Un'indagine svela una rete globale di truffe diffuse su Facebook e Instagram

Mentre Meta ha recentemente intentato una causa contro due aziende brasiliane per truffe pubblicitarie, un'indagine condotta dai ricercatori di Bitdefender Labs rivela l'esistenza di un vasto ecosistema di frodi che si basa su questa stessa infrastruttura pubblicitaria.

Presente in almeno 25 paesi, questa operazione illustra l'evoluzione delle strategie di criminalità informatica finanziaria, ora strutturate come vere e proprie piattaforme su larga scala...

Una macchina globale per frodi basata sulla meta-pubblicità

Tra il 9 febbraio e il 5 marzo 2026, i ricercatori di Bitdefender hanno analizzato 310 campagne pubblicitarie fraudolente distribuite tramite le piattaforme Meta. In totale, sono state identificate più di 26.000 pubblicità, in più di quindici lingue e in sei continenti.

Secondo l'indagine, dietro queste campagne si cela un ecosistema coordinato che mira sistematicamente a indirizzare gli utenti di Internet verso frodi sugli investimenti. Gli scenari variano da paese a paese, ma il meccanismo rimane lo stesso, con annunci pubblicitari che assumono la forma di rivelazioni esclusive, scandali televisivi o presunte opportunità limitate. Questi annunci spesso imitano i media tradizionali e utilizzano i nomi di personaggi pubblici per rafforzarne la credibilità, come in Francia, dove alcune varianti presentano personalità dei media come Léa Salamé o politici in articoli di fantasia.

Una volta convinto, l'utente di Internet viene incoraggiato a compilare un modulo con le proprie informazioni di contatto. Queste informazioni vengono poi utilizzate per alimentare reti fraudolente in cui gli operatori contattano direttamente le vittime per spingerle a investire in false piattaforme di trading o criptovalute.

Un sistema industriale progettato per aggirare la moderazione

Uno degli aspetti più sorprendenti di questa operazione risiede nelle tecniche utilizzate per eludere i sistemi di rilevamento automatico. I ricercatori hanno osservato diversi metodi di elusione integrati direttamente nell'infrastruttura.

Alcuni annunci pubblicitari, ad esempio, mostrano un'anteprima che rimanda a un dominio legittimo, a volte persino a google.com. Tuttavia, dopo un clic, una catena di reindirizzamenti invisibili conduce l'utente a una pagina fraudolenta.

I criminali informatici gestiscono anche siti web falsi che imitano noti organi di stampa, come Le Monde, e utilizzano tecniche di sostituzione dei caratteri.

In particolare, le lettere latine vengono sostituite con equivalenti cirillici visivamente identici, il che consente all'aggressore di aggirare i filtri automatici senza essere rilevato dall'utente.

In alcuni casi, siti web perfettamente legittimi, come quelli di ristoranti o attività commerciali locali, vengono persino utilizzati come URL principali per nascondere l'attacco.

Un'organizzazione strutturata come un modello di franchising...

L'analisi dei metadati e dell'infrastruttura tecnica suggerisce che questa frode non è opera di un singolo gruppo. I ricercatori suggeriscono che diversi operatori distinti condividano gli stessi strumenti e metodi. Il sistema probabilmente funziona secondo un modello di affiliazione, in cui un "toolkit" condiviso consente ai team di lanciare le proprie campagne utilizzando gli stessi meccanismi di monetizzazione. Tuttavia, tracce trovate in alcune campagne rivelano segnali operativi in russo, sebbene non vi siano prove che attribuiscano l'operazione a un attore statale.