Eine Untersuchung deckt ein globales Netzwerk von Betrügereien auf, die über Facebook und Instagram verbreitet werden.

Während Meta kürzlich zwei brasilianische Unternehmen wegen Werbebetrugs verklagt hat, deckt eine Untersuchung von Forschern der Bitdefender Labs die Existenz eines riesigen Betrugsökosystems auf, das auf derselben Werbeinfrastruktur basiert. Diese Operation, die in mindestens 25 Ländern aktiv ist, verdeutlicht die Entwicklung von Strategien der Finanzkriminalität im Internet, die sich mittlerweile zu regelrechten Großplattformen entwickelt haben… Eine globale Betrugsmaschine basierend auf Meta-Werbung. Am 9. Februar und 5. März 2026 analysierten Forscher von Bitdefender 310 betrügerische Werbekampagnen, die über Meta-Plattformen verbreitet wurden. Insgesamt wurden mehr als 26.000 Anzeigen in über fünfzehn Sprachen und auf sechs Kontinenten identifiziert. Laut der Untersuchung (https://www.bitdefender.com/en-us/blog/labs/global-investment-scam-network-using-meta-ads) steckt hinter diesen Kampagnen ein koordiniertes Ökosystem, das systematisch darauf abzielt, Internetnutzer in die Fänge von Anlagebetrugsfällen zu locken. Die Vorgehensweisen variieren von Land zu Land, der Mechanismus bleibt jedoch derselbe: Die Werbung präsentiert sich als exklusive Enthüllung, Fernsehskandale oder vermeintlich zeitlich begrenzte Gelegenheiten. Diese Anzeigen imitieren oft etablierte Medien und nutzen die Namen von Persönlichkeiten des öffentlichen Lebens, um ihre Glaubwürdigkeit zu erhöhen, wie beispielsweise in Frankreich, wo in einigen Varianten Medienpersönlichkeiten wie Léa Salamé oder Politiker in fiktiven Artikeln auftreten.

Sobald der Internetnutzer überzeugt ist, wird er dazu aufgefordert, ein Formular mit seinen Kontaktdaten auszufüllen. Diese Informationen werden dann genutzt, um Betrugsnetzwerke zu betreiben, in denen die Betreiber die Opfer direkt kontaktieren, um sie unter Druck zu setzen, in gefälschte Handels- oder Kryptowährungsplattformen zu investieren.

Ein industrielles System, das entwickelt wurde, um die Moderation zu umgehen

Einer der auffälligsten Aspekte dieser Operation liegt in den Techniken, die verwendet werden, um automatisierte Erkennungssysteme zu umgehen. Forscher beobachteten mehrere Umgehungsmethoden, die direkt in die Infrastruktur integriert sind.

Einige Anzeigen zeigen beispielsweise eine Vorschau an, die auf eine legitime Domain verlinkt, manchmal sogar auf google.com. Nach einem Klick wird der Nutzer jedoch über eine Kette unsichtbarer Weiterleitungen auf eine betrügerische Seite geleitet.

Cyberkriminelle betreiben zudem ganze Fabriken gefälschter Webseiten, die bekannte Medien wie Le Monde imitieren, und nutzen dabei Techniken zur Zeichenersetzung.

Insbesondere werden lateinische Buchstaben durch optisch identische kyrillische Entsprechungen ersetzt, wodurch der Angreifer automatische Filter umgehen kann, ohne vom Nutzer entdeckt zu werden.

In manchen Fällen werden sogar völlig legitime Webseiten, beispielsweise von Restaurants oder lokalen Unternehmen, als Tarn-URLs verwendet, um den Angriff zu verschleiern.

Eine Organisation, die wie ein Franchise-Modell aufgebaut ist…

Die Analyse von Metadaten und der technischen Infrastruktur deutet darauf hin, dass dieser Betrug nicht von einer einzelnen Gruppe verübt wird. Forscher vermuten, dass mehrere verschiedene Akteure dieselben Werkzeuge und Methoden nutzen. Das System funktioniert wahrscheinlich nach einem Affiliate-Modell, bei dem ein gemeinsames „Toolkit“ es Teams ermöglicht, ihre eigenen Kampagnen mit denselben Monetarisierungsmechanismen zu starten. Allerdings weisen Spuren, die in einigen Kampagnen gefunden wurden, auf operative Signale in russischer Sprache hin, obwohl es keine Beweise dafür gibt, dass die Operation einem staatlichen Akteur zuzuschreiben ist.