A Bitdefender kutatása egy kiterjedt, több országot és nyelvet érintő online csalási ökoszisztémát azonosított, amely a Meta közösségi platformjain futtatott rosszindulatú hirdetési kampányokon keresztül irányította az áldozatokat befektetési csalásokba. A vizsgált időszakban, 2026. február 9. és március 5. között mintegy 310 malvertising kampány működött, amelyek több mint 26 000 hirdetésmegjelenést generáltak, és több mint 15 nyelven elérhető tartalmat alkalmaztak. A kutatás megállapította, hogy a kampányok mögött két vagy három különálló csoport állhatott, amelyek azonos működési sémát használtak.

A csalások egyik kulcseleme a social engineering technikákra épülő történetek alkalmazása volt. Ezek közül az alábbi három bizonyult a leggyakoribbnak az áldozatok megszólításában:

• Az első a hírességekhez kapcsolódó állítólagos „végrendeletek” narratívája. A hirdetésekben a csalók azt a benyomást keltették, hogy egy ismert közéleti személy titokban befektetett egy kereskedési platformba, vagy olyan pénzügyi tanácsokat hagyott hátra, amelyekkel hétköznapi emberek is meggazdagodhatnak.
• Egy másik gyakori téma a banki vagy pénzügyi botrányokat imitáló, dramatizált jelenetek alkalmazása volt, amelyekben egy közszereplő állítólag egy heves interjú során leplez le egy új befektetési lehetőséget, mielőtt a műsort állítólag cenzúrázzák vagy eltávolítják.
• A harmadik kategória politikusok állítólagos leleplezésére épülő szenzációs hírek alkalmazása volt.

A kutatók szerint ezek a történetek erősen érzelmekre ható, könnyen lokalizálható és különböző országokban újra felhasználható tartalmi mintákat biztosítottak, amelyek hatékonyan működtek a közösségi média platformokon.

A csalási folyamat több lépésből állt. A felhasználók egy hirdetés vagy szponzorált bejegyzés révén jutottak el egy látszólag megbízható weboldalra, amely gyakran legitim domainre vagy ismert médiamárkát utánzó oldalra mutatott. Ezek az előnézeti oldalak rendszerint csak köztes szerepet töltöttek be, még nem tartalmazták magát a csalást. Ezt követően egy átirányítási lánc segítségével egy másik weboldalra vezették a felhasználót, ahol egy drámai hangvételű „hír” mutatta be a befektetési platformot, és regisztrálásra ösztönözte a látogatót.

A regisztráció során gyűjtött személyes adatok, például név, telefonszám és e-mail-cím lehetővé tették, hogy a csalók rövid időn belül közvetlen kapcsolatba lépjenek az áldozatokkal. A csalást működtető operátorok ügyfélkapcsolati menedzsernek vagy befektetési tanácsadónak adták ki magukat, és telefonos kommunikáció során irányították a kezdeti befizetéseket, majd további átutalásra ösztönözték az áldozatokat. A beszélgetések során magas hozamokat, azonban időben korlátozott lehetőségeket ígértek. A megtévesztés részeként a platform olyan hamis felületeket jelenített meg, amelyek növekvő számlaegyenlegeket mutattak, ezzel a sikeres befektetés illúzióját keltve. Ezek az adatok azonban hamisak, és kizárólag azt a célt szolgálták, hogy az áldozatokat további pénzküldésre ösztönözzék.

A csalás infrastruktúra működésének szerves része volt a moderációs mechanizmusok kijátszása is. A megfigyelt módszerek közé tartozott a fehérlistázott domainek (whitelisted domain) előnézeti funkciójával való visszaélés, a hamis média domainekből álló hálózatok működtetése, valamint a cirill homoglif karakterek alkalmazása az automatikus szűrők megkerülésére. A Bitdefender kutatói emellett gyors kreatív-csereciklust, domain-rotációt és régiók közötti technikai adaptációt is azonosítottak.

Az infrastruktúra működése moduláris, franchise-jellegű modellre emlékeztetett, amelyben közös eszközök és működési minták támogatták a regionális operátorokat. Bár egyes metaadatok orosz nyelvű koordinációra utaltak, a vizsgálat nem talált bizonyítékot állami vagy politikai irányításra. A kampányok elsődleges motivációja pénzügyi haszonszerzés volt.

A Meta az elmúlt években egyre nagyobb hangsúlyt fektet arra, hogy megvédje a felhasználókat a közösségi média platformjain megjelenő csalásoktól. Ennek részeként új védelmi eszközöket vezetett be a Facebook, a Messenger és a WhatsApp szolgáltatásokban, amelyek célja a felhasználók csalások elleni védelmének erősítése.

A pénzügyi csalások elkerüléséhez további információt a KiberPajzs oldalán találhatunk.