25 listopada CERT Polska, czyli kluczowy dla polskiego systemu bezpieczeństwa ośrodek monitorowania przestrzeni internetowej należący do NASK, opublikował na swojej stronie analizę „Oszustwa reklamowe dużych platform internetowych”. Publikacja opisująca sposoby, jakich używają przestępcy w sieci, by okradać Polaków, miała związek z rozpoczynającym się wtedy sezonem wyprzedaży Black Weekend. CERT wrzucił link do raportu w serwisie X oraz na LinkedInie i Facebooku.
Wkrótce okazało się, że materiał jest dostępny dla użytkowników LinkedIna, ale na Facebooku go nie ma. Dlaczego? CERT wyjaśnił w serwisie X: „Jeśli zastanawiacie się, dlaczego na naszym profilu na Facebooku nie ma posta o (nie)skuteczności mechanizmów blokowania (nie)szkodliwych postów, to dlatego, że mechanizm blokowania (nie)szkodliwych postów był bardziej niż skuteczny”. Post kończy emotikon uśmiechniętej buźki.
Problem wreszcie przebił się do mediów
Fałszywe reklamy na platformach społecznościowych są przedmiotem dyskusji na całym świecie od kilku lat. Pretensje o brak zaangażowania w walkę ze scamem dotyczą wszystkich big techów: Mety, Google'a, TikToka, X. Kierowane są jednak przede wszystkim pod adresem operatora Facebooka i Instagrama. Na całym świecie sypią się pozwy od celebrytów, których wizerunki są wykorzystywane do produkcji fałszywych reklam mających na celu kradzież pieniędzy od oszukanych osób. NASK sporządził listę 121 polityków, sportowców, dziennikarzy, duchownych, lekarzy, którzy od początku roku do lipca pojawili się w scamerskich kampaniach reklamowych. Są wśród nich prezydent Andrzej Duda, Agata Duda, Donald Tusk, a także Rafał Brzoska, który zdecydował się na precedensowy ruch i pozwał Metę.
Sprawą zajął się szef UODO i wydał zakaz publikacji wizerunków szefa InPostu i jego żony na Facebooku i Instagramie. Bardzo szybko okazało się, że nie jest on przestrzegany. Na razie wygląda na to, że równie skuteczne będzie postępowanie, jakie wobec Mety wdrożył szef UODO w związku z nieprzestrzeganiem przepisów o ochronie danych osobowych. Sprawa utknęła w Dublinie, gdzie właściwość prawną w Europie ma Meta. Niemniej działania w związku z naruszaniem prawa dotyczącym prywatności i szerzej oszustw na platformach Mety zostały podjęte, a problem zaistniał w przestrzeni medialnej.
Przeciwskuteczny mechanizm antyscamowy
Big techy, tłumacząc się z przepuszczania scamów i nie dość skutecznej ochrony użytkowników przed złodziejami, zazwyczaj podkreślają zaangażowanie w walkę z oszustwami, która nie może być stuprocentowo skuteczna. Przypadek z blokadą raportu CERT NASK pokazuje, że mechanizm wyłapywania fejków jest przeciwskuteczny. Pokazuje słabość algorytmów, które skanują treści na Facebooku pod kątem zagrożeń dla użytkowników.
Jest to kolejna spektakularna wpadka Mety w Polsce w tym roku. Wiosną Facebook zablokował posty Muzeum Auschwitz-Birkenau ze względu na złamanie zakazu szerzenia mowy nienawiści. Resort cyfryzacji nie krył wówczas oburzenia na działanie Mety. Meta przeprosiła, a kilka miesięcy później usunęła post jednostki podległej ministerstwu z edukacyjnym materiałem dla użytkowników serwisów internetowych.
Pierwsze tak stanowcze stanowisko
Reakcja CERT NASK jest najbardziej stanowczym dotychczas stanowiskiem wyrażonym publicznie w sprawie postępowania Mety. Pierwszy raz tak jasno zostały przedstawione postulaty, co Meta powinna zrobić, żeby ukrócić skalę szalbierstwa na Facebooku i Instagramie. Przy okazji kampanii Scamming out! wielokrotnie słyszeliśmy od specjalistów od bezpieczeństwa, że czas między zgłoszeniem szkodliwych treści a reakcją zespołu Mety jest za długi, że nie można zdać się wyłącznie na algorytmy, lecz trzeba zainwestować w białkowe komputery i zatrudnić więcej osób do moderacji treści, że biblioteka fejkowych reklam Mety jest niepełna i że nie korzysta ona z lokalnych baz danych, jak np. lista ostrzeżeń NASK.
Meta nie odpowiedziała na nasze pytania dotyczące incydentu sprzed tygodnia.
- SPRAWNIEJSZE WYKRYWANIE SZKODLIWYCH TREŚCI, TAKŻE W JĘZYKU POLSKIM
Oczekujemy od firmy Meta przedstawienia planu wdrożenia skutecznego rozwiązania wykrywającego treści w języku polskim. Deklarujemy gotowość wzięcia udziału w grupie roboczej, w ramach której udostępnimy przykłady identyfikowanych przez nas treści.
NASK zwraca uwagę, że szkodliwe treści emitowane są na Facebooku i Instagramie nawet przez kilkanaście godzin.
- ZATRUDNIENIE POLSKOJĘZYCZNYCH MODERATORÓW
Oczekujemy rozbudowy zespołu polskojęzycznych moderatorów, aby w pełni wykorzystać i docenić zaangażowanie partnerów oraz użytkowników zgłaszających oszustwa.
Czas detekcji oszustwa to jeden problem. Drugi polega na tym, że Meta nie reaguje na zgłoszenia o ewidentnie złośliwych treściach składanych przez użytkowników i profesjonalne instytucje, jak CSIRT-y. Według NASK przyczyną jest niewystarczająca liczba polskojęzycznych moderatorów na Facebooku.
- BLOKOWANIE UŻYTKOWNIKÓW
Oczekujemy blokowania użytkowników, których reklamy i posty zostały kilkkrotnie oznaczone jako oszustwo.
Czasem dzięki uporowi zgłaszającego szkodliwa treść zostaje usunięta, ale to nie kończy sprawy i nie rozwiązuje problemu. Konto, na którym znalazła się oszukańcza reklama, nie jest blokowane i kontynuuje działalność, zamieszczając identyczne do usuniętych treści.
- INTEGRACJA ŹRÓDEŁ DANYCH O WYSOKIEJ JAKOŚCI
Oczekujemy, że Meta zacznie korzystać z listy ostrzeżeń i innych źródeł danych pochodzących od lokalnych partnerów wyspecjalizowanych w wyszukiwaniu zagrożeń na danym rynku, aby usprawnić filtrowanie złośliwych linków zewnętrznych pojawiających się na ich platformach.
Meta nie radzi sobie samodzielnie ze zwalczaniem globalnych oszustw, ponieważ lokalna specyfika działania przestępców wymyka się horyzontalnemu spojrzeniu. NASK zachęca do współpracy z partnerami, znającymi te uwarunkowania. Dobry przykładem jest lista ostrzeżeń, na której CERT Polska publikuje zbiór domen ocenionych jako złośliwe. Każda z nich została weryfikowana przez analityków CSIRT NASK, co w praktyce eliminuje ryzyko niesłusznego zablokowania strony.
- UPORZĄDKOWANIE BIBLIOTEKI REKLAM
Oczekujemy poprawienia transparentności i aktualności biblioteki reklam, aby uniemożliwić nadużywanie jej funkcjonalności do obchodzenia mechanizmów weryfikacji wykorzystywanych przez Metę.
Meta udostępnia narzędzie Ad Library, które pomaga m.in. zespołom takim jak CERT Polska w śledzeniu reklam i stron tworzonych przez przestępców. To ważny krok w stronę przejrzystości. Niestety, Ad Library nie zawsze pokazuje treści dokładnie tak, jak widzą je użytkownicy. Oszuści często manipulują reklamami, np. tworząc różne wersje jednej treści, publikując długie filmy omijające filtry lub prezentując linki inne niż faktyczne. Dodatkowo aktualizacje w Ad Library pojawiają się z opóźnieniem, co utrudnia identyfikację nowych zagrożeń.
