Egy nyomozás feltárta a Facebookon és Instagramon terjedő globális csaláshálózatot.

Míg a Meta nemrégiben pert indított két brazil cég ellen hirdetési csalások miatt, a Bitdefender Labs kutatói által végzett vizsgálat egy hatalmas csalási ökoszisztéma létezését tárta fel, amely ugyanezen a hirdetési infrastruktúrán alapul.

Ez a legalább 25 országban jelen lévő művelet jól mutatja a pénzügyi kiberbűnözési stratégiák evolúcióját, amelyek ma már valódi nagyszabású platformokként strukturálódnak…

Egy globális csalógép a Meta hirdetések alapján

Február között 2026. március 9-én és 5-én a Bitdefender kutatói 310 csalárd hirdetési kampányt elemeztek, amelyeket a Meta platformokon keresztül terjesztettek. Összesen több mint 26 000 hirdetést azonosítottak, több mint tizenöt nyelven és hat kontinensen.

A vizsgálat szerint e kampányok mögött egy összehangolt ökoszisztéma áll, amely szisztematikusan arra törekszik, hogy az internetfelhasználókat befektetési csalások felé terelje. A forgatókönyvek országonként eltérőek, de a mechanizmus ugyanaz marad: a hirdetések exkluzív leleplezések, televíziós botrányok vagy feltételezetten korlátozott lehetőségek formájában jelennek meg. Ezek a hirdetések gyakran utánozzák a neves médiaorgánumokat, és közéleti személyiségek nevét használják hitelességük növelése érdekében, mint például Franciaországban, ahol egyes változatokban **médiaszemélyiségek, például Léa Salamé** vagy politikusok szerepelnek kitalált cikkekben.

Miután az internetfelhasználót meggyőzték, **arra ösztönzik, hogy töltsön ki egy űrlapot az elérhetőségi adataival**. Ezeket az információkat ezután csaló hálózatok működtetésére használják, ahol az üzemeltetők közvetlenül kapcsolatba lépnek az áldozatokkal, hogy nyomást gyakoroljanak rájuk hamis kereskedési vagy kriptovaluta platformokba való befektetésre.

Egy ipari rendszer, amelyet a moderálás megkerülésére terveztek

Ennek a műveletnek az egyik legszembetűnőbb aspektusa az **automatizált észlelő rendszerek** megkerülésére használt technikákban rejlik. A kutatók számos, közvetlenül az infrastruktúrába épített megkerülési módszert figyeltek meg.

Néhány hirdetés például egy **előnézetet jelenít meg, amely egy legitim domainre mutató hivatkozást** jelenít meg, néha akár a google.com-ra is. Egy kattintás után azonban egy láthatatlan átirányítási láncolat vezeti a felhasználót egy csalárd oldalra.

A kiberbűnözők hamis weboldalak farmjait is üzemeltetik, amelyek ismert médiaorgánumokat, például a Le Monde-ot utánoznak, valamint karakterhelyettesítési technikákat alkalmaznak.

Pontosabban, a latin betűket vizuálisan azonos cirill betűs megfelelőkkel helyettesítik, ami lehetővé teszi a támadó számára, hogy megkerülje az automatizált szűrőket, miközben a felhasználó észrevétlen marad.

Bizonyos esetekben teljesen legitim weboldalakat, például éttermek vagy helyi vállalkozások weboldalait, akár front URL-ként is használnak a támadás elrejtésére.

Egy franchise-modellhez hasonlóan felépített szervezet…

A metaadatok és a technikai infrastruktúra elemzése azt sugallja, hogy ez a csalás nem egyetlen csoport munkája. A kutatók szerint több különböző üzemeltető ugyanazokat az eszközöket és módszereket használja. A rendszer valószínűleg egy affiliate modellen működik, ahol egy megosztott "eszközkészlet" lehetővé teszi a csapatok számára, hogy saját kampányokat indítsanak, miközben ugyanazokat a monetizációs mechanizmusokat használják. Egyes hadjáratokban talált nyomok azonban orosz nyelvű műveleti jeleket is feltárnak, bár nincs bizonyíték arra, hogy a műveletet állami szereplőhöz kötnék.