En utredning avslöjar ett globalt nätverk av bedrägerier som sprids på Facebook och Instagram.

Medan Meta nyligen stämde två brasilianska företag för reklambedrägerier, avslöjar en undersökning utförd av forskare vid *Bitdefender Labs* att det finns ett enormt bedrägeri-ekosystem som förlitar sig på samma reklaminfrastruktur.

Denna operation, som finns i minst 25 länder, illustrerar *utvecklingen av strategier mot finansiell cyberbrottslighet*, nu strukturerade som veritabla storskaliga plattformar…

En global bedrägerimaskin baserad på Meta-reklam

Mellan 9 februari och 5 mars, År 2026 analyserade Bitdefenders forskare **310 bedrägliga reklamkampanjer** som distribuerades via Meta-plattformar. Totalt **identifierades mer än 26 000 annonser**, på mer än femton språk och över sex kontinenter.

Enligt **utredningen** ligger bakom dessa kampanjer ett samordnat ekosystem som systematiskt syftar till att **rikta internetanvändare mot investeringsbedrägerier**. Scenarierna varierar från land till land, men mekanismen förblir densamma, med annonser i form av **exklusiva avslöjanden**, **tv-skandaler** eller **förmodade begränsade möjligheter**. Dessa annonser härmar ofta etablerade mediebolag och använder namn på offentliga personer för att stärka deras trovärdighet, som i Frankrike där vissa varianter föreställer mediepersonligheter som Léa Salamé eller politiker i fiktiva artiklar.

När internetanvändaren är övertygad uppmuntras de att fylla i ett formulär med sina kontaktuppgifter. Denna information används sedan för att ge bränsle åt bedrägerienätverk där operatörer direkt kontaktar offer för att pressa dem att investera i falska handels- eller kryptovalutaplattformar.

Ett industriellt system utformat för att kringgå moderering.

En av de mest slående aspekterna av denna operation ligger i de tekniker som används för att kringgå automatiserade detekteringssystem. Forskare observerade flera undanflyktsmetoder inbyggda direkt i infrastrukturen.

Vissa annonser visar till exempel en förhandsgranskning som länkar till en legitim domän, ibland till och med till google.com. Efter ett klick leder dock en kedja av osynliga omdirigeringar användaren till en bedräglig sida.

Cyberbrottslingar driver också gårdar av falska webbplatser som imiterar välkända mediebolag, **som Le Monde**, samt använder teckenersättningstekniker.

Mer specifikt ersätts **latinska bokstäver med visuellt identiska kyrilliska motsvarigheter**, vilket gör det möjligt för angriparen att kringgå automatiserade filter utan att upptäckas av användaren.

I vissa fall används till och med helt legitima webbplatser, **som restauranger eller lokala företag**, som front-URL:er för att dölja attacken.

En organisation strukturerad som en franchisemodell…

Analys av metadata och teknisk infrastruktur tyder på att **detta bedrägeri inte är en enda grupps verk**. Forskare föreslår att flera olika operatörer delar samma verktyg och metoder. Systemet fungerar sannolikt enligt en affiliate-modell, där en delad "verktygslåda" gör det möjligt för team att lansera sina egna kampanjer samtidigt som de använder samma intäktsgenereringsmekanismer. Spår som hittats i vissa kampanjer avslöjar dock operativa signaler på ryska, även om det inte finns några bevis som tyder på att operationen tillskrivs en statlig aktör.