Menedżer Reklam na Facebooku jako niewidzialne narzędzie cyberprzestępców?
W polskiej przestrzeni online brakuje szczegółowych analiz dotyczących problematyki wykorzystywania Menedżera Reklam na Facebooku przez cyberprzestępców. Chociaż zagraniczne źródła poruszają ten temat, to jedynie pobieżnie, mimo że jest on obecnie jednym z najbardziej palących zagrożeń.
Od co najmniej ośmiu lat cyberprzestępcy dostrzegają potencjał Facebooka jako platformy do szerzenia phishingu, wykorzystując Menedżer Reklam do tworzenia fałszywych kampanii. Inwestując zaledwie 20 zł dziennie, są w stanie generować setki, a nawet tysiące „leadów” w postaci nieświadomych użytkowników.
Próby zgłaszania takich kampanii przez użytkowników najczęściej kończą się brakiem reakcji ze strony Mety, która wydaje się bardziej zainteresowana dochodami z reklam niż ochroną swoich użytkowników. W rezultacie ofiary pozostają bez wsparcia, podczas gdy oszuści nadal korzystają z narzędzi Facebooka bez większych przeszkód.
Ostatnie wydarzenia, w których fałszywa kampania reklamowa dotknęła innego dużego gracza na rynku — prezesa InPost, a w zasadzie jego żonę, mogłyby być sygnałem do bardziej zdecydowanych działań. Jednak pojawia się tu pytanie, co dalej? Czy to wystarczy, aby przerwać ten proceder, czy też potrzeba większej uwagi i presji, aby wymusić realne zmiany? Mam nadzieję, że ten artykuł rzuci światło na to, jak Menedżer Reklam Facebooka może sprzyjać tworzeniu kampanii phishingowych, i zachęci do dalszej dyskusji na ten temat.
Proceder zagraża nie tylko użytkownikom, ale i firmom korzystającym z reklam na Facebooku
Zagrożenie wynikające z nadużywania Menedżera Reklam na Facebooku dotyka nie tylko użytkowników, ale także firm korzystających z tej platformy reklamowej. Portal Marketing Hoy, tworzący newsy dotyczące marketingu i specjalizujący się w analizach digital marketingu, zauważył, że „nowy rodzaj zagrożenia zagraża zarówno użytkownikom, jak i innowacyjnym strategiom marketingowym”. Co to oznacza w praktyce? Już wyjaśniam.
Trzeba jak najszybciej zrozumieć, że problem dotyczy każdego – nawet jeśli do tej pory nie padł ofiarą ataku phishingowego ani nie doszło do podszywania się pod niego. Obecnie sytuacja może wydawać się bezpieczna, ale wkrótce może dojść do sytuacji, w której reklamy na Facebooku przestaną być wiarygodne, a odbiorcy będą je postrzegać jako potencjalne oszustwa. Już teraz można zauważyć spadek zaufania do treści reklamowych na tej platformie.
Jedna z użytkowniczek, chcąca zachować anonimowość, podzieliła się swoimi obawami: — Od kilku miesięcy podchodzę bardzo ostrożnie do promowanych treści na Facebooku. Nawet jeśli nie mam powodów, by kwestionować autentyczność reklamy, zawsze sprawdzam profil reklamodawcy i przeglądam zakładkę “Transparentność”. Moje konto jest sprofilowane pod kątem estetyki i zabiegów kosmetycznych. Jak mogę mieć pewność, że reklama, która proponuje mi np. powiększenie ust, nie okaże się oszustwem, a w przypadku niefortunnych zdarzeń, nie zostanę szantażowana i publicznie ośmieszona, bo np. chciałam skorzystać z takiej usługi? To delikatna kwestia, zwłaszcza dla kobiet, które nie chciałyby stać się obiektem drwin.
Tego typu obawy odzwierciedlają rosnący dystans do reklam na Facebooku. Mimo że wiele firm korzystających z Menedżera Reklam na Facebooku działa uczciwie i z pełną transparentnością, mogą one stać się nieświadomymi ofiarami tego procederu.
Cyberprzestępcy, wykorzystując podobne mechanizmy reklamowe, mogą stworzyć fałszywe kampanie, które wyglądają na legalne, podszywając się pod znane marki lub oferując usługi, które przypominają te promowane przez prawdziwe firmy. W rezultacie użytkownicy, którzy padną ofiarą takich oszustw, mogą stracić zaufanie do wszystkich reklam na platformie, nawet tych autentycznych.
Co więcej, gdy fałszywe kampanie reklamowe rozprzestrzenią się na Facebooku, firmy działające w pełni uczciwie mogą zostać wrzucone do jednego worka z oszustami. Potencjalni klienci, obawiając się, że mogą stać się ofiarami phishingu lub innych form nadużyć, mogą unikać interakcji z reklamami, co skutkuje spadkiem efektywności kampanii marketingowych.
W dłuższej perspektywie może to prowadzić do znaczących strat finansowych oraz uszczerbku na reputacji firmy, która, pomimo swoich najlepszych intencji i transparentnych działań, staje się ofiarą malejącego zaufania do całej platformy reklamowej.
Tego typu sytuacje podkreślają, jak ważne jest, aby Facebook jako platforma reklamowa podjął bardziej zdecydowane kroki w celu ochrony zarówno użytkowników, jak i firm, przed szkodliwymi działaniami cyberprzestępców.
Dlatego zastanawiające jest, dlaczego Meta oficjalnie nie potępia takich działań oszustów i wciąż kontynuuje model reklamowy, który umożliwia cyberprzestępcom swobodne korzystanie z Menedżera Reklam dającego opcje np. ukrywania podejrzanych linków.
Dlaczego tak trudno zidentyfikować reklamy, które są oszustwem?
“Złośliwe reklamy nie są łatwe do zidentyfikowania, ponieważ często są zamaskowane jako legalne oferty. Utrudnia to użytkownikom odróżnienie prawdziwych reklam od oszukańczych, zwiększając w ten sposób szanse na wpadnięcie w pułapkę cyberprzestępców” — czytamy na wspomnianym portalu Marketing Hoy. Już dziś zalecane jest użytkownikom, by nie pobierali plików z reklam na Facebooku oraz zachowali ostrożność w czasie interakcji z reklamami internetowymi.
Cyberprzestępcy mogą, na przykład, tworzyć reklamy, które odsyłają do stron łudząco przypominających witryny znanych marek. Tego typu fałszywe strony mogą zawierać niebezpieczne linki lub formularze, które służą do wyłudzania danych osobowych lub finansowych. Co więcej, cyberprzestępcy często korzystają z narzędzi oferowanych przez Facebooka, takich jak możliwość ukrywania pełnych adresów URL w reklamach, co dodatkowo utrudnia użytkownikom zidentyfikowanie potencjalnie niebezpiecznych treści.
Przykładem może być też przypadek, w którym reklama sugerująca korzystne warunki zakupu popularnego produktu elektronicznego, prowadziła do strony imitującej sklep internetowy. Użytkownik, przekonany o autentyczności oferty, dokonywał zakupu, po czym okazywało się, że stracił pieniądze, a produkt nigdy nie dotarł. Tego rodzaju oszustwa są trudne do wykrycia, ponieważ cyberprzestępcy stosują techniki maskowania, takie jak używanie nazw domen podobnych do legalnych lub korzystanie z certyfikatów SSL, co sprawia, że strona wygląda na bezpieczną.
Podsumujmy więc, dlaczego z trudnością przychodzi nam zidentyfikowanie reklamy, która jest oszustwem? Zebrałam osiem najczęstszych powodów:
Cyberprzestępcy często tworzą reklamy i strony internetowe, które wyglądają niemal identycznie jak te pochodzące od legalnych firm. Używają logo, kolorystyki, i stylu komunikacji znanych marek, co utrudnia użytkownikom odróżnienie fałszywej reklamy od prawdziwej.
Facebook umożliwia ukrywanie pełnych adresów URL w reklamach (przyjrzyj się zdjęciu do tego artykułu), co daje cyberprzestępcom możliwość kierowania użytkowników do złośliwych stron internetowych, bez wzbudzania podejrzeń co do adresu docelowego.
Dzięki zaawansowanym opcjom targetowania na Facebooku, oszuści mogą precyzyjnie kierować swoje reklamy do określonych grup demograficznych, które są bardziej podatne na dany typ oszustwa. To sprawia, że reklamy wydają się bardziej spersonalizowane i wiarygodne.
Coraz więcej fałszywych stron używa protokołu HTTPS, który w przeszłości był uważany za wskaźnik bezpieczeństwa. Widząc kłódkę przy adresie URL, wielu użytkowników błędnie zakłada, że strona jest bezpieczna. Mowa oczywiście o stronach, do których reklama na Facebooku kieruje.
Oszuści często zamieszczają na swoich stronach fałszywe recenzje i opinie, które mają na celu przekonanie użytkowników o legalności oferty. Takie recenzje mogą dodatkowo budować zaufanie i skłaniać do dokonania zakupu.
Cyberprzestępcy często uruchamiają swoje kampanie na krótki czas, zanim zostaną zgłoszone i zablokowane. Dzięki temu mogą oszukać dużą liczbę osób w krótkim czasie, zanim organy nadzoru zareagują.
Złośliwe reklamy mogą korzystać z dynamicznych treści, które zmieniają się w zależności od lokalizacji użytkownika lub innych czynników. To sprawia, że trudno je zidentyfikować i zgłosić, ponieważ wyglądają różnie dla różnych osób.
Oszuści wykorzystują socjotechniki, aby wzbudzić emocje, takie jak pilność („oferta ograniczona czasowo”), strach (np. ostrzeżenie przed wygaśnięciem konta), czy chciwość („niezwykła okazja cenowa”), co sprawia, że użytkownicy podejmują pochopne decyzje, nie analizując dokładnie treści reklamy.
Analiza Menedżera Reklam na Facebooku
Tworzenie kampanii reklamowej na Facebooku za pomocą Menedżera Reklam to proces, który składa się z kilku etapów. Każdy z tych etapów może zostać potencjalnie wykorzystany przez cyberprzestępców do przeprowadzenia akcji phishingowych. Zobacz, ile jest potencjalnych miejsc i sytuacji, które wykorzystują przestępcy w Menedżerze Reklam:
1. Wybór celu kampanii. Tu cyberprzestępcy mogą wybrać cele, które maksymalizują ich zasięg i konwersję, takie jak „Ruch” (kierowanie użytkowników na zewnętrzne strony) czy „Konwersje” (zachęcanie użytkowników do podjęcia określonych działań na fałszywych stronach). Cel „Zaangażowanie” może być również użyty do wzbudzenia zaufania poprzez interakcje użytkowników z treścią reklamy, co może stworzyć złudzenie, że reklama jest legalna.
2. Określenie grupy docelowej. Menedżer Reklam oferuje bardzo zaawansowane opcje targetowania, pozwalające na precyzyjne określenie grupy docelowej według demografii, zainteresowań, zachowań czy lokalizacji. Cyberprzestępcy mogą wykorzystać te opcje do targetowania szczególnie podatnych grup, np. starszych użytkowników, osób mniej zorientowanych w technologii lub użytkowników z określonymi zainteresowaniami, które mogą być łatwo zmanipulowane. Mogą również wykorzystać wrażliwość rodziców na krzywdę dzieci (a warto zaznaczyć, że grupa rodziców jest bardzo rozległa i naprawdę jest z czego wybierać).
3. Tworzenie treści reklamowej. Podczas tworzenia treści reklamowej cyberprzestępcy mogą używać grafik i tekstów, które naśladują znane marki lub oferują niebywale atrakcyjne oferty, co ma na celu przyciągnięcie uwagi i wzbudzenie zaufania. Użycie fałszywych recenzji, opinii czy nawet logo certyfikatów bezpieczeństwa dodatkowo potęguje wrażenie autentyczności.
4. Dodawanie linków docelowych. Menedżer Reklam pozwala na dodawanie linków do zewnętrznych stron. Cyberprzestępcy mogą wykorzystać tę funkcję do kierowania użytkowników na strony phishingowe, które są łudząco podobne do legalnych witryn, a w rzeczywistości służą do wyłudzania danych osobowych lub finansowych.
5. Konfiguracja śledzenia zdarzeń. Śledzenie zdarzeń na stronach internetowych może być używane do monitorowania interakcji użytkowników z fałszywą stroną, co pozwala cyberprzestępcom optymalizować swoje kampanie phishingowe w czasie rzeczywistym. Dzięki pikselom Facebooka, oszuści mogą monitorować, jak użytkownicy poruszają się po stronie, jakie informacje wprowadzają i czy dokonują oczekiwanych działań.
6. Budżetowanie i harmonogram. W tej części przygotowania kamoanii oszuści mogą ustalić niski budżet dzienny (jest opcja ustawienia nawet 5 zł na dzień), aby ich reklamy były wyświetlane przez dłuższy czas, co pozwala na generowanie stałego ruchu na stronie phishingowej. Alternatywnie, mogą również zainwestować większe kwoty, aby uzyskać szybki zasięg i konwersję w krótkim okresie.
7. Weryfikacja i publikacja reklamy. Chociaż Facebook ma mechanizmy weryfikacji treści reklamowych, cyberprzestępcy często stosują zaawansowane techniki, aby ominąć te zabezpieczenia, np. używając obrazów tekstowych zamiast tekstu, co utrudnia automatycznym systemom weryfikację oszukańczych praktyk.
8. Zgłaszanie reklam i reakcje na zgłoszenia. W przypadku zgłoszeń przez użytkowników, reakcja platformy niemal zawsze jest opóźniona, co daje cyberprzestępcom więcej czasu na prowadzenie szkodliwych kampanii. Dodatkowo weryfikacja odbywa się “maszynowo” — na pierwszym etapie to nie człowiek sprawdza zgłoszenia. Dodatkowo, jeśli zgłoszeń jest niewiele, najczęściej próby weryfikacji nie są nawet podejmowane. Nie wspominając o tym, że oszuści mogą szybciej zmieniać swoje kampanie i unikać blokad, niż na zgłoszenie zareaguje Meta. A to utrudnia całkowite wyeliminowanie fałszywych reklam.
9. A/B testy. Menedżer Reklam pozwala na przeprowadzanie testów A/B, co umożliwia oszustom testowanie różnych wersji reklam w celu ustalenia, która wersja jest najbardziej skuteczna w przyciąganiu ofiar. Pozwala to na zoptymalizowanie kampanii phishingowej, aby była jak najbardziej efektywna.
10. Zbieranie danych za pomocą formularzy. Menedżer Reklam pozwala na tworzenie reklam z formularzami, które zbierają dane użytkowników bez konieczności opuszczania Facebooka. Cyberprzestępcy mogą stworzyć fałszywe formularze, które wyglądają na autentyczne, ale służą wyłącznie do wyłudzania danych osobowych lub finansowych.
11. Współpraca z fałszywymi partnerami. Cyberprzestępcy mogą tworzyć fałszywe konta partnerskie lub współpracować z już istniejącymi fałszywymi podmiotami, aby zwiększyć zasięg swoich kampanii phishingowych. Mogą na przykład tworzyć fałszywe strony internetowe, które rzekomo współpracują z uznanymi markami, co zwiększa wiarygodność ich ofert.
12. Geotargetowanie. Dzięki geotargetowaniu cyberprzestępcy mogą skierować swoje kampanie phishingowe do użytkowników z określonych regionów, które mogą być bardziej podatne na dany rodzaj oszustwa. Na przykład, mogą kierować reklamy do użytkowników w krajach o niższym poziomie świadomości na temat cyberbezpieczeństwa.
13. Zamiana linków docelowych po publikacji. Stworzona reklama nie pojawia się od razu na Facebooku. Najpierw musi być zatwierdzona przez platformę. Czasem jest to kwestia minut, czasem godzin. Po zatwierdzeniu reklamy, cyberprzestępcy mogą zmienić link docelowy na bardziej złośliwy. Zmienione linki mogą kierować na strony phishingowe lub złośliwe witryny, co może pozostać niezauważone przez mechanizmy weryfikacyjne.
Jak widzisz, Menedżer Reklam zawiera liczne luki i niedociągnięcia, które mogą być wykorzystywane przez cyberprzestępców. Co więcej, mimo rosnącej świadomości na temat cyberbezpieczeństwa, model reklamowy Facebooka nie ewoluował wystarczająco, aby skutecznie przeciwdziałać tym zagrożeniom.
W ciągu ostatnich lat, gdy ochrona danych osobowych i bezpieczeństwo w sieci stały się priorytetami dla użytkowników, system ten pozostaje w dużej mierze niezmieniony, oferując oszustom wciąż te same możliwości do prowadzenia działań phishingowych.
Niezmienność tego modelu reklamowego stwarza poważne ryzyko zarówno dla użytkowników, jak i dla uczciwych firm, które mogą zostać uwikłane w oszukańcze schematy. Dalsza ignorancja tych problemów może prowadzić do jeszcze większej utraty zaufania do platformy oraz osłabienia skuteczności kampanii reklamowych, które są kluczowe dla wielu przedsiębiorstw.
Ukrywanie prawdziwego linku za pomocą wyświetlanego linku
Ostatnim tematem, jaki chciałabym poruszyć jest ukrywanie prawdziwego linku za pomocą wyświetlanego linku. W moim przekonaniu, to najbanalniejszy sposób wykorzystania menedżera reklam do celów cyberataków, z którego Meta już dawno powinna zrezygnować.
Jak działa ta funkcja? Facebook umożliwia reklamodawcom dodanie wyświetlanego linku, który pojawia się w reklamie zamiast rzeczywistego adresu URL. Wyświetlany link jest bardziej estetyczny i może być skrócony lub zawierać nazwę marki, aby wyglądał bardziej wiarygodnie. Jednakże rzeczywisty link, na który użytkownik zostanie przekierowany po kliknięciu, może być całkowicie inny. Jaki? Są dwie możliwości:
link kieruje na fałszywą stronę np. z formularzem, gdzie jest opcja pozostawienia swoich danych
po kliknięciu w ukryty link rozpoczyna się bezpośrednie pobieranie (co w Mecie jest generalnie zabronione) np. złośliwego oprogramowania, pliku, np. PDF, ale Facebook nie rozpoznaje linku jako tego, który zawiera te elementy, a co za tym idzie nie widzi niezgodności z regulaminem.
Jakie są tutaj możliwość nadużycia przez cyberprzestępców? Wymienię pięć:
Cyberprzestępcy mogą użyć wyświetlanego linku, który wygląda na zaufany, np. zawierającego nazwę popularnej marki lub strony internetowej (np. „www.zaufana-mark.com/offer”), podczas gdy rzeczywisty adres URL może prowadzić do złośliwej strony phishingowej. Użytkownicy, widząc znajomy lub zaufany link, są bardziej skłonni kliknąć, nie podejrzewając, że zostaną przeniesieni na oszukańczą stronę.
Funkcja wyświetlanego linku pozwala ukryć złośliwe adresy URL, które mogą być długie, podejrzane lub zawierać nietypowe elementy. Dzięki temu, cyberprzestępcy mogą ukryć rzeczywisty, podejrzany link za atrakcyjnie wyglądającym wyświetlanym linkiem, co dodatkowo zmniejsza ryzyko, że użytkownik zorientuje się w oszustwie.
Wyświetlany link może sugerować, że reklama prowadzi do autentycznej i zaufanej strony, co może budować fałszywe poczucie bezpieczeństwa u użytkowników. Na przykład, wyświetlany link „www.najlepszeoferty.com” może wydawać się atrakcyjny, ale rzeczywisty adres URL może być zupełnie inny, często zawierający złośliwy kod lub stronę phishingową.
Po zatwierdzeniu reklamy, cyberprzestępcy mogą zmieniać rzeczywisty adres URL, na który prowadzi reklama, wprowadzając użytkowników w błąd. Dzięki temu, początkowo legalnie wyglądająca kampania może szybko zmienić się w oszukańczą, bez wzbudzania podejrzeń w systemach monitorowania Facebooka.
Oszust może mieć do dyspozycji linki, które nie sugerują, że są one linkami do bezpośredniego pobrania, np. z końcówką.pdf W ten sposób omija regulamin tworzenia reklam, który zabrania dodawania linków z bezpośrednim pobraniem. Tu opiszę pokrótce pewną anegdotę z korzystania z usługi osobistego menedżera ds. reklam Meta, który ma być wsparciem dla lepszego optymalizowania reklam. Do reklamy dodałam link, który choć nie miał końcówki.pdf był linkiem do pobrania. Na moje pytanie: czy można tak robić? dostałam odpowiedź: “A system to pani przepuścił?” Odpowiedziałam, że tak. Usłyszałam coś w stylu: “To musi być jakaś luka, ale skoro system to pani przepuścił, to proszę korzystać.” A co, gdybym była jednym z cyberoszustów?
Wnioski? Możliwość dodawania wyświetlanego linku w Menedżerze Reklam Facebooka jest funkcją, która znacznie ułatwia manipulowanie użytkownikami przez cyberprzestępców. Poprzez ukrywanie rzeczywistego adresu URL, oszuści mogą tworzyć wiarygodnie wyglądające reklamy, które przekierowują użytkowników na złośliwe strony. Dlatego uważam, że Facebook powinien wprowadzić bardziej rygorystyczne mechanizmy weryfikacji rzeczywistych adresów URL
Konsekwencja, cierpliwość, kontrola
Cyberprzestępcy mają do dyspozycji szeroki wachlarz narzędzi i technik, które mogą wykorzystać w Menedżerze Reklam Facebooka, aby przeprowadzać skuteczne kampanie phishingowe. Nawet drobne zmiany w sposobie tworzenia i zarządzania kampaniami mogą znacznie zwiększyć skuteczność działań oszustów, co podkreśla potrzebę wzmożonej czujności zarówno ze strony użytkowników, jak i platformy Meta.
Aby przeciwdziałać tym zagrożeniom, Facebook powinien nieustannie udoskonalać swoje mechanizmy weryfikacyjne i edukować użytkowników o potencjalnych zagrożeniach. Tylko, czy będzie chciał to zrobić? Nie sądzę. Tylko naciski i świadomość użytkowników mogą przynieść efekty. Nie od razu, ale od czegoś trzeba zacząć i realizować to z konsekwencją.