Vyšetřování odhaluje globální síť podvodů šířených na Facebooku a Instagramu.

Zatímco Meta nedávno podala žalobu na dvě brazilské společnosti kvůli reklamním podvodům, vyšetřování provedené výzkumníky z Bitdefender Labs odhaluje existenci rozsáhlého podvodného ekosystému, který se spoléhá na stejnou reklamní infrastrukturu.

Tato operace, která je přítomna v nejméně 25 zemích, ilustruje vývoj strategií finanční kyberkriminality, nyní strukturovaných jako skutečné rozsáhlé platformy…

Globální podvodný stroj založený na reklamě na Meta

Mezi 9. únorem a březnem 5. prosince 2026 analyzovali výzkumníci společnosti Bitdefender 310 podvodných reklamních kampaní distribuovaných prostřednictvím platforem Meta. Celkem bylo identifikováno více než 26 000 reklam ve více než patnácti jazycích a na šesti kontinentech.

Podle vyšetřování se za těmito kampaněmi skrývá koordinovaný ekosystém, který systematicky usiluje o směřování uživatelů internetu k investičním podvodům. Scénáře se liší v jednotlivých zemích, ale mechanismus zůstává stejný, přičemž reklamy mají podobu exkluzivních odhalení, televizních skandálů nebo údajných omezených příležitostí. Tyto reklamy často napodobují zavedená média a používají jména veřejně známých osobností k posílení své důvěryhodnosti, jako například ve Francii, kde některé varianty obsahují **mediální osobnosti jako Léa Salamé** nebo politiky ve fiktivních článcích.

Jakmile je uživatel internetu přesvědčen, **je vyzván k vyplnění formuláře se svými kontaktními údaji**. Tyto informace jsou poté použity k podpoře podvodných sítí, kde operátoři přímo kontaktují oběti, aby je donutili investovat do falešných obchodních nebo kryptoměnových platforem.

Průmyslový systém navržený tak, aby obcházel moderování

Jedním z nejvýraznějších aspektů této operace jsou techniky používané k **obejití automatizovaných detekčních systémů**. Výzkumníci pozorovali několik metod obcházení zabudovaných přímo do infrastruktury.

Některé reklamy například zobrazují **náhled odkazující na legitimní doménu**, někdy dokonce na google.com. Po kliknutí však řetězec neviditelných přesměrování zavede uživatele na podvodnou stránku.

Kyberzločinci také provozují farmy falešných webových stránek, které napodobují známá média, jako je Le Monde, a také používají techniky nahrazování znaků.

Konkrétně latinské písmena jsou nahrazována vizuálně identickými cyrilicovými ekvivalenty, což útočníkovi umožňuje obejít automatické filtry, aniž by jej uživatel odhalil.

V některých případech se jako přední URL adresy k zakrytí útoku používají dokonce zcela legitimní webové stránky, například restaurace nebo místní podniky.

Organizace strukturovaná jako franšízový model…

Analýza metadat a technické infrastruktury naznačuje, že tento podvod není dílem jediné skupiny. Výzkumníci naznačují, že několik různých provozovatelů sdílí stejné nástroje a metody. Systém pravděpodobně funguje na affiliate modelu, kde sdílená „sada nástrojů“ umožňuje týmům spouštět vlastní kampaně a zároveň používat stejné mechanismy monetizace. Stopy nalezené v některých kampaních však odhalují operační signály v ruštině, ačkoli neexistují žádné důkazy o tom, že by operaci bylo možné připsat státnímu aktérovi.