W erze informacji, w której dominuje szybkość przekazu, oszuści internetowi nieustannie poszukują nowych sposobów na wyłudzanie pieniędzy. Często wykorzystują sensacyjne nagłówki, obiecując „sekretny sposób na zarabianie pieniędzy wyjawiony przez celebrytę” czy „możliwość wzbogacenia się dzięki rządowym programom inwestycyjnym”. Tego rodzaju reklamy publikowane na platformach społecznościowych mają na celu skłonienie użytkowników do kliknięcia w linki prowadzące do niebezpiecznych stron, które mogą wyrządzić krzywdę.
Oszustwa te wykorzystują emocje, aby przyciągnąć uwagę odbiorców. Wiele z tych treści jest wstrząsających; przerobione zdjęcia celebrytów wykazujące ich w tragicznych sytuacjach, a także nagrania udające relacje z telewizji informacyjnej. Wszystko to ma na celu wywołanie strachu, zaniepokojenia i ciekawości, co skutkuje większym zainteresowaniem przygotowanymi przez cyberprzestępców pułapkami.
W odpowiedzi na ten rosnący problem, CERT Polska nieustannie monitoruje działania oszustów, identyfikując i reagując na oszukańcze reklamy. W 2023 roku zablokowano już 80 tys. szkodliwych domen, w tym 32 tys. związanych z fałszywymi inwestycjami. Codziennie analitycy CERT Polska oceniają ponad 250 stron, które mają na celu oszukiwanie Polaków, skutecznie blokując dostęp do nich. W zeszłym roku użytkownicy doświadczyli 50 milionów prób odwiedzenia tych witryn, a w tym roku ta liczba wyniosła już 75 milionów.
Pomimo skutecznych działań CERT Polska, kluczową rolą w ograniczaniu zasięgów oszustów powinny pełnić platformy reklamowe, takie jak Meta (Facebook, Instagram) czy Google. Obecne mechanizmy zgłaszania szkodliwych treści często działają z opóźnieniem, a zgłoszenia od zwykłych użytkowników bywają odrzucane. To sprawia, że odpowiedzialność za filtrowanie treści spoczywa na zewnętrznych podmiotach, takich jak dostawcy usług telekomunikacyjnych oraz zespoły CSIRT, jak CERT Polska czy CSIRT KNF, które wspierają proces oznaczania i zgłaszania oszukańczych treści.
W dalszej części artykułu przyjrzymy się bliżej naturze tego problemu oraz zaproponujemy działania, które mogłyby zostać wdrożone przez wielkie platformy, aby lepiej chronić swoich użytkowników przed oszustwami.
Jak Wykorzystanie Reklam na Platformach Internetowych Stwarza Ryzyko Fałszywych Inwestycji?
Duże platformy internetowe, takie jak wyszukiwarki i serwisy społecznościowe, coraz częściej pełnią rolę agregatorów treści i źródeł wiedzy, wykorzystując zaawansowane algorytmy do profilowania użytkowników i dostosowywania wyświetlanych informacji do ich zainteresowań. W celu dotarcia do szerszego grona odbiorców, twórcy treści korzystają z usług reklamowych, takich jak posty sponsorowane czy linki sponsorowane, które umożliwiają im promowanie treści. Niestety, mechanizmy te są często wykorzystywane przez oszustów, którzy za ich pośrednictwem rozprzestrzeniają linki do fałszywych stron, w tym związanych z nieuczciwymi inwestycjami. Oszuści kuszą użytkowników sensacyjnymi nagłówkami i fałszywymi informacjami, podszywając się także pod znane portale informacyjne i publiczne osobistości, co zwiększa wiarygodność ich ofert. Po kliknięciu w link, użytkownicy prowadzeni są do stron z informacjami o rzekomych inwestycjach, gdzie zostają namawiani do wypełnienia formularzy kontaktowych. Na etapie dalszym są przekonywani do podpisania umów i dokonywania przelewów na fałszywe platformy. W miarę postępu oszustwa, ofiary są często nakłaniane do instalacji oprogramowania umożliwiającego zdalny dostęp do ich urządzeń. Oszustwa te prowadzą do znaczących strat finansowych, sięgających często ponad miliona złotych, a pokrzywdzeni często muszą także zmagać się z problemami wynikającymi z zaciągniętych przez oszustów pożyczek. Przezorni użytkownicy, próbując zweryfikować autentyczność platform inwestycyjnych, natrafiają na wysoko pozycjonowane linki do fałszywych recenzji, które mają na celu uwiarygodnienie oszustów, a także na tzw. deepfake’i na platformach takich jak YouTube. CERT Polska i CSIRT KNF już od 2020 roku ostrzegają przed tym problemem, a z każdym rokiem nasila się liczba zgłoszeń dotyczących oszukańczych treści, co potwierdzają statystyki z 2023 roku, gdzie zgłoszono ponad 7,5 tys. reklam promujących fałszywe inwestycje, a CSIRT NASK zablokował 32 tys. domen związanych z tym zagadnieniem.
Od Fałszywych Inwestycji po Phishing i Sprzedaż Cudownych Leków”
Problem oszukańczych reklam nie ogranicza się jedynie do fałszywych inwestycji. CERT Polska monitoruje również kampanie phishingowe, które mają na celu wyłudzenie od użytkowników danych logowania lub skłonienie ich do dokonania przelewów pieniędzy. Dodatkowo, obserwowane są kampanie związane ze sprzedażą cudownych „leków” i suplementów diety. W przypadku tych reklam stosowane są podobne techniki przyciągania uwagi użytkowników oraz omijania moderacji treści, jakie występują w reklamach dotyczących inwestycji.
W 2024 roku zauważono wzrost reklam produktów medycznych, które stosowały podobne techniki do tych używanych w oszustwach inwestycyjnych. Reklamy te często wykorzystywały wizerunki lekarzy jako autorytetów medycznych, potwierdzających skuteczność proponowanego leku, oraz dziennikarzy, którzy rzekomo relacjonowali te informacje w materiałach informacyjnych. Strony, na które prowadziły te reklamy, zazwyczaj imitowały popularne portale informacyjne, takie jak TVP Info, lub podszywały się pod oficjalne strony rządowe, na przykład Ministerstwa Zdrowia.
Fałszywe Zbiórki Podczas Powodzi 2024
Dla oszustów nie ma tematów tabu, a każda tragedia staje się sposobnością do zysku. W kampaniach reklamowych pojawił się motyw powodzi, która spowodowała znaczne straty między innymi w województwie dolnośląskim, co skutkowało uruchomieniem wielu zbiórek i akcji pomocowych. W ramach tej sytuacji, jedna z kampanii, korzystając z postów sponsorowanych, promowała fałszywą zbiórkę, rzekomo zorganizowaną przez Wielką Orkiestrę Świątecznej Pomocy (WOŚP).
Wykorzystanie Wizerunków Publicznych Osób w Oszustwach”
W ramach badań nad tym zjawiskiem zauważyliśmy wykorzystanie wizerunku ponad 139 osób publicznych, w tym polityków, dziennikarzy, sportowców, lekarzy i influencerów. Reklamy te zawierały spreparowane grafiki lub filmy, które szerzyły fałszywe informacje o rzekomej śmierci, kompromitujących sytuacjach lub ujawnionych spiskach, mające na celu skłonienie użytkowników do odwiedzenia stron oszustów. Taki mechanizm nie tylko powoduje straty wizerunkowe dla osób, których wizerunki zostały wykorzystane bez ich zgody, ale także stwarza poważne zagrożenia społeczne. Zaufanie, jakim obserwujący obdarzają swoich idoli, było nadużywane do budowania fałszywego autorytetu, co w efekcie prowadziło do oszustw i okradania nieświadomych użytkowników, którzy często obwiniali te publiczne osoby za swoje straty finansowe.
Cloaking i Manipulacja Treści”
Platformy starają się weryfikować treści reklamowe, jednak oszuści często stosują technikę zwaną „cloaking”, która pozwala im na wyświetlanie innym stron lub reklam niż te, które widzą użytkownicy. Obserwacje wykazały, że przestępcy wykorzystują różne metody, aby to osiągnąć. Sprawdzają między innymi:
- Nagłówek User-Agent, który identyfikuje przeglądarkę i system operacyjny, z jakiego dostępna jest strona.
- Nagłówek Referer, który określa, z jakiej strony pochodzi użytkownik (czy wszedł bezpośrednio, czy poprzez kliknięcie w link na Facebooku).
- Adres IP – znane adresy IP, należące do instytucji takich jak NASK czy KNF, a także do Facebooka i Google, są automatycznie blokowane.
Kiedy te parametry nie odpowiadają typowemu użytkownikowi internetu, wskazując na analityka lub bota, następuje przekierowanie na stronę, która wygląda na zwykły, niegroźny portal. Na przykład, jeśli klikniemy w link reklamowy i system zinterpretuje nas jako bota, zostaniemy przekierowani do statycznej strony rzekomego zespołu zajmującego się coachingiem biznesowym. Natomiast korzystając z typowej przeglądarki i adresem IP, który nie wzbudza wątpliwości, trafimy na właściwą stronę oszustów.
Wyzwania Weryfikacji Reklam na Platformach Społecznościowych: Problemy z Ad Library
Reklamy na platformach społecznościowych są wyświetlane użytkownikom w oparciu o decyzje algorytmu, co znacznie utrudnia wyszukiwanie konkretnych treści w feedzie. Użytkownicy mają ograniczone możliwości linkowania do wyświetlonych postów czy linków sponsorowanych. Na szczęście niektóre platformy, takie jak Meta, oferują Bibliotekę Reklam (Ad Library), która pozwala na zgłębianie informacji o reklamach.
Niestety, Ad Library często zawiera błędy, przez co może ukazywać zupełnie inną treść niż to, co widzą użytkownicy. Przechodząc do Ad Library poprzez opcję “Dlaczego widzę tę reklamę”, “Wybór reklamodawców” i “Wyświetl szczegóły reklamy w bibliotece reklam Meta”, użytkownicy mogą dowiedzieć się więcej o reklamie. Jednakże, z uwagi na stosowanie wielu wersji tych samych reklam, Ad Library może nie zawierać aktualnej treści. Użycie różnych wersji reklamy ma na celu obejście mechanizmów weryfikacyjnych, co sprawia, że czasem uda się odnaleźć oryginalną treść, ale nie zawsze.
Dodatkowo, reklamy oraz ich nowe wersje są indeksowane z opóźnieniem, które może wynosić nawet 24 godziny. W tym czasie użytkownicy mogą być narażeni na wyświetlanie niezaindeksowanych wersji reklam. Często zdarza się, że w Ad Library można znaleźć tylko jedną wersję reklamy, a czasem żadna z wersji nie zostaje w ogóle zaindeksowana, co owocuje komunikatem, że reklama nie jest jeszcze dostępna.
Fakt, że możliwość odnalezienia reklamy pojawia się dopiero po 24 godzinach, jest niewystarczający, biorąc pod uwagę, że ponad 50% ofiar kampanii phishingowych podaje swoje dane już w ciągu pierwszej godziny, a średni czas trwania kampanii wynosi zaledwie 21 godzin. Czas reakcji jest kluczowy, dlatego rekomendujemy aktualizację listy reklam co 5 minut. Nowe reklamy regularnie pojawiają się na platformie Facebook, a po odznaczeniu filtra “Aktywne reklamy” w Ad Library można zauważyć, że w starszych reklamach stwierdzono naruszenie Standardów dotyczących reklam, jednak ich autorzy wciąż mają możliwość ich publikacji.
Rola CERT Polska i Współpraca z Platformami”
CERT Polska obserwuje rosnące wykorzystanie platform reklamowych przez oszustów do dystrybucji oszukańczych treści. Wyzwanie to staje się coraz trudniejsze, ponieważ przestępcy nauczyli się wykorzystywać techniczne słabości tych platform, aby omijać wbudowane mechanizmy moderacji.
Od wielu lat nasilenie zagrożeń związanych z reklamami wskazuje, że problem ten nie jest odpowiednio adresowany przez właścicieli platform. Na przykład, firma Meta regularnie publikuje raporty, które pokazują, że ponad 99% fałszywych kont jest wychwytywanych przez jej systemy, a tylko ułamki procentów są zgłaszane przez użytkowników. Ponadto Meta nawiązuje liczne współprace z instytucjami zajmującymi się walką z cyberprzestępczością i dezinformacją, takimi jak inicjatywa FIRE, czyli współpraca z bankami w Wielkiej Brytanii.
Jednakże zgłoszenia użytkowników często nie są rozpatrywane z należytą starannością, co może tłumaczyć ich niewielki udział w analizowanych raportach. Mechanizmy transparentności, takie jak Biblioteki Reklam, mają znane błędy wykorzystywane przez przestępców, co powoduje, że treści reklamowe nie są widoczne lub są wyświetlane w inny sposób niż te, które rzeczywiście mają miejsce. Takie zjawisko dodatkowo potęgują linki sponsorowane, które pojawiają się w wyszukiwarce Google w odpowiedzi na określone słowa kluczowe.
Jednym z rozwiązań, które mogą pomóc w identyfikacji złośliwych stron w Polsce, jest Lista Ostrzeżeń. Od 2020 roku jest ona używana przez operatorów sieci telekomunikacyjnych do blokowania dostępu do niebezpiecznych witryn. Ponieważ każde kliknięcie w reklamę często realizowane jest przez tzw. „link śledzący”, można by zredukować skuteczność kampanii oszustów, wprowadzając mechanizm, który blokowałby przekierowania do linków znajdujących się na Liście Ostrzeżeń.
Współpracując z innymi CSIRT-ami, staramy się na bieżąco informować właścicieli platform o zagrożeniach płynących z reklam. Nasze działania jednak nie będą w pełni skuteczne bez proaktywnej postawy właścicieli platform. Na poziomie deklaratywnym ta współpraca wydaje się obiecująca, ale w obliczu licznych oszukanych Polaków i dramatycznych historii osób tracących całe swoje majątki, może pojawiać się wrażenie, że nasz głos, jak i głos obywateli, którzy obdarzają platformy zaufaniem, nie jest dostatecznie głośny i słyszalny.
Kamil Boruta – radca prawny, Oliwia Synowiec
