Mamy „big problem”. Urząd zakazuje, Meta analizuje, a oszuści nadal hulają w sieci

Firma Meta, właściciel platform społecznościowych Facebook i Instagram, nie może już publikować fałszywych reklam (tzw. scamu) z użyciem danych Rafała Brzoski, prezesa InPostu, oraz jego żony, prezenterki Omeny Mensah. Trzymiesięczny zakaz wydał właśnie Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych (UODO) w Polsce. Sprawa trafiła już do sądu, będzie rozpatrywana w Irlandii (tam ma siedzibę europejska spółka Mety). Zakaz jest środkiem tymczasowym, który ma do czasu rozstrzygnięcia chronić dane oraz wizerunek Brzoski i Mensah.

Zakaz jest z jednej strony przełomowy: po raz pierwszy UODO wykorzystał tego rodzaju narzędzie do ochrony przed wylewającym się z reklam na Facebooku i Instagramie scamem. Z drugiej – na pewno nie rozwiąże on problemu. Być może ograniczy wpływ oszukańczych reklam na życie Brzoski i Mensah (co oczywiście z ich perspektywy jest najważniejsze), ale prawdopodobnie na tym jego oddziaływanie się skończy.

Sam problem ze scamem w social media jednak pozostaje. Jest duży, nabrzmiały i nie bardzo wiadomo, co z nim zrobić. I choć Meta jest za niego częściowo odpowiedzialna, chętnie zapominamy, że głównymi winowajcami są oszuści, wykupujący fałszywe reklamy. Tyle że z nimi jest walczyć trudniej nawet niż z Metą.

Brzoska: Mamy to!

Rafał Brzoska decyzję UODO uznał za sukces w walce z big techami.

„Moi Drodzy mamy to! (…) od dziś jakikolwiek deep fake nie usunięty przez Meta na Facebooku lub Instagramie i promowany przez nich – naruszy prawo i to postanowienie, a to oznacza absolutny precedens na skalę światową walki z czerpaniem zysków z łamania prawa!!!” – napisał na innej platformie społecznościowej, LinkedIn. – „Zachęcam wszystkich poszkodowanych w podobny sposób, by poszli tą samą ścieżką – jesteśmy do Waszej dyspozycji, by pomóc wszystkich poszkodowanym, których do tej pory nie było stać na kosztowne procesy prawne! Zmieńmy to na zawsze! Bądźmy pierwsi na Świecie, którzy mówię głośne NIE dla szerzonych przez BIG Techy deepfejki czy mowę nienawiści” (pisownia oryginalna – przyp. red.)

Meta zapewnia, że analizuje decyzję Urzędu Ochrony Danych Osobowych. W komunikacie przesłanym PAP biuro prasowe tej firmy zaznaczyło: „Oszuści korzystają z każdej dostępnej platformy, aby zwodzić ludzi i stale zmieniają swój sposób działania tak, by uniknąć złapania. Oszukańcze treści łamią nasze zasady i usuwamy je, gdy je znajdziemy. Współpracujemy również z firmami, władzami lokalnymi i organami ścigania, aby pokonać tych zdeterminowanych przestępców”.

Scam, czyli big problem

Scam to internetowe oszustwo, którego celem wyłudzenie pieniędzy (lub danych) od niczego niepodejrzewających ofiar. W tym celu przestępcy stosują rozmaite zabiegi, wykorzystując między innymi strony internetowe i platformy społecznościowe.

Musi być ona przekonana, że przedstawiana jej w internecie oferta jest prawdziwa, bo tylko wtedy zdecyduje się na przelanie pieniędzy, zalogowanie się na stronie itp. W tym celu oszuści podszywają się pod znane w danym kraju marki i popularne portale. Wykorzystują też wizerunki osób publicznych. Robią to w najprostszy możliwy sposób – wykupują reklamy na platformach społecznościowych.

Były więc już fałszywe reklamy wykorzystujące markę Orlen, która miała zachęcać do inwestycji finansowych. Były reklamy wykorzystujące znane media, między innymi Puls Biznesu czy Wprost. Ze scamem musieli mierzyć się między innymi: piłkarz Robert Lewandowski, dziennikarka Monika Olejnik, prawicowy publicysta Wojciech Cejrowski, Hubert Urbański, Agata Młynarska, ale też na przykład Polska Grupa Zbrojeniowa czy Lotnisko Chopina w Warszawie. Podszywano się pod marki znanych sklepów sprzedających sprzęt komputerowy. Wykorzystano wizerunek Donalda Tuska, Sławomira Mentzena, Andrzeja Dudy, Mateusza Morawieckiego.

Na zdjęciu u góry – Rafał Brzoska (z lewej) i Robert Lewandowski – wizerunki obu zostały wykorzystane przez sieciowych oszustów

Jak podawał portal CyberDefence24, w 2023 roku Meta usunęła 413 milionów wpisów, zawierających treść o charakterze scamu. Z tego, według deklaracji Mety, 98 procent zablokowano, zanim możliwe było ich zgłoszenie przez użytkowników. Czyli zanim posty te w ogóle dotarły do odbiorców.

Miliardy kont, tysiące domen

Meta w publikacji na swoim Centrum Bezpieczeństwa podała także, że tylko w czwartym kwartale 2022 roku monitorowała 1,3 miliarda fałszywych kont.

„Nieustannie pracujemy nad wykrywaniem i blokowaniem oszustw, których celem jest celowe oszukiwanie, wprowadzanie w błąd, defraudacja i wykorzystywanie ludzi w celu uzyskania pieniędzy lub majątku” – zapewnia Meta.

Ponieważ oszuści na platformach tylko zaczynają swoje działania, a potem przekierowują swoje ofiary na inne strony internetowe, blokowane są także używane przez nich domeny (adresy stron). W Polsce zajmuje się tym CERT Polska, czyli powołany przez rząd zespół reagowania na incydenty w cyberprzestrzeni. Prowadzi on Listę Ostrzeżeń przed niebezpiecznymi stronami (każdy może zgłosić próbę wyłudzenia tutaj). W 2023 roku znajdowało się na niej ponad sto tysięcy domen.

Te liczby pokazują, z jak potężnym problemem mierzą się zarówno platformy społecznościowe, jak i instytucje zwalczające cyberprzestępców.

Meta reaguje, ale też czerpie zyski

Niedawno analizowałam wybrane fanpage na Facebooku, za pośrednictwem których wykupowane były scamerskie reklamy. W tym także te, które wykorzystywały dane Omeny Mensah i Rafała Brzoski. Część z nich była już zablokowana przez administratorów platformy, co oznacza, że Meta rzeczywiście reaguje na przynajmniej niektóre próby oszustwa i blokuje takie konta (choć zazwyczaj robi to z opóźnieniem).

Jednocześnie widać było, że oszuści zdają sobie sprawę z ryzyka. Robią więc wszystko, by móc jak najdłużej oszukiwać internautów. Na przykład zakładają jednocześnie kilka fanpage`y o podobnych nazwach i natychmiast po zablokowaniu jednego przenoszą się na następny. Korzystają też z nieaktywnych kont na Facebooku, włamują się na nie i stamtąd publikują oszukańcze reklamy – co utrudnia wykrycie oszustwa.

Oszuści dopasowują również reklamy do odbiorców z konkretnego państwa. Co innego zobaczą użytkownicy platformy z Węgier, Polski czy Estonii, mimo że reklamy zostaną opublikowane z tego samego konta.

Meta blokuje konta i usuwa reklamy, ale reaguje dopiero po jakimś czasie. Tego właśnie najczęściej dotyczą stawiane firmie zarzuty – że działa za późno. A do momentu reakcji czerpie profity z działań oszustów, to znaczy bierze od nich pieniądze za promocję oszukańczych treści. Na dodatek często osoby zgłaszające scam dostają informację, iż dany post nie narusza regulaminu platformy, co w przypadku oszustwa jest bulwersujące.

Pozew o „zaniedbania ze strony Mety”

Ponieważ problem jest globalny, Meta mierzy się z nim nie tylko w Polsce czy Europie. Miliarder Andrew Forrest złożył pozew przeciwko tej firmie w Stanach Zjednoczonych. On także został użyty w fałszywych reklamach. Za pomocą jego nazwiska i wizerunku promowano zachęty do inwestowania w fałszywe kryptowaluty i inne nieuczciwe inwestycje. Forrest pozywa Metę za „zaniedbania ze strony Mety„. Mają one polegać na ”umożliwieniu wyświetlania fałszywych reklam, co narusza obowiązek działania w sposób komercyjnie uzasadniony”.

Przez chwilę stańmy jednak po drugiej stronie sporu i przyjrzyjmy się, jak wygląda blokowanie reklam i kont. Najczęściej stoi za tym zautomatyzowane narzędzie, wykorzystujące sztuczną inteligencję. Mimo szybkiego rozwoju tej technologii popełnia ono błędy (co przy okazji pokazuje, że AI jest daleka od doskonałości): blokuje to, czego blokować nie powinno, pomija to, co powinno zostać usunięte. Tylko niewielki procent reklam i zgłoszeń, pochodzących z Facebooka czy Instagrama, weryfikowany jest przez ludzi. Inna proporcja nie jest realna. Codziennie na platformach społecznościowych należących do Mety pojawiają się tysiące, jeśli nie miliony reklam.

Na dodatek pewne elementy w scamerskich postach sprawiają, że bywają one naprawdę trudne do odróżnienia od prawdziwych dla niedoskonałego narzędzia. Weźmy zgłaszane przez Mensah i Brzoskę reklamy z ich udziałem. Jak podaje w komunikacie UODO, Omenaa Mensah „wykryła aż 263 reklamy (które wielokrotnie liczyły od 2 do 6 wersji)”. Pojawiły się w nich fałszywe informacje, „dotyczące śmierci dziennikarki, faktu, że została pobita przez męża czy że sama trafiła do więzienia”. A więc naruszały one dobra osobiste, godziły w dobre imię jej lub męża.

Problem trudny także technicznie

Tyle że fałszywe doniesienia publikowane były w taki sposób, by graficznie wyglądały identycznie jak artykuły pochodzące z dużych, znanych mediów.

W jaki sposób narzędzie oparte na AI ma ocenić, że reklama zawierająca taki materiał jest fałszywa? To wymaga sprawdzania danych poza platformami społecznościowymi i analizowania archiwum portalu informacyjnego. Można też zweryfikować konto, które opublikowało reklamę. Jednak gdy użyte zostaje zhakowane konto instytucjonalne, problem narasta. W takiej sytuacji AI, bez zewnętrznej weryfikacji danych, prawdopodobnie nie jest w stanie wykryć oszustwa.

Inny przykład: reklama fałszywie informująca, że „od 5 lipca Rząd RP i Uniwersytet Warszawski udostępnia osobom powyżej 45. roku życia bezpłatne kursy uniwersyteckie online”. Wystarczy kliknąć, by – jak twierdzi reklamodawca – sprawdzić ofertę kursów, a tak naprawdę przenieść się na scamerską stronę, która będzie próbowała wyciągnąć od nas dane lub pieniądze. Tym razem wykorzystywana jest marka instytucji oraz instytucjonalny autorytet rządu.

Znów – jest to trudne do wykrycia przez AI. W tym przypadku narzędzie mogłoby przeanalizować niespójność fanpage`a reklamodawcy (prowadzonego przez konta z Azji) z lokalizacją i treścią reklam. Tyle że nie ma zakazu dawania reklam o polskim uniwersytecie czy rządzie przez konta z Chin, czy Hong Kongu. Zresztą to samo konto publikuje też płatne posty, podszywające się pod uczelnie francuskie, hiszpańskie i niemieckie.

Czy da się walczyć ze scamem?

Czy to znaczy, że naprawdę „nie da się” walczyć z internetowym scamem? To byłby błędny wniosek. Da się, tyle że wymaga to zmiany podejścia przynajmniej w kilku obszarach. Po pierwsze: trzeba sobie uświadomić, że głównymi winowajcami nie są platformy społecznościowe, tylko wykorzystujący je oszuści.

To jest trudne, ale nie niemożliwe. Wymaga dobrej współpracy zarówno pomiędzy służbami z odległych państw (przy założeniu, że w ogóle będą chciały ścigać oszustów), jak i między organami ścigania a platformami społecznościowymi. Meta w tych przypadkach nie powinna zasłaniać się polityką prywatności, lecz jak najszybciej przekazywać dane o rachunkach, powiązanych ze scamerskimi reklamami.

Ze względu na trudności wiele państw woli się dziś jednak skoncentrować na właścicielach platform niż na zwalczaniu oszustów. To źle wróży. Jeśli to podejście się nie zmieni, oszuści niezależnie od kar i zakazów nakładanych na Metę czy inne firmy będą dalej zamieszczać scam. Tyle że dostosują go do zmieniających się regulaminów platform. Albo przeniosą się na inne platformy.

Po drugie: musi zmienić się podejście platform społecznościowych (nie tylko Mety). Ich właściciele muszą sobie uświadomić, że platformy służą dziś także do cybeprzestępstw. I tak jak w świecie rzeczywistym oszustów ściga policja, mając do tego wszelkie uprawnienia, tak samo odpowiednie służb muszą to robić w świecie cyfrowym, mając maksymalnie szeroki dostęp do cyfrowych danych.

Edukacja, przejrzystość, ograniczenia prawne

Wreszcie po trzecie: trzeba jeszcze intensywniej edukować użytkowników internetu oraz zająć się na poważnie ofiarami scamu.

To także przestrzeń do tworzenia nowych narzędzi. Choćby aplikacji automatycznie rozpoznających domeny znajdujące się na Liście Ostrzeżeń, ułatwiających internautom rozpoznawanie sieciowych oszustw.

Meta, ale też i inne platformy społecznościowe, muszą wprowadzić przejrzyste zasady opłacania wszystkich reklam, być może – w porozumieniu z organami ścigania – wprowadzając ograniczenia czy pogłębioną weryfikację podczas wykupu płatnych treści z kont zagranicznych. I w tym zakresie rzeczywiście warto na platformy wywierać presję instytucjonalną i prawną. Podobnie jak w kwestii ulepszania narzędzi sprawdzających reklamy.

Obawiam się jednak, że zakaz Urzędu Ochrony Danych Osobowych dotyczący reklam z Brzoską i Mensah w takiej presji nie pomoże. Czekam, kiedy UODO, najlepiej w porozumieniu z innymi instytucjami oraz regulatorami z państw europejskich, przygotuje wielowektorową strategię walki ze scamem w internecie. Wtedy będziemy mogli mówić o przełomie. Z tym że nawet wtedy do sukcesu będzie daleko.