Napisał do mnie "Chainlink". Omal nie pobrałem malware

Schemat który tu opisuję to wariant pig butchering scamu połączonego z malware delivery - oszustwa polegającego na budowaniu zaufania przed instalacją złośliwego oprogramowania.
Cel ataku: aplikacja spoza oficjalnego sklepu zawierająca prawdopodobnie keylogger lub RAT, czyli trojan zdalnego dostępu dający pełną kontrolę nad urządzeniem i portfelem krypto.
Atak był skrojony pod środowisko Web3 - propozycja brzmiała branżowo, komunikatory były właściwe, uzasadnienia wiarygodne.
Impersonation scamy odnotowały wzrost o 1 400% rok do roku w 2025 roku według raportu Chainalysis. Średnia wartość pojedynczej płatności w scamach krypto wzrosła o 253%.

Dostałem wiadomość na Instagramie od kogoś podającego się za przedstawiciela Chainlink. Propozycja brzmiała sensownie: podcast i płatne kursy o blockchainie. Przeszedłem na Telegram. Dołączyłem wspólnika. I wtedy zaczęło śmierdzieć.

Piszę o tym dlatego, że ten schemat był wystarczająco dobry żeby zatrzymać uwagę kogoś kto zawodowo zajmuje się krypto. Jeśli mnie nie złapał, to tylko dlatego, że znam te mechanizmy. Większość ludzi ich nie zna.

W niektórych miejsca będzie widać "puste" wiadomości. Są to zakryte dane wrażliwe, które nie zmieniają sensu komunikacji z oszustem.

Krok pierwszy: hook przez story reply

Wszystko zaczęło się od odpowiedzi na story na Instagramie. To klasyczny hook - nie wygląda jak spam, a raczej jak organiczna reakcja kogoś kto śledzi profil. Nadawca przedstawił się jako przedstawiciel Chainlink i zaproponował współpracę przy podcastach i kursach o blockchainie.

Wiadomość była konkretna i branżowa. Nie było tu nigeryjskiego księcia ani złamanego angielskiego. Był człowiek który "widział profil o krypto", i miał propozycję pasującą do tego co robię.

Krok drugi: fałszywa persona - konto bez historii

Pierwsze co powinno mnie zatrzymać: profil był pusty. Zero postów, 110 obserwujących, ogólnikowe bio po polsku, które odróżniało się od typowego branżowego żargonu. Żadnej historii aktywności.

Każda legalna firma ma pracowników z historią w mediach społecznościowych. Chainlink to globalny projekt z tysiącami aktywnych członków społeczności - ich przedstawiciele mają profile z latami aktywności, postami, komentarzami. Nowe konto bez żadnej historii to nie tylko sygnał ostrzegawczy ale ogromna red flaga, która powinna od razu wzbudzić czujność i ograniczone zaufanie.

Przypuśćmy jednak, że nie wszedłem na profil, albo zlekceważyłem to co na nim zobaczył - w końcu propozycja brzmiała konkretnie i chce się dowiedzieć o co chodzi.

To jest właśnie cel fake persony, ma przykryć słabość profilu poprzez wzbudzenie autorytetu (przecież to nieuprzejme pytać kogoś, czy faktycznie jest tym za kogo się podaje) oraz wywołanie poczucia ważności i pilności.

Krok trzeci: platformy nie działają - sztuczny chaos

Na Telegramie pojawiło się pierwsze uzasadnienie dlaczego nie możemy spotkać się na Google Meet, Zoom ani Teams: "Jesteśmy na spotkaniu w Japonii i Chinach".

Komunikat "niestety nie wszyscy z zespołu mają Telegrama pod ręką" to dodatkowy element sztucznego chaosu - tworzy poczucie że musisz działać teraz, bez weryfikacji, bo inaczej stracisz okazję.

To wiarygodne, bo Google Meet i Zoom faktycznie bywają ograniczone w Chinach. Ale zwróć uwagę na mechanizm: oszust z góry eliminuje każdy standardowy komunikator i proponuje własne rozwiązanie.

Do tego, dochodziło jeszcze wywoływanie pilności i presji w postaci wiadomości, że "wszyscy z zespołu już na czekają". Sam fakt, że spotkanie miało się odbyć "zaraz", to dodatkowy znak ostrzegawczy. Zespoły tak dużych firm, nie są dostępne ad hoc, i nie czekają na spotkanie online z potencjalnym partnerem biznesowym. Wszystko to ma za zadanie wyłączyć myślenie - "nie ma czasu na rozważania, bo teraz działamy".

Niestety nie mam już zrzutu ekranu z tego fragmentu, ponieważ tuż po nieudanej próbie, oszust od razu usnął konwersację.

Krok czwarty: fałszywa aplikacja - najgroźniejszy moment

W poprzednim kroku otrzymałem link do rozmowy przez Kakao Groups. Link wyglądał legalnie - pokazywał nawet zdjęcie rozmówcy i przycisk "Connect". Strona też wyglądała legitnie - nie jak zrobiona w parę godzin na kolanie. Dzięki AI, stworzenie dobrze wyglądającego klona istniejącej witryny www jest o wiele prostsze niż kiedyś, dlatego nie daj się zwieść profesjonalnemu designowi.

Na stronie kakaonow.com, był kulminacyjny punkt ataku. Witryna internetowa była klonem Kakao Corp - południowokoreańskiego giganta technologicznego, który faktycznie świadczy usługi płatnicze i dostarcza swój komunikator Kakao Talk.

Zwróciłem uwagę oszustowi na to, że nie mogę otworzyć spotkania online, na co on odpowiedział, że ktoś od nich też miał ten problem i musiał poprać aplikację. Przeramował moją obiekcję jako coś standardowego, co czasem się zdarza.

Na tym kroku się zatrzymałem, ponieważ wiedział że pobranie czegokolwiek z tej strony naraziłoby mnie na duże nieprzyjemności i konsekwencje. W środowisku krypto najczęstszym ładunkiem, który można pobrać z takich stron jest keylogger rejestrujący każde naciśnięcie klawisza, lub RAT, Remote Access Trojan, czyli trojan zdalnego dostępu dający atakującemu pełną kontrolę nad urządzeniem. Jeden klik i seed phrase do portfela, hasła do giełd, dane logowania - wszystko idzie do atakującego.

Chainalysis w raporcie z 2026 roku wprost wskazuje że chińskie grupy scammerskie regularnie wbudowują Stealer Malware lub trojany RAT w pozornie legalne aplikacje. Cel jest prosty: zamiast budować długą relację z ofiarą wystarczy jeden klik.

Krok piąty: zmiana tożsamości po wykryciu

Gdy przestałem odpowiadać i dałem do zrozumienia, że tutaj kończymy "zabawę", stało się coś charakterystycznego: w ciągu kilku chwil rozmówca zmienił nazwę użytkownika na Telegramie z "Mateusz Kuncewicz" na "ruh2832" i podmienił zdjęcie profilowe.

Telegram automatycznie poinformował o tych zmianach jako systemowe powiadomienia w oknie czatu. Oczywiście w mniej więcej tej samej chwili, oszust usunął też cała historię rozmowy.

To ostateczny dowód że konto było jednorazowe i celowe. Prawdziwy przedstawiciel firmy nie zmienia imienia i zdjęcia w minutę po tym gdy rozmowa idzie nie po jego myśli. Scammer zmienia, bo musi być gotowy do następnej ofiary z czystym kontem.

Co to jest pig butchering i dlaczego akurat Web3

Ten konkretny atak był wariantem pig butchering scamu, tłumaczonego dosłownie jako "ubój świni" - strategii gdzie scammer "tuczy" ofiarę zaufaniem przed "ubojem", czyli wyłudzeniem pieniędzy lub danych.

Klasyczny schemat ma trzy fazy:

Pierwsza to budowanie relacji. Czasami może to trwać nawet tygodnie lub miesiące, co często zdarza się w scenariuszach typu: "jestem atrakcyjną lekarką zza granicy w chwilowym kryzysie", albo "stacjonującym w bazie wojskowej samotnym żołnierzem".
Druga to wprowadzenie "okazji" - w moim przypadku to była współpraca biznesowa, ale może być to też inwestycja, rewolucyjne narzędzie do pomnażania pieniędzy, albo obietnica relacji i wspólnego, pięknego życia.
Trzecia to instalacja złośliwego oprogramowania (malware) poprzez pobranie komunikatora, bota tradingowego, aplikacji pozwalającej na zdalny dostęp do komputera w celu pomocy w konfiguracji czegoś. Alternatywnie, może to być bezpośrednie wyłudzenie gdy ofiara jest już dostatecznie zaangażowana. Wówczas oszust mówi, że potrzebuje "kapitał na Twoją niepowtarzalną inwestycję", "pieniędzy na przyjazd do Polski, żebyście mogli żyć długo i szczęśliwie" itp.

W moim przypadku, byłem we wczesnej fazie drugiej. Celem była instalacja złośliwej aplikacji.

Środowisko Web3 jest szczególnie atrakcyjnym celem z kilku powodów. Użytkownicy krypto mają portfele z realnym kapitałem dostępnym przez aplikacje na telefonie/ komputerze. Są przyzwyczajeni do komunikacji przez Telegram z nieznajomymi. Rozumieją że nie każda firma ma biuro w Polsce, i że praca zdalna z Azji jest normalna. Wszystko to sprawia, że granica między legalną propozycją a scamem jest tu bardzo cienka.

4 sygnały, które powinny Cię zatrzymać

Pierwszy: nowe konto bez historii. Oczywiście, nie każdy musi mieć social media, często scammerzy piszą bezpośrednio na Telegramie.

Drugi: niemożność spotkania na standardowych narzędziach. Gdy ktoś twierdzi że nie może użyć ani Google Meet, ani Zoom, ani Teams - to sygnał, że kłamie lub działa w środowisku kontrolowanym przez kogoś innego. Każde z tych narzędzi działa przez przeglądarkę bez instalacji czegokolwiek. W moim przypadku, Chiny faktycznie blokują ww. aplikacje, ale mają swoje odpowiedniki, takie jak DingTalk, czy WeCom, które również umożliwiają dostęp do spotkania bez potrzeby pobierania czegokolwiek.

Trzeci: presja czasu i sztuczny chaos. "Jesteśmy na spotkaniu", "niestety nie wszyscy mają dostęp do Telegrama/Meeta/Zooma", "nasz zespół już czeka" - te komunikaty tworzą poczucie pilności i utrudniają weryfikację. Każda legalna firma poczeka na Twoje zapytanie weryfikacyjne.

Czwarte: błyskawiczna zmiana tożsamości lub zablokowanie Ciebie. Gdy coś pójdzie nie po ich myśli, zmiana nazwy i zdjęcia następuje w minuty.

Co zrobić gdy otrzymasz podobną propozycję

Zachowaj spokój i nie daj się wciągnąć w pilność sprawy. Odpowiedz, że musisz to jeszcze przemyśleć, teraz gdzie pilnie wychodzisz, jesteś zajęty itd. Jak mawiają inwestorzy "okazja dekady, zdarza się średnio raz w tygodniu".

Weryfikuj tożsamość przed jakimkolwiek krokiem. Napisz bezpośrednio do firmy przez oficjalny chat na stronie lub maila. Zapytaj czy osoba, która się z Tobą kontaktuje u nich pracuje i czy w ogóle stosują tego typu sprzedaż.

Nigdy nie instaluj aplikacji przez zewnętrzny link. Jeśli narzędzie do spotkań wymaga pobrania spoza oficjalnego Microsoft, Apple lub Android, rozmowa kończy się w tym miejscu.

Zachowaj screenshoty i zgłoś. W Polsce możesz zgłosić próbę oszustwa do CERT Polska przez cert.pl, do CSIRT KNF jeśli sprawa dotyczy usług finansowych, oraz bezpośrednio do platformy, na której doszło do kontaktu.

Uważam że tego rodzaju ataki będą coraz trudniejsze do wykrycia w pierwszym kontakcie - bo używają realiów branży jako kamuflażu. Właśnie dlatego warto znać mechanizm zanim się na niego natknie.

Indeks Strachu i Chciwości