkoleń z rozpoznawania oszustw impersonacyjnych,
  • stosowanie zasady niezależnej weryfikacji każdego żądania płatności lub zmiany danych finansowych,
  • monitorowanie kampanii podszywających się pod markę w mediach społecznościowych, reklamach i podobnych domenach,
  • wdrożenie procedur callback verification dla operacji finansowych,
  • integracja sygnałów fraudowych z pracą SOC, helpdesku i zespołów wsparcia klienta,
  • przygotowanie gotowych procedur reagowania na zgłoszenia dotyczące podejrzanych kontaktów.

Z perspektywy użytkownika końcowego kluczowe jest, aby nie wykonywać przelewów na rzekome bezpieczne konto wskazane przez rozmówcę, nie ufać samemu numerowi telefonu czy nazwie nadawcy oraz samodzielnie kontaktować się z bankiem lub urzędem przez oficjalne kanały. Presja czasu, żądanie podania kodów autoryzacyjnych i próba przeniesienia rozmowy do mniej formalnego kanału powinny być traktowane jako sygnały ostrzegawcze.

Podsumowanie

Rekordowe straty związane z oszustwami opartymi na podszywaniu się pod instytucje potwierdzają, że inżynieria społeczna pozostaje jednym z najpoważniejszych zagrożeń w obszarze cyberbezpieczeństwa i fraudu cyfrowego. Najbardziej skuteczne kampanie nie muszą łamać zabezpieczeń systemowych, ponieważ wykorzystują stres, zaufanie i autoryzowane działania samej ofiary.

Dla zespołów bezpieczeństwa oznacza to konieczność łączenia monitoringu fraudowego, edukacji, procedur weryfikacyjnych i szybkiej reakcji operacyjnej. Ochrona przed imposter scam wymaga dziś nie tylko technologii, ale również dojrzałości procesowej i wysokiej świadomości użytkowników.

Źródła

  1. https://www.bleepingcomputer.com/news/security/ftc-warns-of-record-35-billion-losses-to-imposter-scams-in-2025/
  2. https://www.ftc.gov/news-events/news/press-releases/2026/06/ftc-warns-americans-lost-record-35-billion-imposter-scams-2025
  3. https://www.ftc.gov/business-guidance/resources/government-business-impersonation-rule
  4. https://www.ic3.gov/Media/PDF/AnnualReport/2025_IC3Report.pdf