„We współpracy z innymi CSIRT-ami staramy się na bieżąco informować właścicieli platform o zagrożeniach dystrybuowanych za pośrednictwem reklam. Nasze działania nie będą jednak w pełni skuteczne bez proaktywnej postawy z drugiej strony. Na poziomie deklaratywnym wydaje się, że ta współpraca układa się dobrze. Patrząc jednak na rzesze oszukanych Polaków i stojące za tymi sytuacjami, często dramatyczne historie ludzi tracących majątki życia, możemy mieć poczucie, że nasz głos, ale też głos obywateli, którzy korzystając z platform, obdarzają je zaufaniem, nie jest słyszalny odpowiednio głośno” – takie podsumowanie znalazło się w analizie opublikowanej w ubiegłym tygodniu przez CERT Polska, czyli zespół ekspertów ds. cyberbezpieczeństwa działający w strukturach NASK.
To przełom – nigdy wcześniej publiczna instytucja tak otwarcie nie pisała o tym, że to właściciele mediów społecznościowych są odpowiedzialni za bezkarność internetowych oszustw. Kiedy jednak eksperci chcieli upowszechnić tę wiedzę wraz z obszernym materiałem dowodowym na Facebooku, platforma skasowała ich post. A później także posty innych użytkowników, którzy chcieli rozpromować analizę.
„Nie ma w nas zgody na takie działania” – pisze w oficjalnym oświadczeniu szef CERT Polska.
Oszustwa internetowe to problem rosnący z roku na rok
Z danych NASK wynika, że tylko w 2023 r. eksperci tej instytucji zablokowali 80 tys. szkodliwych domen, wśród których aż 32 tys. było powiązanych z fałszywymi inwestycjami. To rodzaj oszustwa, w którym ofiary są naganiane za pomocą mediów społecznościowych – przestępcy wykupują w nich reklamy, które mają przyciągać uwagę. Posługują się przy tym sfałszowanymi wizerunkami znanych osób, np. prezydenta Andrzeja Dudy, jednego z liderów Konfederacji Sławomira Mentzena, podróżnika Wojciecha Cejrowskiego czy miliardera Rafała Brzoski i jego żony Omeny Mensa
Po tym, jak osoba zachęcona przez sensacyjny nagłówek i zdjęcie znanej osoby kliknie w post, jest przenoszona na oszukańczą stronę internetową. W ubiegłym roku CERT udaremnił 50 mln wejść na takie witryny (tyle razy użytkownicy mediów społecznościowych kliknęli linki przekierowujące tam reklam), a w tym roku – już 75 mln takich prób.
Specjaliści CERT Polska w zablokowanej przez Facebook analizie napisali już otwartym tekstem, że platformy przerzucają ciężar filtrowania treści na zewnętrzne podmioty, takie jak: ich zespół, analogiczna jednostka przy Komisji Nadzoru Finansowego czy dostawcy usług telekomunikacyjnych. Dodali również, że „tylko platformy społecznościowe mają skuteczne narzędzia, by pozbyć się oszustów”.
Tymczasem, jak zauważyli analitycy CERT Polska, mimo że platformy mają mechanizmy raportowania szkodliwych reklam, w praktyce obsługują zgłoszenia z dużym opóźnieniem, kiedy oszukańcza witryna już nie działa (według przedstawionych przez nich danych najwięcej wejść jest w pierwszej dobie po publikacji). Zwracają też uwagę, że w starciu z fałszywymi reklamami nie ma szans przeciętny użytkownik, bo platformy po prostu odrzucają takie zgłoszenia.
„W ramach naszych obserwacji dostrzegliśmy, że problem reklam jest znacznie szerszy i dotyczy, najogólniej mówiąc, reakcji platformy na oszukańcze treści. Mamy tu na myśli m.in. to, że konta, z których wielokrotnie publikowane są złośliwe reklamy, często nie są blokowane i przestępcy mogą korzystać z nich dalej bez przeszkód” – czytamy w analizie.
Analizę CERT Polska podawali dalej zwykli użytkownicy i inni eksperci z branży nowych technologii, m.in. serwis informacyjny Telepolis.pl czy firma Sekurak. W odpowiedzi platforma usunęła post redakcji, a firmie zablokowano cały profil (pomogło odwołanie od decyzji, dziś Sekurak jest już dostępny). Wielu obserwujących profil CERT Polska na Facebooku publikowało screeny wskazujące, że im również Facebook nie pozwalał upowszechniać treści.
Brzoska pozwał Metę
– Polacy, którzy korzystają z platform, obdarzają je zaufaniem, dlatego mamy prawo oczekiwać od ich władz i administratorów, że to zaufanie nie będzie wykorzystywane w niewłaściwy sposób. Potrzebujemy proaktywnej postawy u naszych partnerów – podkreślił w oświadczeniu po usunięciu postów Marcin Dudek, kierujący pracami CERT Polska. – Kluczowa wydaje się w tym momencie kwestia poprawy moderacji, która pozwala na to, by oszukańcze treści trafiały do użytkowników – dodał.
W kwestii oszukańczych reklam i indolencji platform ze stajni Marka Zuckerberga zapadły już pierwsze rozstrzygnięcia. Rafał Brzoska pozwał Metę za to, że pozwala na bezprawne wykorzystanie wizerunku jego i Omeny Mensah. Sąd udzielił zabezpieczenia na rok – każdy kolejny deep fake z ich wizerunkiem będzie skutkował karami dla platformy.
Wcześniej Urząd Ochrony Danych Osobowych wydał decyzję, na mocy której Meta dostała trzymiesięczny bezwzględny zakaz wyświetlania reklam, które wykorzystują wizerunek lub dane małżonki miliardera. Za złamanie zakazu gigantowi groziła kara w wysokości do 4 proc. światowego przychodu. Teraz Brzoska wyciąga rękę również do innych osób, których wizerunek wykorzystują oszuści. Publicznie zaoferował pomoc prawną m.in. Rafałowi Ziemkiewiczowi.
Meta odpowiada: wina algorytmu
Poprosiliśmy spółkę o wyjaśnienia. Biuro prasowe koncernu przysłało nam odpowiedź, w której wyjaśnia, że usunięcie postu ze strony CERT Polska było pomyłką algorytmu, które uznały edukacyjne treści zawierające opisy technik oszustw za naruszające zasady.
„Post, o którym mowa, został błędnie usunięty przez nasze automatyczne systemy, ale został już przywrócony. Szczerze przepraszamy za niedogodności, jakie to mogło spowodować u wszystkich dotkniętych tym problemem. W Meta jesteśmy zaangażowani we wspieranie inicjatyw zwiększających świadomość na temat oszustw oraz działań na rzecz ich zwalczania. Z niecierpliwością czekamy na współpracę z organizacjami promującymi bezpieczeństwo w sieci, w tym z CERT Polska" - czytamy w wyjaśnieniu.
Spółka zapewnia, że będzie robiła wszystko by zapobiec podobnym błędom w odniesieniu do treści CERT w przyszłości, a także w stosunku do innych użytkowników, którzy chcieliby upowszechniać treści publikowane przez zespół w NASK. Biuro prasowe przekonuje również, że Meta testuje nowe zastosowania technologii rozpoznawania twarzy, aby wykrywać i powstrzymywać złośliwe podmioty przed wykorzystywaniem wizerunków osób publicznych do przestępstw, takich jak oszustwa, wyłudzenia czy podszywanie się.
(Tekst został zaktualizowany 3.12.2024, o godz. 8:56 o stanowisko Meta)
©℗