Oszustwa na Facebooku. CERT Polska: Meta nie realizuje postulatów

Od kilku lat w sieci jest głośno o oszustwach, które można znaleźć na portalach społecznościowych w postaci opłaconych postów. Najbardziej znanym przypadkiem jest jednak wykorzystanie wizerunku Omeny Mensah, które po nagłośnieniu przez naszą redakcję spowodowało reakcję Rafała Brzoski w postaci zawiadomienia do UODO, które zakazało wyświetlania reklam z wizerunkiem pary.

Zalecono działania. Części nie zrealizowano

Polscy eksperci cyberbezpieczeństwa toczą walkę z internetowym scamem nie tylko w przypadku sprawy Brzoski i Mensah. W grudniu ubiegłego roku swoje oczekiwania w sprawie problemu oszukańczych reklam przedstawił Mecie zespół CERT Polska. Jak mówił wówczas dyrektor NASK Radosław Nielek, oczekiwano niezwłocznego wdrożenia proponowanych rozwiązań.

Prowadzone przez 3 miesiące obserwacje wykazały jednak, że działania przedsiębiorstwa nie rozwiązały istniejących problemów. Według komunikatu zespołu, postulat lepszego reagowania na zgłoszenia dokonywane przez zwykłych użytkowników nie został zrealizowany. 

Problemem jest także zastosowanie systemu ostrzeżeń do wszystkich stron, co pozwala oszustom na dodawanie kolejnych reklam do czasu osiągnięcia konkretnej liczby tzw. „strike«ów”. Nie wiadomo również dokładnie, czy zespół polskich moderatorów zostanie rozbudowany.

Nowe mechanizmy są, ale nie wystarczą

Meta podejmuje jednak pewne działania w zakresie wykrywania szkodliwych treści. Na łamach CyberDefence24 informowaliśmy o mechanizmie wideo selfie, który ma umożliwiać odzyskanie skradzionych kont dzięki wykrywaniu twarzy. Analogiczny mechanizm ma funkcjonować w stosunku do celebrytów i osób publicznych, aby chronić ich wizerunek.

Eksperci otrzymali również deklarację, że właściciel Facebooka będzie zachęcał przedsiębiorstwa do korzystania z systemu „Ochrona praw marki”, który wykrywa wykorzystanie logotypów i znaków towarowych bez zezwolenia. Jednakże, w ocenie CERT Polska, jest to działanie niewystarczające – głównie ze względu na wykorzystanie wizerunku osób spoza programów, a więc nieobjętych ochroną.

Szczególnie powinniśmy mieć na uwadze fakt, że w mechanizmach projektowanych przez Meta, do zarejestrowania dochodzi z inicjatywy danego celebryty lub firmy. Firma Meta wskazuje tutaj m.in. ograniczenia prawne związane z przetwarzaniem danych biometrycznych, które wymagają uzyskania indywidualnej zgody. Sprawia to, że zgromadzenie wystarczająco obszernej bazy wizerunków i logotypów, aby skutecznie ograniczyć skalę oszustw będzie znacząco utrudnione.
CERT Polska

Globalna lista zamiast lokalnej

Co istotne, jedną z propozycji przedłożonych Mecie było stosowanie Listy Ostrzeżeń. Gigant skierował do CERT Polska wiele pytań w tej sprawie w ramach swojej analizy – ostatecznie jednak stwierdził, że nie planuje wdrożenia automatycznego blokowania domen ze wspomnianego zestawienia. Zamiast tego, ma powstać globalna lista, która bęzie pełnić funkcję sygnału dla moderatorów – LO ma być „jednym ze źródeł” dla niej, jednak sama deklaracja była niezobowiązująca, zaś termin wprowadzenia rozwiązania nie został poznany.

Polscy eksperci zwrócili również właścicielowi Facebooka i Instagrama uwagę na problemy związane z Biblioteką Reklam, jak np. opóźenienia w indeksowaniu opłaconych materiałów sięgające nawet 24 godzin, co utrudnia identyfikację treści ze zgłoszeniami otrzymywanymi przez CERT. Meta stwierdziła jednak, że BR nie została stworzona do monitorowania reklam w czasie rzeczywistym, zaś zmiany w jej funkcjonowaniu nie zostaną wprowadzone z powodu ograniczeń technicznych.

Nie działać doraźnie, tylko systemowo

CERT Polska nie jest usatysfakcjonowany działaniami, które podejmuje Meta w zakresie przedstawionych oczekiwań wobec reklam opłacanych przez oszustów. Zauważono jednak, że są wprowadzane zmiany – jak chociażby mechanizmy wykorzystujące sztuczną inteligencję, jednak zdaniem ekspertów mają one charakter doraźny. 

„Wciąż brakuje rozwiązań systemowych - bardziej zdecydowanych działań w zakresie moderacji, współpracy z organami ścigania i lokalnymi organizacjami zajmującymi się bezpieczeństwem. Liczymy na poprawę w tym zakresie” – kończy swoje stanowisko zespół działający w ramach NASK.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:redakcja@cyberdefence24.pl.