323 de pagini de Facebook, care se folosesc de imaginea unor politicieni sau vedete din România, au plătit peste 4000 de reclame frauduloase, ce promit câștiguri rapide și ușoare, în urma unor presupuse investiții în companiile Romgaz sau OMV Petrom.
Reclamele înșelătoare au avut în total peste 50 de milioane de afișări, doar în luna august, 2023. Paginile de Facebook sunt conexate cu site-uri care clonează interfața unor portaluri precum Digi24, Capital, Mediafax sau România TV.
Misreport a realizat o analiză care descrie această rețea de phishing ce folosește pentru propagare platforma de publicitate Meta, compania mamă a Facebook și Instagram. Phishing-ul este un tip de atac adesea folosit pentru a fura datele personale ale utilizatorilor, inclusiv date financiare precum numere de card de credit.
Ce s-a întâmplat?
Începând din luna august 2023, Meta a implementat arhiva de publicitate pentru toate reclamele care sunt afișate utilizatorilor din UE, în urma intrării în vigoare a Digital Services Act. Această arhivă este publică și poate fi accesată de oricine.
Sursa citată spune că utilizatorilor din România le-au fost afișate doar în luna august, 2023, peste 4000 de reclame ce promiteau câștiguri rapide și ușoare, folosind în special o presupusă investiție în companiile Romgaz sau OMV Petrom. Reclamele folosesc portretele unor persoane publice din România, politicieni și vedete media, pentru a atrage atenția utilizatorilor și au avut în total peste 50 de milioane de afișări.
Ce arată analiza tehnică?
Misreport a descoperit 323 de pagini Facebook folosite pentru a distribui reclamele frauduloase. Dintre acestea 272 sunt pagini ce au sub 50 de like-uri, dintre care 45 de pagini cu 1 like și 117 cu zero like-uri.
Puteți vizualiza o parte dintre aceste reclame, folosind căutarea romgaz în Facebook Ad Library. Reclamele ce rulează în România folosesc aproximativ 400 de domenii de internet pentru a găzdui informațiile și formularele de phishing. 150 dintre aceste domenii sunt găzduite pe un server aparținând unei firme cu sediul în Moscova, conform datelor disponibile online despre adresa IP (45.9.74.6): LetHost, Moscow, Krasnopresnenskaya emb. 12-17.
La adresa IP menționată mai sus Misreport a descoperit în total 679 de domenii, folosite în scopuri similare, cu conținut în mai multe limbi europene. Domeniile au fost înregistrate în ultimele 3 luni, cumpărate „la pachet” în grupuri de câte 10-20. Cea mai impresionantă „achiziție” a fost un pachet de 130 de domenii achiziționate într-un interval de 30 de minute. Extensiile folosite, .live, .life sau .info, sunt la promoție în acest moment pe Namecheap (cel mai mare registrar de domenii din lume) și pot fi cumpărate cu ~3 dolari pe an fiecare.
Imagini ale unor persoane publice folosite în mod fraudulos
Persoanele ale căror portrete au fost folosite cel mai frecvent sunt președintele Klaus Iohannis, premierul Marcel Ciolacu și fostul premier Nicolae Ciucă. Misreport a identificat cel puțin 20 de persoane publice ale căror portrete au fost folosite în mod fraudulos.
Dacă președintele nu vă convinge să „investiți”, poate o pot face Diana Șoșoacă, Andreea Esca, Mugur Isărescu sau Andrew Tate. Practic există o reclamă pentru fiecare. Vă puteți uita la toate portretele din reclamele frauduloase aici.
După accesarea link-ului din reclamă, utilizatorii sunt redirecționați către un site în care, de obicei sub pretextul unui articol de presă, sunt îndemnați să își introducă datele personale. Am descoperit articole ce clonau interfața siteurilor Digi24, Capital, Mediafax sau România TV.
Pentru că Meta a marcat câteva dintre reclame ca publicitate politică, am putut vedea și valutele folosite pentru plata acestora. Aceste reclame au fost plătite în AED (dirhami din Emiratele Arabe Unite), BRL (reali din Brazilia), CLP (peso chilian), CZK (coroane cehe), EUR (euro), GBP (lire sterline), MXN (peso mexican), PEN (sol peruvian), PHP (peso filipinez), THB (baht thailandez), TRY (liră turcească) și USD (dolari americani).
În cazul publicității politice este permisă doar plata în moneda națională a țării în care este afișată reclama, dar în cazul publicității comerciale, Meta nu impune nicio restricție.
Ce măsuri au fost luate?
Meta a dezactivat doar ~400 de reclame (~10% din totalul reclamelor frauduloase descoperite de Misreport), dar nu a luat nicio măsură punitivă împotriva domeniilor sau paginilor folosite pentru a servi reclamele. În acest moment, aproximativ 50-100 de reclame sunt active și sunt afișate utilizatorilor din România.
Tot ca urmare a intrării în vigoare a Digital Services Act, Meta a introdus obligativitatea ca orice reclamă să aibă atașate informații despre beneficiarul și plătitorul reclamei. Dar, ca în cazul arhivei de publicitate politică de pe Facebook, aceste informații sunt irelevante, deoarece pot fi completate cu date false. Dacă în cazul reclamelor politice este necesară măcar o mimare a autenticității, în acest caz am identificat reclame care au trecute în dreptul numelui beneficiarului secvențe aleatorii de caractere (vcfd, tfyfjghj, sdfs, sdf, etc.).
În România, Directoratul Național pentru Securitate Cibernetică (fost CERT-RO) a publicat mai multe avertismente despre acest tip de reclame frauduloase.
În Polonia, CERT-PL menține o listă de domenii folosite în campanii de phishing (CERT Polska), iar 140 de domenii descoperite în această analiză sunt deja incluse în această listă.
Ce măsuri s-ar putea lua?
Trebuie să menționăm că Meta nu are nicio obligație legală de a lua măsuri împotriva acestor reclame. De asemenea, rețelele de publicitate nu au nicio motivație economică de a lua măsuri împotriva acestor reclame.
Frauda și reclamele false sunt o sursă de venit pentru rețelele de publicitate, investiția în detectarea și eliminarea acestora ar însemna o scădere a veniturilor. Puteți citi mai multe despre acest subiect în articolul lui Augustine Fou, un expert în publicitate online. (LinkedIn)
În acest moment, singura soluție de protecție la scară largă este ca utilizatorii să fie informați despre acest tip de reclame și să nu le acceseze.
Cum vă puteți proteja de phishing
Cum mesajele înșelătoare pot fi destul de convingătoare, iată două servicii care vă ajută să vă protejați, pe voi sau pe cei apropiați:
– Quad9 este un serviciu gratuit de DNS care blochează accesul la site-uri de phishing, malware și alte tipuri de site-uri periculoase. Vezi aici cum poți seta Quad9 ca serviciu de DNS pe dispozitivele tale.
– NextDNS este un serviciu de DNS care oferă protecție împotriva site-urilor de phishing, malware și alte tipuri de site-uri periculoase. Vezi aici cum poți seta NextDNS ca serviciu de DNS pe dispozitivele tale.
Potrivit site-ului oficial al Comisiei Federale de Protecție a Consumatorilor (SUA), mai puteți lua câteva măsuri simple pentru a vă proteja. De pildă, să vă instalați autentificarea prin doi factori (2FA).
În cazul în care ați fost victima unei operațiuni de phishing, iată câțiva pași pe care e bine să-i urmați. (sigurantaonline.ro)
