Prawie jedna trzecia reklam Meta prowadziła do oszustw, phishingu lub złośliwego oprogramowania
Spis treści
- Reklamy stworzone, aby przekonać
- Kiedy reklama staje się kanałem ataku
- Kiedy oszustwa internetowe rozprzestrzeniają się
- Jak mierzyliśmy problem
- 14,5 miliona reklam, miliardy wyświetleń, jeden wzorzec
- Dlaczego usuwanie reklam nie jest skuteczne
- Niewielka liczba reklamodawców powoduje ogromne szkody
- Co dalej
W ciągu 23 dni firma Gen Threat Labs przeanalizowała 14,5 miliona reklam wyświetlanych na platformach Meta w całej UE i Wielkiej Brytanii, co stanowi ponad 10,7 miliarda wyświetleń. Prawie jedna trzecia tych reklam (30,99%) prowadziła do oszustw, phishingu lub złośliwego oprogramowania. W sumie złosliwe reklamy wygenerowały ponad 300 milionów wyświetleń w mniej niż miesiąc. Działalność ta była bardzo skoncentrowana, a zaledwie 10 reklamodawców odpowiadało za ponad 56% wszystkich zaobserwowanych złośliwych reklam. Powtarzające się klastry kampanii zostały powiązane ze wspólnymi płatnościami i infrastrukturą powiązaną z Chinami i Hongkongiem, co wskazuje na zorganizowane działania na skalę przemysłową, a nie na pojedyncze przypadki nieuczciwych podmiotów. Czytaj dalej, aby dowiedzieć się, jak działa ten ekosystem, dlaczego istniejące środki egzekwowania prawa nie są w stanie go powstrzymać i co dane mówią o tym, kto stoi za złośliwymi reklamami na dużą skalę.
Reklamy stworzone, aby przekonać
Obecnie reklamy społecznościowe są wykorzystywane do oszustw na dużą skalę na niektórych z największych platform.
Nie chodzi tu o pojedyncze przypadki niepowodzeń polityki lub garstkę złośliwych reklamodawców, którzy wymykają się moderacji. Chodzi o system reklamowy, który jest strukturalnie atrakcyjny dla przestępców i konsekwentnie przynosi im wyniki.
W Internecie reklamy stały się jednym z najskuteczniejszych mechanizmów dostarczania oszustw, phishingu i złośliwego oprogramowania. Obecnie niebezpieczne reklamy nie wyglądają podejrzanie — są profesjonalne, znane i wydają się być dostosowane do konkretnych potrzeb użytkownika. W sieciach społecznościowych te same silniki optymalizacyjne, które zostały zaprojektowane w celu maksymalizacji zaangażowania i konwersji, są wykorzystywane do maksymalizacji liczby ofiar. Nie jest to przypadkowe.
Kiedy reklama staje się kanałem ataku
Większość ludzi nadal wyobraża sobie cyberataki jako coś, co zaczyna się od podejrzanego pliku do pobrania, podejrzanej wiadomości e-mail lub SMS-a. Coraz częściej zaczynają się one od czegoś znacznie bardziej normalnego: reklamy. Malvertising (złośliwa reklama) stał się tak popularny, ponieważ daje przestępcom to, czego pragnie każdy marketer: natychmiastowy zasięg, precyzyjne targetowanie i skalę. Telemetria Gen pokazuje, że malvertising stał się największym zagrożeniem dla osób fizycznych, stanowiąc 41% wszystkich cyberataków.
Malvertising stał się największym zagrożeniem dla konsumentów, ponieważ nie wygląda tak, jak kiedyś. Ludzie myślą, że nadal wygląda jak krzykliwe wyskakujące okienka z napisem „Jestem wirusem” lub fałszywe subskrypcje. Nowoczesny model jest cichszy i bardziej skuteczny. Jest to zestaw narzędzi inżynierii społecznej, który wtapia się w to, czemu ludzie już ufają i na co zwracają uwagę. Widzimy to wyraźnie w atakach typu „oszukaj siebie”, takich jak FakeCaptcha i ClickFix, w których ofiary są nakłaniane do wykonania zadania za atakującego, zatwierdzając monit przeglądarki, włączając powiadomienia push, kopiując i wklejając polecenia lub „weryfikując” coś, co wydaje się rutynowe. Powiadomienia push przeglądarki stały się szczególnie niezawodnym haczykiem, ponieważ jedno kliknięcie może zmienić normalną wizytę na stronie internetowej w ciągły strumień złośliwych monitów i przekierowań.
Atakujący czerpią również bezpośrednio z legalnego marketingu. Wykorzystują trendy, pośpiech i stosują sygnały wiarygodności. Obejmuje to łączenie złośliwych reklam z deepfake’ami i aktualnymi tematami, zwłaszcza w oszustwach inwestycyjnych i kryptowalutowych. Badacze Gen dokładnie udokumentowali to w kampaniach CryptoCore, w których wykorzystano filmy deepfake i przejęte konta do promowania złośliwych programów inwestycyjnych na dużą skalę.
Inną uporczywą i skuteczną taktyką jest podszywanie się pod inne osoby. Cyberprzestępcy kupują reklamy w głównych sieciach reklamowych (w tym reklamy w wyszukiwarkach), aby podszywać się pod zaufane marki. Skutki tego są różne — od złośliwych przekierowań do stron phishingowych po pobieranie plików drive-by, w ramach którego złośliwe oprogramowanie jest instalowane jako część ścieżki kliknięcia reklamy, często bez wiedzy ofiary, która dowiaduje się o tym dopiero później.
Złośliwe reklamy nie ograniczają się do podejrzanych zakątków sieci. Nawet najbardziej zaufane strony internetowe mogą nieświadomie wyświetlać złośliwe reklamy, ponieważ są one dostarczane za pośrednictwem złożonych, zautomatyzowanych łańcuchów dostaw. W efekcie złośliwe reklamy stały się szybkim i skutecznym sposobem oszukiwania i wyłudzania informacji od użytkowników. Badania Gen dotyczące platform mediów społecznościowych pokazują, że złośliwe reklamy stanowią około 30% przypadków oszustw obserwowanych w sieciach społecznościowych, co czyni je jednym z najczęstszych zagrożeń, z jakimi spotykają się użytkownicy w kanałach informacyjnych i reklamach.
Jeśli złośliwe reklamy są obecnie jednym z głównych sposobów, w jaki przestępcy docierają do ofiar, to mierzenie tego, co dzieje się w głównych ekosystemach reklamowych, jest nie tylko interesujące, ale wręcz konieczne.
Kiedy oszustwa internetowe rozprzestrzeniają się
Odkryliśmy nie tylko wzrost, ale także niekontrolowane rozprzestrzenianie się. To, co zaczyna się jako odosobnione oszustwo ukryte w nieznanym zakątku sieci, nie pozostaje tam. Rozprzestrzenia się, mutuje i osadza się w kanałach, z których codziennie korzystają miliardy ludzi. Reklama internetowa, niegdyś narzędzie łączące konsumentów z produktami i usługami, stała się częścią powierzchni ataku.
Rodzina aplikacji Meta, w tym Facebook, Instagram, Threads, WhatsApp i Messenger, dociera do zadziwiającej liczby osób. W drugim kwartale 2025 r. Meta poinformowała, że codzienna liczba aktywnych użytkowników na wszystkich jej platformach osiągnęła około 3,48 miliarda na całym świecie. Kiedy tak duży system staje się bramą dla oszustw, wpływ nie jest już izolowany.
Infrastruktura oszustw nie działa równolegle do tych platform. Działa poprzez nie, wykorzystując ich sygnały zaufania, mechanizmy angażowania użytkowników i możliwości targetowania, aby szybko się rozprzestrzeniać.
Jak mierzyliśmy problem
Nasze laboratorium Gen Threat Labs wiedziało, że reklamy Meta stanowią problem i postanowiło zmierzyć ich dokładną skalę. Zamiast ścigać poszczególne przykłady oszustw, stworzyliśmy wielkoskalowy system pomiarowy oparty na interfejsie API Meta Ad Transparency, który zapewnia wgląd w reklamy, które są obecnie aktywne lub były ostatnio aktywne na platformach Meta. Każdego dnia zbieraliśmy reklamy, które były aktywne lub były ostatnio aktywne, zawierały tekst w języku angielskim i były dostarczane użytkownikom w regionach objętych biblioteką Meta Ad Transparency Library, głównie w UE i Wielkiej Brytanii. Chociaż same reklamy często promowały treści przeznaczone dla globalnej publiczności, nasza analiza skupiała się na reklamach widocznych w ramach systemu przejrzystości, a nie na próbach wnioskowania o kierowaniu reklam poza tym, co wyraźnie ujawnia API. Celowo unikaliśmy dalszego zawężania zakresu, aby uchwycić, jak złośliwe reklamy zachowują się na dużą skalę, a nie tylko w oczywistych skrajnych przypadkach.
Praca ta powstała, ponieważ regulacje wymusiły przejrzystość. W UE i Wielkiej Brytanii wymogi dotyczące przejrzystości reklam ujawniają zachowania reklamodawców w sposób, który nie może być powielony gdzie indziej, umożliwiając niezależną ocenę złośliwych reklam na skalę przemysłową. Tam, gdzie nie ma takich regulacji, złośliwe działania nie znikają, po prostu trudniej je zmierzyć. Przejrzystość nie powoduje nadużyć, a jedynie je ujawnia.
W tej analizie skupiliśmy się na reklamach skierowanych do konsumentów i nie gromadziliśmy ani nie analizowaliśmy celowo reklam politycznych. Reklamy polityczne są zgłaszane przez reklamodawców, więc chociaż niektóre z nich mogą nadal pojawiać się w zbiorze danych z powodu błędnej klasyfikacji, nie były one przedmiotem niniejszego badania.
Nawet przy tych ograniczeniach zbiór danych szybko stał się ogromny.
14,5 miliona reklam, miliardy wyświetleń, jeden wzorzec
W ciągu 23 dni zebraliśmy 14,57 miliona reklam, co stanowi 10,76 miliarda wyświetleń w całej UE i Wielkiej Brytanii. Nawet jako częściowy obraz ekosystemu, skala była niemożliwa do zignorowania.
Korzystając z technologii analizy i klasyfikacji, zidentyfikowaliśmy reklamy wskazujące na infrastrukturę związaną z oszustwami w handlu elektronicznym, kampaniami phishingowymi, dystrybucją złośliwego oprogramowania i innymi zagrożeniami dla konsumentów. Pozwoliło nam to wyjść poza tekst reklamy i zbadać, do czego faktycznie kierowani byli użytkownicy.
Wyniki nie były subtelne. 4,51 mln reklam w naszym zbiorze danych zostało zidentyfikowanych jako związane z oszustwami, co oznacza, że prawie jedna trzecia reklam (30,99%) odsyłała do infrastruktury służącej do oszustw. W sumie te złośliwe reklamy wygenerowały 143,8 mln wyświetleń w UE i 304,11 mln wyświetleń w UE i Wielkiej Brytanii w ciągu niecałego miesiąca.
Nie jest to przypadek wyjątkowy. Jest toniesamowita liczba.
Dlaczego usuwanie reklam nie jest skuteczne
Sama wielkość nie wyjaśnia, dlaczego problem ten nadal istnieje. Przyjrzeliśmy się więc zachowaniom w czasie.
W całym zbiorze danych wielokrotnie obserwowaliśmy, jak oszuści ponownie wykorzystywali tę samą infrastrukturę, identyczne domeny i niemal identyczne teksty reklam w wielu kampaniach. W wielu przypadkach, gdy jedna reklama znikała z biblioteki reklam z powodu naruszenia zasad, inne reklamy wykorzystujące tę samą domenę i komunikaty pozostawały aktywne do momentu naturalnego wygaśnięcia kampanii.
Z zewnątrz wydaje się, że egzekwowanie przepisów dotyczących złośliwych reklam ma charakter reaktywny. Reklamy są usuwane pojedynczo, często po zgłoszeniach lub przeglądach, podczas gdy powiązane kampanie wykorzystujące tę samą infrastrukturę są nadal realizowane. Nawet gdy elementy oszustwa są ponownie wykorzystywane na dużą skalę, uogólnienie wydaje się powolne, nawet jeśli są one dostarczane przez tego samego reklamodawcę.
Nie mamy wglądu w wewnętrzne sygnały wykrywania Meta, więc staramy się nie przypisywać intencji. Jednak obserwowalny wynik jest jasny: znane elementy składowe oszustw często pozostają użyteczne długo po usunięciu jednego przypadku.
W tej skali to rozróżnienie ma znaczenie.
Niewielka liczba reklamodawców powoduje ogromne szkody
Skala pokazuje nam, jak duży jest problem. Egzekwowanie przepisów pokazuje nam, dlaczego problem ten nadal istnieje.
Aby jednak zrozumieć, kto faktycznie powoduje szkody, zadaliśmy inne pytanie: czy złośliwe reklamy są tworzone przez niezliczoną liczbę małych podmiotów, czy przez mniejszą liczbę bardzo aktywnych grup przestępczych?
Odpowiedź była jasna.
Reklamy złośliwe były również bardzo skoncentrowane. Tylko 10 największych złośliwych reklamodawców odpowiadało za 56,1% wszystkich złośliwych reklam, co stanowiło 2,53 mln unikalnych złośliwych reklam i 57,92 mln wyświetleń. Stosunkowo niewielka liczba podmiotów reklamowych była odpowiedzialna za większość zaobserwowanych szkód.
Reklamodawcy ci nie są anonimowymi hobbystami. Są to zorganizowani, wytrwali operatorzy prowadzący kampanie na skalę przemysłową.
Wielokrotnie śledziliśmy klastry kampanii, dochodząc do płatników i infrastruktury powiązanej z Chinami i Hongkongiem, obsługujących floty krótkotrwałych stron tworzonych prawie wyłącznie w celu wyświetlania reklam. Zachodnie marki i angielskie witryny sklepowe zmieniały się szybko, podczas gdy płatnicy i beneficjenci zmieniali się lub całkowicie znikali z ujawnionych informacji. Nie zmieniały się natomiast mechanizmy: te same domeny, wzorce adresów URL i zachowania reklam pojawiały się ponownie u rzekomo niepowiązanych reklamodawców.
Co dalej
Same liczby są niepokojące. Miliony złośliwych reklam. Setki milionów wyświetleń. Niewielka liczba podmiotów powoduje nieproporcjonalne szkody, wielokrotnie i na dużą skalę.
Nie chodzi tu o niedoskonałą moderację. Chodzi o system, który w praktyce pozwala atakującym działać szybciej niż ograniczenia są w stanie nadążyć. W następnym wpisie na blogu przejdziemy od pomiarów do mechanizmów. Przedstawimy techniki stosowane przez oszustów do ukrywania złośliwych reklam na widoku, w tym sposoby manipulowania wyświetlanymi adresami URL, łańcuchami przekierowań, mieszaniem złośliwych linków z legalnymi oraz wykorzystywaniem ograniczeń samych narzędzi zapewniających przejrzystość.
Zrozumienie skali problemu to tylko pierwszy krok. Zrozumienie, dlaczego problem ten nadal istnieje, pozwala go rozwiązać.
Materiał przygotowany przez CORE - Norton, Avast i AVG w Polsce