Oszustwa reklamowe na dużych platformach internetowych

cert.pl 2 tygodni temu

Sekretny sposób na zarabianie pieniędzy wyjawiony przez celebrytę, czy możliwość wzbogacenia się na rządowym programie inwestowania w spółki państwowe – takie informacje umieszczane przez oszustów w reklamach, które znajdujemy na platformach społecznościowych mają skłaniać do kliknięcia w linki prowadzące do stron, których celem jest nam zaszkodzić. Emocje przykuwają uwagę, dlatego niektóre z tych treści są szokujące: przerobione zdjęcia celebrytów – pokazujące ich nagich, pobitych, w szpitalach czy po wypadkach. Nagrania udające, iż pochodzą z telewizji informacyjnej lub znanego portalu z wiadomościami. Wszystko po to, żeby nami wstrząsnąć, zaniepokoić, zaciekawić i skłonić do podążenia ścieżką przygotowaną przez cyberprzestępców.

Dlatego CERT Polska bez przerwy monitoruje działania oszustów – wyszukuje reklamy i reaguje. W procesie ich identyfikacji nieocenione są też zgłoszenia, które każdy może przesłać do CERT Polska dzięki formularza https://incydent.cert.pl. Tylko w 2023 roku, CERT Polska zablokował 80 tys. domen szkodliwych domen, w tym 32 tys. domen związanych z fałszywymi inwestycjami. Każdego dnia na Listę trafiają kolejne oszukańcze witryny. Średnio to dziennie ponad 250 stron, które analitycy CERT Polska jednoznacznie oceniają jako takie, których zadaniem jest oszukiwanie Polaków. Dostęp do tych stron jest następnie blokowany – w zeszłym roku uniemożliwiono wejście na strony z Listy 50 mln razy, w tym roku zablokowaliśmy już 75 mln takich prób.

Warto podkreślić, iż jedynymi podmiotami, które mogą skutecznie ograniczyć zasięgi oszustów są platformy reklamowe należące do gigantów technologicznych jak Meta (Facebook, Instagram) czy Google.

Jednakże pomimo istnienia mechanizmów raportowania szkodliwych reklam, w praktyce platformy obsługują zgłoszenia z dużym opóźnieniem albo odrzucają je, szczególnie gdy zgłoszenia pochodzą od zwykłego użytkownika. W efekcie ciężar filtrowania treści przerzucany jest na zewnętrzne podmioty, takie jak dostawcy usług telekomunikacyjnych i zespoły CSIRT takie jak CERT Polska czy CSIRT KNF, który działając na rzecz sektora finansowego, także wspiera nas w oznaczaniu i zgłaszaniu tego rodzaju treści.

W ramach naszych obserwacji dostrzegliśmy, iż problem reklam jest znacznie szerszy i dotyczy, najogólniej mówiąc, reakcji platformy na oszukańcze treści. Mamy tu na myśli m.in. to, iż konta z których wielokrotnie publikowane są złośliwe reklamy często nie są blokowane i przestępcy mogą korzystać z nich dalej bez przeszkód.

W dalszej części artykułu opiszemy dokładnie naturę problemu oraz co mogłyby robić wielkie platformy w celu ochrony swoich użytkowników.

Oszustwa reklamowe i fałszywe inwestycje

Duże platformy internetowe takie jak wyszukiwarki i serwisy społecznościowe są coraz częściej wykorzystywane jako agregatory treści i źródło wiedzy. Portale te korzystają z wielu mechanizmów (tzw. “algorytmów”), które profilują użytkowników i dopasowują wyświetlane treści do ich zainteresowań.

Jednocześnie, twórcy treści chcą, aby ich informacja wyświetliła się jak najszerszemu gronu. W związku z tym platformy oferują usługi reklamowe, takie jak “posty sponsorowane”, które po uiszczeniu opłaty pozwalają dotrzeć do szerszego grona użytkowników niż poprzez standardowe posty. Narzędzia oferowane twórcom reklam oferują wiele opcji, pozwalających na spersonalizowanie reklamy i na wyświetlenie wersji dopasowanej do wieku, płci, pochodzenia lub zainteresowań odbiorcy.

Analogicznie w wyszukiwarkach internetowych funkcjonuje mechanizm “linków sponsorowanych”, które pozycjonowane są jako pierwsze wyniki przy wyszukiwaniu odpowiednich słów kluczowych, wskazanych przez reklamodawcę.

Mechanizmy reklamowe są aktywnie wykorzystywane przez oszustów, którzy za ich pośrednictwem szeroko dystrybuują linki do oszukańczych stron internetowych. Jednym z powszechnych oszustw są w tym przypadku fałszywe inwestycje. Posty starają się zachęcać użytkowników do kliknięcia poprzez sensacyjne i krzykliwe nagłówki, szokujące fałszywe newsy, a także podszywając się pod znane portale informacyjne. Aby podbić zainteresowanie postem, oszuści wykorzystują wizerunki znanych osób publicznych i autorytetów takich jak lekarze, dziennikarze czy przedsiębiorcy.

Po kliknięciu w link, użytkownik prowadzony jest do strony z informacjami o rzekomej inwestycji i formularzem kontaktowym. Po jego wypełnieniu, na podany numer telefonu oddzwania podstawiony “konsultant”, który nakłania użytkownika do podpisania umowy, zarejestrowania konta na fałszywej platformie i przelewu środków.

Zrzut ekranu ze strony fałszywej platformy inwestycyjnej ”Infinity Bitwave”.

W dalszych etapach oszustwa, użytkownicy nakłaniani są do zainstalowania systemu pozwalającego na zdalny dostęp do telefonu i komputera. Opis najczęstszych schematów oszustwa można znaleźć między innymi na stronie Komisji Nadzoru Finansowego. W efekcie, ofiary doprowadzane są do strat pieniędzy, czasem sięgających ponad miliona złotych. Oprócz utraconych oszczędności, ofiary często muszą również mierzyć się ze spłatą zaciągniętych przez przestępców pożyczek i kredytów, a także wykorzystaniem ich tożsamości w celu oszukania kolejnych osób.

Przezorni użytkownicy czasem podejmują próbę zweryfikowania czy dana platforma jest prawdziwą platformą inwestycyjną np. poprzez wyszukanie opinii w wyszukiwarce Google. zwykle trafiają wtedy na wysoko pozycjonowane linki do fałszywych recenzji, które mają na celu uwiarygodnienie platformy.

Fałszywe recenzje platformy "Infinity Bitwave" wysokopozycjonowane w wyszukiwarce Google.

Liczne “recenzje” można odnaleźć również na platformie YouTube np. w postaci deepfake’ów wykorzystujących wizerunek i głos znanych polskich przedsiębiorców i influencerów.

Fałszywa recenzja platformy "Infinity Bitwave" wykorzystująca wizerunek znanego przedsiębiorcy Rafała Brzoski.

Duża liczba reklam i treści uwiarygadniających oszustwo sprawia, iż przestępcom udaje się skutecznie przekonać niektórych użytkowników do wzięcia udziału w fałszywej inwestycji.

CERT Polska ostrzega o tym problemie co najmniej od 2020 roku, gdy pisaliśmy o fałszywych stronach bankowości elektronicznej pojawiających się w sponsorowanych linkach w wyszukiwarce Google. W 2022 roku CSIRT KNF ostrzegał o pojawiających się sponsorowanych postach na Facebooku wykorzystujących wizerunki polskich piłkarzy do promowania fałszywych inwestycji. W 2023 roku ostrzegaliśmy o linkach w Google prowadzących do fałszywych platform inwestycyjnych.

Z każdym rokiem można zaobserwować coraz większe nasilenie tego typu incydentów. W 2023 roku CSIRT KNF zgłosił do platform ponad 7,5 tys. reklam. W raporcie rocznym CSIRT KNF za 2023 rok znajdują się dokładne statystyki z podziałem na miesiące i wykorzystywane wizerunki w oszukańczych reklamach.

Wykres z raportu rocznego CSIRT KNF za 2023 rok przedstawiający liczbę zgłoszonych reklam do CSIRT NASK

W 2023 roku CSIRT NASK zablokował dzięki Listy Ostrzeżeń ponad 32 tys. domen związanych z fałszywymi inwestycjami.

Inne kampanie wykorzystujące reklamy i posty na mediach społecznościowych

Problem oszukańczych reklam nie zawęża się wyłącznie do fałszywych inwestycji. CERT Polska obserwuje również kampanie phishingowe, mające na celu wyłudzić od użytkowników dane do logowania lub skłonić do wykonania przelewu pieniędzy. Obserwowane są również kampanie związane ze sprzedażą cudownych “leków” i suplementów diety. Wspomniane reklamy wykorzystują podobne techniki przyciągania uwagi użytkowników i omijania moderacji treści do tych stosowanych w przypadku reklam inwestycji.

Reklamy “cudownych leków” i suplementów diety

W 2024 roku zauważyliśmy pojawienie się reklam produktów medycznych, które reklamowane są z wykorzystaniem podobnych technik, jak miało to miejsce w przypadku oszustw inwestycyjnych. Reklamy najczęściej wykorzystywały wizerunek lekarzy jako autorytetów medycznych zaświadczających o skuteczności danego leku, a także dziennikarzy rzekomo prowadzących materiał w dzienniku informacyjnym.

Strony, do których prowadziły reklamy najczęściej imitowały popularne strony informacyjne takie jak np. TVP Info lub podszywały się pod informacyjne strony rządowe np. Ministerstwa Zdrowia.

Fałszywe reklamy, wykorzystujące wizerunek lekarzy w celu promocji suplementów.

Fałszywe zbiórki dla ofiar powodzi z września 2024 roku

Dla oszustów nie ma tematów tabu, a każda tragedia to okazja do zysku. W kampaniach pojawił się również motyw powodzi. Klęska spowodowała znaczące straty na terenie m.in. województwa dolnośląskiego, w związku z czym uruchomiono wiele zbiórek i akcji pomocowych. Jedna z kampanii, stosując posty sponsorowane, propagowała fałszywą zbiórkę rzekomo zorganizowaną przez WOŚP.

Przykład oszustwa wykorzystującego motyw powodzi.

Reklamy wykorzystujące materiały erotyczne i pornograficzne

W reklamach odnotowaliśmy również wykorzystanie materiałów pornograficznych w celu promocji środków na potencję. Reklamy te wykorzystywały podobne techniki tzw. “cloakingu” co reklamy promujące fałszywe inwestycje. Mimo tego, iż reklamy przedstawiały wprost treści pornograficzne, często nie były blokowane przez platformę Meta przez wiele tygodni.

Reklamy zawierające treści pornograficzne, nakłaniające do zakupu środków na potencję.

Wykorzystywanie wizerunków celebrytów w reklamach na platformach firmy Meta

W ramach badań tego zjawiska, dostrzegliśmy wykorzystanie wizerunku ponad 139 osób publicznych, w tym polityków, dziennikarzy, sportowców, lekarzy i influencerów. Reklamy zawierały spreparowane grafiki lub filmy szerzące fałszywe informacje na temat rzekomej śmierci, kompromitującej sytuacji lub ujawnionego spisku, aby skłonić użytkownika do wejścia na stronę. Ten mechanizm przynosi straty wizerunkowe po stronie osób, których wizerunek został wykorzystany w nieuprawiony sposób, ale jest także niezwykle groźny społecznie. Zaufanie, którym obserwujący obdarzają swoich idoli, było nadużywane i wykorzystywane do budowania autorytetu, a finalnie do okradania nieświadomych użytkowników, którzy za swoje straty finansowe obwiniali tych, których “twarzy” użyli oszuści.

Dobrym sposobem na zwrócenie uwagi ludzi jest wykorzystanie znanych twarzy.

Cloaking - jak przestępcy omijają automatyczne weryfikacje

Platformy starają się weryfikować treści, ale oszuści stosują tak zwany “cloaking” czyli zestaw metod, które pozwalają wyświetlić mechanizmom weryfikacyjnym inną stronę lub inną reklamę niż użytkownikom.

Zaobserwowaliśmy, iż w tym celu przestępcy sprawdzają m.in.:

  • nagłówek User-Agent identyfikujący z jakiej przeglądarki i jakiego systemu operacyjnego jest odwiedzana strona
  • nagłówek Referer, który identyfikuje z jakiej strony użytkownik wszedł na stronę reklamową (bezpośrednio czy poprzez kliknięcie w link na Facebooku)
  • adres IP – znane adresy IP należące do NASK czy KNF, ale także do Facebooka czy Google są automatycznie blokowane.

Jeśli parametry te nie pasują do typowego użytkownika internetu i mogą wskazywać na analityka lub bota, następuje przekierowanie do strony, która wygląda na zwykły, niegroźny portal. Przykładowo, jeżeli klikniemy w link reklamowy i strona uzna, iż jesteśmy botem – przekierowywani jesteśmy do przygotowanej przez oszustów statycznej strony rzekomego zespołu zajmującego się coachingiem biznesowym. Jeśli natomiast skorzystamy z odpowiedniej przeglądarki i bardziej typowego adresu IP, otrzymamy przekierowanie na adekwatną stronę.

Ta sama reklama odwiedzona z przeglądarki na systemie Linux i Windows.

Metody cloakingu stosowane w wyszukiwarkach reklam (Ad Library)

Reklamy na platformach wyświetlają się użytkownikom w zależności od decyzji “algorytmu”, stąd wyszukiwanie takich treści w tzw. feedzie jest znacząco utrudnione. Użytkownicy nie mają również przystępnej możliwości do zalinkowania wyświetlonego im posta bądź linku sponsorowanego. Na szczęście, niektóre platformy oferują Biblioteki reklam, takie jak Ad Library prowadzone przez firmę Meta.

Platformy te posiadają jednak znane błędy, które umożliwiają wyświetlenie zupełnie innej treści w Ad Library niż ta która jest wyświetlana użytkownikom.

Ad Library pozwala dowiedzieć się więcej na temat reklamy, którą widzimy.

Z poziomu reklamy, do Ad Library można przejść poprzez wybranie opcji “Dlaczego widzę tę reklamę”, następnie “Wybór reklamodawców”, a potem opcję “Wyświetl szczegóły reklamy w bibliotece reklam Meta”.

Niestety, w bibliotece reklam widnieje często zupełnie inna treść niż wyświetlana w oryginalnym poście, ponieważ reklama posiada kilka wersji. Stosowanie wielu wersji reklamy ma na celu obejście mechanizmów weryfikacyjnych. jeżeli wszystkie wersje reklamy zostały poprawnie zaindeksowane w Ad Library, czasem udaje się wśród wersji odnaleźć adekwatną treść.

Demonstracja wykorzystania wielu wersji reklam w celu utrudnienia pracy analityków.

Jednak nie zawsze jest to możliwe, ponieważ zarówno reklamy, jak i ich nowe wersje indeksowane są z opóźnieniem, czasem sięgającym 24 godzin. Jednocześnie, niezaindeksowane wersje są już w tym czasie wyświetlane użytkownikom. Stąd często w Ad Library widnieje przez dłuższy czas wyłącznie jedna wersja reklamy, z alternatywną grafiką. Czasem zdarza się również, iż żadna z wersji reklamy nie zostaje zaindeksowana w Ad Library, pomimo, iż reklama jest wyświetlana użytkownikom. W takiej sytuacji użytkownik biblioteki reklam otrzymuje komunikat, iż reklama nie pozostało dostępna.

Niepoprawna wersja reklamy i brak reklamy w Ad Library po przejściu do biblioteki dzięki opcji
"Wyświetl szczegóły reklamy w bibliotece Meta"

Możliwość odnalezienia reklamy 24 godziny po jej dodaniu to zdecydowanie za późno. Według statystyk, ponad 50% ofiar kampanii phishingowych podaje swoje dane już w ciągu pierwszej godziny, a średni czas trwania kampanii – od pierwszej do ostatniej ofiary – to 21 godzin. Czas reakcji jest kluczowy, dlatego przykładowo np. rekomendujemy aktualizację naszej listy co 5 minut.

Nowe reklamy pojawiają się codziennie, często przy użyciu tych samych stron w ramach platformy Facebook. Na platformie Ad Library po odznaczeniu filtra “Aktywne reklamy” można często zauważyć, iż w starszych reklamach stwierdzono naruszenie Standardów dotyczących reklam, ale profil przez cały czas ma możliwość ich publikowania.

Przykład profilu publikującego rozpoznane przez Meta niewłaściwe reklamy, który przez cały czas ma możliwość publikowania reklam.

Metody cloakingu polegające na manipulacji treścią reklamy

Przestępcy starają się również aktywnie zmylić algorytmy weryfikujące. Jedna z wykorzystywanych technik polega na umieszczaniu adekwatnej treści w ramach większego obrazu. Następnie przy wykorzystaniu funkcji oferowanych przez Menedżer reklam, docelowym użytkownikom pokazywany jest wyłącznie fragment zawierający reklamę.

Przykład techniki cloakingu polegającej na umieszczaniu reklamy w ramach większego obrazu.

Techniką stosowaną w przypadku filmów jest przeplatanie filmu pojedynczą klatką niezwiązaną z treścią reklamy, tak aby ciężej było odnaleźć odpowiednią wersję reklamy w Bibliotece reklam. Inną stosowaną metodą jest tworzenie bardzo długich filmów (np. o długości 30 minut), gdzie główna treść znajduje się na początku materiału wideo, a reszta stanowi zapętlony statyczny obraz lub niepowiązany z treścią, zapętlony film.

Film reklamowy z alternatywną miniaturą umieszczoną na początku filmu.

Mechanizmy reklam na platformie Facebook pozwalają również na umieszczenie innej domeny w podsumowaniu reklamy niż ta na którą w rzeczywistości jest kierowany użytkownik. Jest to aktywnie wykorzystywane przez przestępców, którzy umieszczają w reklamie wiarygodną domenę np. gazeta[.]pl.

Jednocześnie, pomimo wyświetlanego “gazeta.pl”, użytkownicy kierowani są pod link zawierający inną domenę. Zauważyliśmy, iż umieszczenie innego wyświetlanego linku niż docelowy jest funkcją Menedżera reklam, który pozwala ustawić inny wyświetlany link bez weryfikacji czy faktycznie jest on związany z docelowym adresem.

Przykład wykorzystania funkcji Menedżera reklam do umieszczenia fałszywej domeny w opisie reklamy

Reagowanie platform na zgłoszenia użytkowników

Platformy posiadają możliwość zgłoszenia złośliwej reklamy. Platformy firmy Meta pozwalają na wybranie opcji “Zgłoś reklamę”, która umożliwia zgłoszenie oszukańczej treści. Jednocześnie użytkownicy zgłaszają nam, iż ich zgłoszenia do firmy Meta często nie są przyjmowane i zostają zamknięte po 7 dniach ze statusem “Nie usunęliśmy reklamy”.

Przykład braku reakcji portalu Facebook na liczne zgłoszenia oszukańczych reklam.

W celu weryfikacji, od stycznia do listopada 2024 testowaliśmy zgłaszanie reklam, które uznaliśmy za oszustwo z poziomu standardowego konta użytkownika Facebook. Ze 122 zgłoszonych tak złośliwych reklam, tylko 10 zostało usuniętych. Dokładniej, w 106 przypadkach (86,8%) zgłoszenia zostały zamknięte ze statusem “Nie usunęliśmy reklamy”, w 10 przypadkach reklama została usunięta, zaś w 6 nie otrzymaliśmy odpowiedzi zwrotnej.

Podobne kampanie zaobserwowane w innych krajach

Kampanie oszustów z wykorzystaniem dużych platform internetowych nie ograniczają się wyłącznie do polskich użytkowników. Liczne doniesienia medialne wskazują, iż podobne działania zaobserwowano praktycznie na całym świecie m.in. w krajach nadbałtyckich (Litwa, Estonia), w Danii, Australii, Nowej Zelandii, Japonii i Korei Południowej.

Szczególnej uwadze warto poświęcić analizę przeprowadzoną przez portal debunk.org, który w dwuczęściowym artykule opisuje przypadki wykorzystania wizerunków znanych portali informacyjnych i celebrytów w reklamach publikowanych na platformach Meta:

Podsumowanie

CERT Polska obserwuje coraz większe wykorzystanie platform reklamowych przez oszustów do dystrybucji oszukańczych treści. To wyzwanie, ponieważ oszuści nauczyli się wykorzystywać techniczne słabości tych platform do omijania wbudowanych mechanizmów moderacji.

Rosnące od wielu lat natężenie zagrożeń związanych z reklamami wskazuje, iż problem ten nie jest w odpowiedni sposób adresowany przez właścicieli platform. Firma Meta regularnie publikuje raporty, które przedstawiają, iż ponad 99% fałszywych kont jest wychwytywanych przez Meta, a jedynie ułamki procentów są zgłaszane przez użytkowników. Nawiązywane są również liczne współprace z instytucjami walczącymi z cyberprzestępczością i dezinformacją, takie jak np. inicjatywa FIRE, czyli kooperacja Meta z bankami w Wielkiej Brytanii.

Jednocześnie widzimy, iż zgłoszenia użytkowników nie są rozpatrywane z należytą starannością, co może być przyczyną ich niewielkiego udziału procentowego w publikowanych raportach. Mechanizmy transparentności takie jak Biblioteki reklam posiadają znane błędy wykorzystywane powszechnie przez przestępców, które powodują, iż treść reklamy nie jest widoczna w Bibliotece lub jest wyświetlana inna treść niż w rzeczywistości. Treści reklamowe dodatkowo znajdują swoje potwierdzenie w linkach sponsorowanych, które pojawiają się w odpowiedzi na odpowiednie słowa najważniejsze w wyszukiwarce Google.

Jednym z rozwiązań jakie mogą być pomocne w wychwytywaniu złośliwych stron w Polsce jest Lista Ostrzeżeń, która od 2020 roku jest wykorzystywana przez operatorów sieci telekomunikacyjnych do blokowania wejść na złośliwe strony internetowe. Każde kliknięcie w reklamę jest realizowane często poprzez tzw. “link śledzący” zanim użytkownik zostanie przekierowany do ostatecznej strony. jeżeli link śledzący nie dopuszczałby do przekierowań pod linki, których domena znajduje się na Liście Ostrzeżeń i automatycznie blokował reklamy kierujące pod takie linki, znacząco ograniczyłoby to skuteczność kampanii prowadzonych przez oszustów.

We współpracy z innymi CSIRT-ami, staramy się na bieżąco informować właścicieli platform o zagrożeniach dystrybuowanych za pośrednictwem reklam. Nasze działania nie będą jednak w pełni skuteczne bez proaktywnej postawy z drugiej strony. Na poziomie deklaratywnym wydaje się, iż ta kooperacja układa się dobrze. Patrząc jednak na rzesze oszukanych Polaków i stojące za tymi sytuacjami, często dramatyczne historie ludzi tracących majątki życia, możemy mieć poczucie, iż nasz głos, ale też głos obywateli, którzy korzystając z platform obdarzają je zaufaniem, nie jest słyszalny odpowiednio głośno.

Przykłady sponsorowanych treści tworzonych przez oszustów

Przykłady postów sponsorowanych na platformach Meta wykorzystujących wizerunek Pawła Dawidowicza i Andrzeja Dudy do reklamy fałszywej platformy inwestycyjnej
Przykład linku sponsorowanego w wyszukiwarce Google pojawiającego się na pierwszym miejscu przy wyszukaniu frazy ”orlen inwestowanie”
W celu uwiarygodnienia przekazu, reklamy prowadzą do stron wyglądających na zaufane.
Idź do oryginalnego materiału