Globalna sieć oszustw na Facebooku. Polska jednym z głównych celów

• W analizowanym okresie badacze zidentyfikowali 310 skoordynowanych kampanii oszustw oraz ponad 26 tys. wyświetleń reklam kierujących do oszukańczych stron inwestycyjnych.
• Polska odpowiadała za ok. 18-20 proc. wszystkich udokumentowanych wyświetleń reklam w analizowanej operacji.
• Kampanie wykorzystywały narracje oparte na znanych osobach publicznych, rzekomych skandalach finansowych oraz sensacyjnych doniesieniach medialnych.

Analiza przeprowadzona przez badaczy Bitdefender Labs, Alecsandru Daj, Alexandrę Dinulicę i Alinę Bîzge, między 9 lutego a 5 marca 2026 r. objęła 310 kampanii „malvertisingowych”, dystrybuowanych poprzez płatne reklamy w ekosystemie Meta.

Badacze zidentyfikowali ponad 26 tys. przypadków wyświetlenia reklam kierowanych do użytkowników w wielu regionach świata.

Skala operacji wskazuje na globalny charakter infrastruktury. Kampanie obejmowały co najmniej 25 państw w Europie, Ameryce Północnej i Południowej, Azji, Afryce oraz Oceanii.

Narracje reklam były dostosowane do lokalnych kontekstów kulturowych i medialnych, ale cel pozostawał ten sam - skierowanie użytkownika do oszukańczego lejka inwestycyjnego opartego na depozytach finansowych.

Polska w centrum operacji

Z analizy Bitdefender Labs wynika, że Polska należała do grupy państw o najwyższej ekspozycji, odpowiadając za ok. 18-20 proc. wszystkich udokumentowanych przypadków wyświetleń reklam scamowych.

Na polskim rynku operatorzy korzystali z kilku równoległych przynęt. Jedna grupa kampanii opierała się na narracjach polityczno-ekonomicznych z wykorzystaniem nazwisk polskich polityków. 

Druga sięgała po motyw rzekomych skandali wokół sektora finansowego i NBP, a trzecia wykorzystywała clickbait oparty na znanych nazwiskach ze świata kultury, w tym Magdy Umer.

Istotnym elementem tej strategii było również podszywanie się pod wiarygodne źródła informacji. Bitdefender Labs wskazuje wprost na imitowanie serwisów takich jak Onet.pl oraz Gazeta.pl.

Mechanizm działania kampanii

Jak wskazuje analiza Bitdefender Labs, centralnym elementem kampanii są narracje stylizowane na materiały medialne. Reklamy często udają fragmenty artykułów lub materiałów wideo publikowanych przez znane redakcje informacyjne.

Schematy narracyjne powtarzają się w wielu krajach. Wśród najczęściej wykorzystywanych znajdują się:

• rzekome skandale ujawnione podczas transmisji telewizyjnych,
• „tajne" lub „usunięte" wywiady z celebrytami,
• sensacyjne informacje o testamentach znanych osób,
• rzekome „narodowe platformy inwestycyjne".

Celem tych historii jest wywołanie silnej reakcji emocjonalnej i przekonanie użytkownika, że trafił na ekskluzywną informację, która może zostać wkrótce usunięta. Po kliknięciu użytkownik trafia na stronę stylizowaną na portal informacyjny, gdzie przedstawiana jest rzekoma okazja inwestycyjna.

Jak działa lejek oszustwa?

Większość analizowanych kampanii prowadzi użytkownika przez niemal identyczny schemat działania. Proces zaczyna się od sponsorowanego posta w mediach społecznościowych, który wygląda jak fragment artykułu lub materiału wideo. Reklama sugeruje powiązanie z wiarygodnym źródłem, co zwiększa prawdopodobieństwo kliknięcia.

Po kliknięciu użytkownik trafia na stronę, która przypomina znany portal informacyjny. Następnie pojawia się zachęta do rejestracji w celu „odblokowania dostępu” do platformy inwestycyjnej.

Na tym etapie użytkownik podaje podstawowe dane: imię, adres e-mail i numer telefonu. Dane te trafiają do call center obsługującego oszustwo inwestycyjne. Kolejny etap to bezpośredni kontakt telefoniczny. 

Osoba podszywająca się pod brokera inwestycyjnego zachęca ofiarę do wpłaty niewielkiego depozytu.

Następnie fałszywy panel inwestycyjny pokazuje spreparowane zyski, co ma skłonić do kolejnych wpłat. Wypłata środków w praktyce okazuje się niemożliwa.

Wspólna architektura i lokalna adaptacja operacji

Badacze Bitdefender Labs wskazują na istnienie jednej skalowalnej architektury wykorzystywanej przez kilka grup operatorów.

Wspólny zestaw narzędzi, domen oraz schematów reklamowych jest najprawdopodobniej udostępniany podmiotom działającym w różnych regionach.

Na poziomie lokalnym treści są dostosowywane do specyfiki danego rynku. Obejmuje to tłumaczenie reklam, wykorzystywanie lokalnych mediów oraz znanych osób publicznych, a następnie kierowanie użytkowników do tego samego mechanizmu monetyzacji.

Sygnały rosyjskojęzyczne w infrastrukturze

W analizowanych kampaniach badacze znaleźli ślady języka rosyjskiego w metadanych reklamowych. Dotyczyło to m.in. nazw kampanii, zestawów reklam, identyfikatorów pikseli czy parametrów dynamicznych w adresach URL.

Według Bitdefender Labs sygnały te sugerują obecność rosyjskojęzycznej warstwy operatorskiej, która zarządza częścią infrastruktury. Jednocześnie w kilku przypadkach pojawiły się elementy w języku ukraińskim, co może wskazywać na wielonarodowy zespół operatorów posługujących się językami słowiańskimi.

Badacze podkreślają, że obecność języka rosyjskiego nie jest dowodem na udział struktur państwowych ani operację sponsorowaną przez państwo. Wszystkie zidentyfikowane działania mają charakter czysto finansowy.

Zaawansowane techniki omijania moderacji

Jednym z ciekawszych elementów operacji są techniki pozwalające omijać systemy moderacji platformy Meta. Wśród nich znajduje się m.in. preview abuse, czyli wykorzystanie mechanizmu podglądu linków w mediach społecznościowych w celu nadania reklamie większej wiarygodności. Podgląd sugeruje, że odsyłacz prowadzi do znanego portalu informacyjnego, jednak po kliknięciu użytkownik zostaje przekierowany na zupełnie inną stronę należącą do oszustów.

Drugą stosowaną techniką jest typosquatting, polegający na rejestrowaniu domen bardzo podobnych do adresów znanych serwisów internetowych. Różnią się one jedynie drobnym szczegółem, np. literówką, dodatkową literą lub innym znakiem, co sprawia, że dla wielu użytkowników wyglądają na autentyczne.

W części kampanii przestępcy wykorzystywali także prosty zabieg polegający na użyciu liter z alfabetu cyrylicy. Zastępowali nimi niektóre litery łacińskie o niemal identycznym wyglądzie. Dla odbiorcy tekst wyglądał normalnie, jednak dla systemów automatycznie analizujących treść był to już inny zapis. Dzięki temu reklamy mogły omijać filtry wyszukujące podejrzane słowa lub nazwy marek.

Ekosystem, który stale ewoluuje

Analiza Bitdefender Labs pokazuje, że mamy do czynienia z całym ekosystemem cyberprzestępczym. Operatorzy stale rotują domeny, zmieniają kreacje reklamowe i adaptują narracje do lokalnych realiów.

Ta elastyczność sprawia, że infrastruktura jest trudna do szybkiego zablokowania. Kampanie mogą być uruchamiane równolegle w wielu krajach, a ich elementy są łatwo przenoszone między regionami.

W praktyce oznacza to, że oszustwa inwestycyjne napędzane przez malvertising w mediach społecznościowych stają się coraz bardziej zorganizowane, skalowalne i trudniejsze do wykrycia zarówno dla platform technologicznych, jak i dla samych użytkowników.