Oszustwa, informacje o zagrożeniach

W sieci liczącej ponad 20 000 fałszywych sklepów

autor: Stefan Dasic | 18 marca 2026 r.
Sfałszowane sklepy internetowe

Zidentyfikowaliśmy rozległą sieć fałszywych sklepów internetowych, obejmującą ponad 20 000 domen, dziesiątki współdzielonych adresów IP oraz identyczne strony sklepów, na których umieszczono różne nazwy. Istnieją one w jednym celu: aby wykraść dane dotyczące płatności i dane osobowe użytkowników. Cechą łączącą je wszystkie jest tytuł karty przeglądarki, nad którym większość ludzi nawet się nie zastanowi:„Niezrównany wybór tylko dla Ciebie”.

Wypolerowane witryny sklepowe, puste magazyny

Fałszywe sklepy to oszukańcze strony internetowe, które wyglądają i działają tak, jakby były prawdziwymi sklepami internetowymi. Znajdują się na nich oferty produktów, logo marek, opinie klientów, koszyki na zakupy oraz strony płatności, które sprawiają wrażenie sprawnych. Po prostu nigdy nie dostarczają tego, co obiecują. W niektórych przypadkach ofiary nie otrzymują nic. W innych dostają tanią podróbkę wartą ułamek ceny podanej w reklamie.

Tak czy inaczej, przedmiotem sprzedaży są Twoje dane: te fałszywe sklepy zbierają dane dotyczące płatności, adresy rozliczeniowe i dane osobowe, a następnie odsprzedają je na nielegalnych platformach handlowych lub wykorzystują je bezpośrednio do popełnienia oszustwa tożsamościowego.

Skala tego problemu gwałtownie wzrosła. Według najnowszych danych dotyczących zagrożeń liczba oszustw związanych z fałszywymi sklepami internetowymi wzrosła w pierwszym kwartale 2025 roku o 790% w porównaniu z tym samym okresem roku poprzedniego, co wynikało częściowo z obaw gospodarczych związanych z cłami handlowymi, skłaniających konsumentów do poszukiwania tańszych alternatyw.

Tylko w okresie świątecznym 2024 roku badacze zidentyfikowali ponad 80 000 fałszywych sklepów, z których wiele zniknęło lub zmieniło nazwę w ciągu kilku dni. Dane branżowe z końca 2025 roku wykazały, że fałszywe sklepy stanowiły 65% wszystkich zagrożeń zablokowanych w mediach społecznościowych, a Facebook YouTube głównymi platformami, YouTube .

Działania te stają się coraz bardziej zindustrializowane. Naukowcy udokumentowali niedawno kampanię o nazwie FraudWear – skoordynowaną akcję obejmującą ponad 30 000 fałszywych sklepów podszywających się pod ponad 350 marek odzieżowych z całego świata.

W ramach kolejnego śledztwa ujawniono serwis BogusBazaar – sieć działającą na zasadzie franczyzy, w której główny zespół zajmował się obsługą serwerów, przetwarzaniem płatności oraz infrastrukturą szablonów, podczas gdy zdecentralizowani operatorzy zakładali na tej platformie własne sklepy. Od 2021 roku sieć ta zrealizowała ponad milion zamówień w ramach 75 000 domen.

Fałszywe sklepy odnoszą sukcesy, ponieważ wykorzystują znane zachowania zakupowe: klikanie reklam, przeglądanie wyników wyszukiwania i odwiedzanie atrakcyjnie wyglądających stron. Dodatkowo wywierają presję psychologiczną, stosując oferty ograniczone czasowo, liczniki odliczające czas oraz ostrzeżenia o wyczerpujących się zapasach.

Ta sama witryna sklepowa, inne nazwy

W trakcie badania podejrzanych domen sklepów internetowych zidentyfikowaliśmy grupę ponad 20 000 witryn, które charakteryzowały się wspólnymi wzorcami infrastruktury.

Najczęściej wykorzystywano domenę najwyższego poziomu (TLD) .shop, która stała się ulubionym wyborem oszustów ze względu na niskie opłaty rejestracyjne i nazwy, które wyglądają na wiarygodne. Według danych Cloudflare dotyczących bezpieczeństwa poczty elektronicznej rozszerzenie .shop plasuje się obecnie wśród najczęściej kojarzonych z spamem i złośliwą działalnością domen najwyższego poziomu.

Analiza kodu źródłowego strony ujawniła, co łączy te witryny. Wszystkie działają na platformie WordPress i są obsługiwane przez Sellvia – legalną platformę e-commerce z siedzibą w Stanach Zjednoczonych, która umożliwia użytkownikom szybkie uruchomienie sklepu dropshippingowego dzięki gotowym szablonom, katalogom produktów oraz obsłudze płatności.

Witryny sklepów wykorzystują szablony Sellvii i pobierają zdjęcia produktów z jej sieci. Sześć „różnych” szablonów, które zaobserwowaliśmy, to w rzeczywistości tylko dwa podstawowe szablony z kosmetycznymi zmianami. Oto kilka przykładów, przedstawionych w parach, aby pokazać, jak ten sam szablon wygląda pod zupełnie różnymi nazwami marek.

Lewy obrazPrawy obraz
Lewy obrazPrawy obraz
Lewy obrazPrawy obraz
Lewy obrazPrawy obraz
Lewy obrazPrawy obraz
Lewy obrazPrawy obraz

20 000 domen, 36 adresów IP

Pomimo wizualnych podobieństw te fałszywe sklepy mają wspólną infrastrukturę. Wszystkie ponad 20 000 domen kieruje się do zaledwie 36 adresów IP.

Taki poziom koncentracji nie jest typowy dla legalnych sklepów internetowych. Jest to cecha charakterystyczna dla operacji oszustw na dużą skalę, w ramach których jedna grupa zarządza serwerami i szablonami, a poszczególni operatorzy tworzą na ich bazie nowe domeny.

Znaczna część tej aktywności skupia się wokół niewielkiej liczby zakresów adresów IP, w tym bloków w przestrzeni adresowej 207.244.x.x i 23.105.x.x. Takie skupienie wskazuje na preferencje dotyczące konkretnych dostawców usług hostingowych oraz na konfigurację nastawioną na szybkość: uruchomienie domeny, przypisanie szablonu i uruchomienie serwisu.

Odzwierciedla to model franczyzowy stosowany w innych sieciach fałszywych sklepów. Główna grupa zarządza serwerami, szablonami i systemem płatności, podczas gdy operatorzy rejestrują domeny i uruchamiają na nich witryny sklepowe. Gdy jedna strona zostanie zgłoszona lub usunięta, jej miejsce zajmuje kolejna.

Jednak ta sama architektura klastrowa stanowi również słaby punkt. Wystarczy unieruchomić niewielką liczbę serwerów, aby wyłączyć tysiące stron internetowych.

Jak uchronić się przed fałszywymi sklepami

Te fałszywe sklepy nie są niezależnymi firmami. Stanowią one część rozbudowanych, powtarzalnych operacji, których celem jest wywarcie przekonującego wrażenia, szybkie działanie i równie szybkie zniknięcie.

Jeśli strona wydaje się podejrzana, wygląda na tworzoną w pośpiechu lub jest zbyt piękna, by mogła być prawdziwa, potraktuj ją z odpowiednią ostrożnością. Kilka dodatkowych sekund poświęconych na sprawdzenie może uchronić Cię przed przekazaniem pieniędzy i danych cyberprzestępcom.

  • Skorzystaj z ochrony przeglądarki. Narzędzia takie jak Malwarebytes Browser Guard mogą blokować znane oszukańcze strony, zanim jeszcze dotrzesz do kasy.
  • Sprawdź dokładnie domenę. Zachowaj ostrożność w przypadku nieznanych końcówek, takich jak .shop, .top, .store i .xyz, zwłaszcza gdy występują one w połączeniu z ogólnymi nazwami przypominającymi nazwy marek. Jeśli nigdy nie słyszałeś o danym sprzedawcy, to już pierwszy sygnał ostrzegawczy.
  • Podchodź sceptycznie do dużych rabatów. Jeśli dany produkt jest wyprzedany wszędzie indziej, a na jednej nieznanej stronie jest mocno przeceniony, to jest to tylko przynęta.
  • Zwróć uwagę na strony, które są po prostu skopiowane i wklejone. Jeśli wiele witryn ma identyczny układ, zdjęcia produktów i banery, ale działa pod różnymi nazwami, prawdopodobnie korzystają one z tego samego szablonu. Prawdziwe sklepy nie działają w ten sposób.
  • Poszukaj niezależnych opinii. Wpisz nazwę sklepu wraz z hasłami takimi jak „opinia” lub „oszustwo”. Jeśli jedyne wyniki to strona samego sklepu, to już coś mówi.
  • Nie ignoruj swoich przeczuć. Jeśli coś wydaje ci się podejrzane, przestań. Nie podawaj danych do płatności tylko po to, żeby „zobaczyć, co się stanie”.
  • Korzystaj z bezpieczniejszych metod płatności. Karty kredytowe zapewniają lepszą ochronę niż karty debetowe. Karty wirtualne lub serwisy płatnicze mogą stanowić dodatkową barierę między Twoimi danymi a sprzedawcą.

Wskazówka dla zaawansowanych: Malwarebytes blokuje te domeny jako fałszywe.

Wskaźniki kompromisu (IOC)

Adresy IP

  • 108,59,1,151
  • 108,59,12,118
  • 108,59,14,13
  • 108,59,8,97
  • 108.62.0.220
  • 108,62,116,82
  • 108,62,117,45
  • 162.210.195.105
  • 162.210.195.113
  • 162.210.198.37
  • 162.210.199.12
  • 162.210.199.183
  • 162.210.199.235
  • 192.96.200.81
  • 198.7.58.168
  • 198.7.58.87
  • 199.115.115.2
  • 207.244.102.13
  • 207.244.109.109
  • 207.244.126.106
  • 207.244.126.19
  • 207.244.126.21
  • 207.244.67.158
  • 207.244.69.201
  • 207.244.71.143
  • 207.244.89.198
  • 207.244.91.203
  • 23,105,160,43
  • 23,105,172,14
  • 23.105.8.15
  • 23.105.8.17
  • 23.105.8.19
  • 23.08.2011
  • 23,82,13,161
  • 23,82,13,34
  • 5,79,69,45

Nie tylko informujemy o oszustwach - pomagamy je wykrywać

Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Jeśli coś wydaje Ci się podejrzane, sprawdź, czy nie jest to oszustwo, korzystając z Malwarebytes Guard. Prześlij zrzut ekranu, wklej podejrzaną treść lub udostępnij link, tekst lub numer telefonu, a my powiemy Ci, czy jest to oszustwo, czy legalna strona. Funkcja dostępna w ramach Malwarebytes Premium dla wszystkich urządzeń oraz w Malwarebytes na iOS Android.

O autorze

Stefan Dasic

Stefan Dasic

Pasjonat rozwiązań antywirusowych, Stefan od najmłodszych lat zajmuje się testowaniem złośliwego oprogramowania i kontrolą jakości produktów AV. Jako członek zespołu Malwarebytes , Stefan jest oddany ochronie klientów i zapewnianiu im bezpieczeństwa.

NAJNOWSZE ARTYKUŁY

Błędy
Apple

Firma Apple naprawiła błąd w WebKicie, który mógł umożliwić stronom internetowym dostęp do danych użytkowników

Marzec 18, 2026

Firma Apple opublikowała aktualizację zabezpieczeń w tle, która w sposób niewidoczny dla użytkownika usuwa lukę w zabezpieczeniach biblioteki WebKit (CVE-2026-20643).

Oszustwa
Fałszywa strona Pudgy World

Fałszywa strona „Pudgy World” kradnie hasła do kryptowalut

Marzec 17, 2026

Ta strona phishingowa nie jest powiązana z firmą Igloo Inc ani z grą „Pudgy Penguins”, ale została stworzona po to, by zwabić fanów i wykraść ich hasła do kryptowalut.

Mobilny
Trojański koń na kołach włamuje się do ekranu smartfona.

Google podejmuje zdecydowane działania przeciwko Android nadużywającym funkcji ułatwień dostępu

Marzec 17, 2026

Złośliwe oprogramowanie od lat wykorzystuje funkcje ułatwień dostępu Android. Firma Google znacznie utrudniła mu to zadanie.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa