Поддельные скандальные видео в Facebook заманивают жертв в инвестиционные ловушки

Специалисты Bitdefender обнаружили сотни мошеннических кампаний, продвигаемых через рекламу в Facebook, которые используют поддельные новостные сюжеты, имитацию знаменитостей и цепочки перенаправлений, чтобы заманить жертв в схемы инвестиционного мошенничества.

Активность осуществлялась через 310 вредоносных рекламных кампаний, распространяемых на платформах Meta с 9 февраля по 5 марта 2026 года. Кампании привели к более чем 26 000 показов рекламы с локализованным контентом на более чем 15 языках.

Операция использовала три основные мошеннические подкампании и одну меньшую ветвь, а инфраструктура указывала на две или три отдельные группы операторов, действующих по одной и той же схеме.

Анатомия инвестиционной аферы

Кампании использовали небольшой набор повторяющихся сюжетов для привлечения жертв. Три темы появлялись снова и снова в разных странах и на разных языках.

Один из самых распространённых нарративов, «Завещание знаменитости», был сосредоточен на заявлениях о наследстве или предполагаемых последних откровениях, связанных с известными публичными лицами. Объявления намекали, что знаменитость тайно инвестировала в торговую платформу или оставила финансовые советы, которые могут обогатить обычных людей.

Другая частая тема, «Банковский / Финансовый скандал», инсценировала драматичные телевизионные конфронтации с участием банковских руководителей, глав центробанков или финансовых регуляторов. В этих историях публичная фигура якобы раскрывает новую инвестиционную возможность во время жаркого интервью, прежде чем трансляция подвергается цензуре или удаляется.

Третья категория, «Разоблачение политической фигуры», опиралась на сенсационные заявления о политиках. Эти объявления утверждали, что политический лидер был арестован, разоблачён в скандале или пойман на раскрытии секретной инвестиционной платформы, способной приносить крупную прибыль.

«Каждый нарратив можно локализовать, использовать повторно, и он обладает эмоциональной убедительностью, что делает его эффективным в социальных сетях», — отметили исследователи.

После знакомства с одним из таких сюжетов жертвы перенаправляются на спонсируемую публикацию, которая, казалось бы, ведёт на доверенный веб-сайт. Некоторые используют легитимные домены. Другие имитируют известные медиабренды через клонированный дизайн и похожие веб-адреса.

Страница-превью редко содержит сам мошеннический контент. Цепочка перенаправлений перемещает посетителя на другую цель с минимальными видимыми изменениями. Следующая страница обычно демонстрирует сенсационную новостную статью или экстренный репортаж, связанный с исходной рекламой. Сюжет знакомит с инвестиционной платформой и настоятельно призывает читателей зарегистрироваться для получения доступа или начала заработка.

Формы регистрации запрашивают базовую личную информацию, такую как имя, номер телефона и адрес электронной почты. Отправка формы передаёт данные операторам, управляющим схемой. Контакт обычно следует очень быстро.

Жертвы начинают получать звонки от лиц, выдающих себя за менеджеров счетов или инвестиционных консультантов. Эти звонящие проводят цели через первоначальные взносы и поощряют дополнительные переводы.

В разговорах звучат обещания высокой доходности и ограниченных по времени возможностей. Интерфейс платформы показывает панели управления счетами с растущими балансами, призванными имитировать успешные сделки. Эти цифры сфабрикованы и служат для убеждения жертв перевести больше денег.

Обходные механизмы, встроенные в рекламный канал

Инфраструктура мошенничества рассматривала обход модерации как рутинную часть своей работы. Наблюдаемые тактики включали злоупотребление превью-страницами с доверенных доменов, включая легитимные новостные сайты и google.com, сети поддельных медиа-доменов и подмену символов на кириллические гомоглифы, предназначенную для обхода автоматических фильтров.

Исследователи также наблюдали креативный оборот доменов, их ротацию и миграцию методик между регионами, что позволяло кампаниям оставаться активными на нескольких рынках в течение периода исследования.

Операционные индикаторы указывали на общий управленческий уровень в рамках частей этой экосистемы. Метаданные на русском языке появлялись в нескольких европейских мошеннических кампаниях. Внутренние метаданные кампаний и общие идентификаторы покупателей указывали на русскоязычную партнёрскую или управляющую группу, координирующую элементы инфраструктуры.

Исследователи не нашли в данных свидетельств государственного спонсорства, участия разведывательных служб или политического руководства, что позволяет предположить финансовую мотивацию данной деятельности.

Структура, описанная в исследовании, напоминала модульную франшизу. Общие инструменты и единый сценарий, по-видимому, поддерживали операторов, ориентированных на конкретный регион, которые могли разворачивать локализованные схемы, не меняя модель монетизации.

Повторное использование проявлялось в совпадающей инфраструктуре, общих UTM-метках и пикселях, согласованном времени запуска, а также в повторяющихся нарративных шаблонах, адаптированных под местных персоналий и медиабренды.

Meta усиливает борьбу с мошеннической рекламой

В последние годы на Meta оказывалось всё большее давление с требованием усилить защиту пользователей своих социальных платформ.

Недавно компания подала ряд судебных исков против фирм и частных лиц из Бразилии, Китая и Вьетнама, использовавших обманные тактики для размещения мошеннических объявлений.

Она также внедрила новые инструменты в Facebook, Messenger и WhatsApp, призванные защитить пользователей от мошенничества.