De seneste måneder har Meta været under heftig kritik for ikke at stoppe svindelannoncer på Facebook.

Flere medier, herunder TjekDet, har eksempelvis fortalt, hvordan svindelannoncer får lov at blive på platformen, selvom brugere har anmeldt annoncerne direkte til Meta.

Nu kan TjekDet afsløre, hvordan svindlerne med relativt simple midler driver gæk med både Metas menneskelige moderatorer og deres automatiserede kontrolsystemer, så annoncerne finder vej til de danske skærme.

Kort fortalt tilpasser svindlerne de links, der er tilknyttet svindelannoncerne, så Facebook-brugere, der klikker på annoncerne fra en dansk IP-adresse, ledes ind på svindlernes falske investeringssider, mens alle andre ledes over på tilsyneladende harmløse sider.

Det burde dog ikke være så svært for Meta at imødegå svindlernes tricks, mener Peter Kruse, der som en af de førende it-sikkerhedseksperter herhjemme i mange år har rådgivet virksomheder i cybersikkerhed. Men det kræver først og fremmest, at Meta har forstået, hvad der foregår, fastslår han.

“Og det ved jeg ikke, om de har. De siger jo ikke noget, så jeg ved reelt ikke, om de har fattet noget som helst, men jeg kan bare konstatere, at deres egne algoritmer og de mennesker, de har ansat, i hvert fald ikke er særligt gode til at fange det her,” siger Peter Kruse.

Som stifter af cybersikkerhedsvirksomheden CSIS Security Group har Peter Kruse i mange år været en af de førende eksperter i cybersikkerhed herhjemme. I dag er han Chief Information Security Officer hos ladeoperatøren Clever. Foto: Peter Kruse

Annoncer målrettes danskere

TjekDet har på mail spurgt Meta, om de er bekendte med den fremgangsmåde, som snyder deres kontrolsystem. Vi har også spurgt, hvor Metas menneskelige moderatorer fysisk er placeret, og hvordan moderatorerne rent lavpraktisk behandler anmeldelser af svindelannoncer. Ingen af spørgsmålene har vi fået svar på.

Kulturministeriet skriver dog i en rapport fra maj 2024, at Meta har seks dansktalende moderatorer tilknyttet Facebook og Instagram. Meta har efterfølgende opdateret tallet til 17 i deres egen gennemsigtighedsrapport. Det fremgår ikke, hvor i verden moderatorerne befinder sig.

Meta skriver desuden selv, at de udover “automatisk teknologi” også bruger menneskelige moderatorer “til at forbedre og træne vores automatiserede systemer og i nogle tilfælde til at gennemgå specifikke annoncer manuelt.”

Men hvis moderatorerne ikke benytter en dansk IP-adresse, når de gennemser det anmeldte indhold, er de ifølge Peter Kruse chanceløse. Svindlerne bruger nemlig en såkaldt IP geolocation, der kan bestemme indholdet af deres links ud fra, hvor i verden brugeren klikker, viser TjekDets research.

“Når svindlerne laver de her kampagner målrettet danskere med sider på dansk, er de kun interesserede i at få trafik ind, som kommer fra IP-adresser i Danmark. Det gør det besværligt for et antisvindel-hold hos Facebook i for eksempel USA at validere, at det her rent faktisk er svindel, for de vil lande på tilsyneladende legitime sider,” siger Peter Kruse.

I praksis betyder det, at eksempelvis en annonce med skuespilleren Peter Mygind vil lede videre til en falsk B.T.-artikel, hvis man klikker på annoncen fra en dansk IP-adresse. Men skifter man til eksempelvis hollandsk IP-adresse, som TjekDet har forsøgt sig med, ender man på den danske Michelin-restaurant Alchemists hjemmeside ved at klikke på præcis samme annonce.

I et andet tilfælde leder en Anders Lund Madsen-annonce til en spansk webshop, der umiddelbart sælger badetøj, men hvor det ikke er muligt at købe noget, hvis vi klikker fra en hollandsk IP-adresse. Klikker vi derimod fra en dansk IP-adresse, føres vi over på den sædvanlige falske B.T.-artikel designet til at lede læseren videre til en falsk investeringsplatform.

Tony Gee er seniorrådgiver i det britiske cybersikkerhedsfirma Pen Test Partners, og han har for TjekDet dechifreret linket i førnævnte Peter Mygind-annonce. På den baggrund konstaterer han, at der i det meget lange link er gemt et såkaldt annonceparameter, som sørger for at sende brugere fra danske IP-adresser over på den falske B.T.-artikel og alle andre over på Alchemists hjemmeside.

“Hvis du fjerner alt efter spørgsmålstegnet i linket, vil du - selv hvis du er tilkoblet en dansk IP-adresse - ende på Alchemists hjemmeside. Så det indikerer, at svindlerne bruger annonceparametrene til at specificere, hvor man skal ende henne,” siger Tony Gee.  

Han har brudt det lange link op og manuelt indsat hver enkelt annonceparameter et ad gangen efter hovedlinket, og kun med parameteret ‘adset_name=SLAVA’ ledes man med en dansk IP-adresse over til den falske B.T.-artikel. 

Svindlernes URL består af et hovedlink (markeret med gul), der - uanset hvilken IP-adresse man bruger - leder videre til Alchemists hjemmeside, hvis man kun indtaster det pågældende link i sin browser. Derudover består URL'en af en helt masse annonceparametere, som er opdelt af det samme tegn (markeret med lyserød). I alt er der 16 annonceparametere, som hver især har deres egen betydning.

1 / 5

Nogle af parameterne er helt typiske for Facebook-annoncer og fortæller eksempelvis, at det er en betalt annonce (markeret med grøn), og at den skal vises i brugeres Facebook-feed, når de tilgår Facebook via desktop (markeret med gul), altså på computer og ikke telefon. Sætter man skiftevis hver enkelt parameter bag på hovedlinket, bliver man i næsten alle tilfælde ført over på Alchemists hjemmeside, uanset om man er på en dansk eller udenlandsk IP-adresse. Men i ét tilfælde ender man på en falsk B.T.-artikel.

1 / 5

Kun når man med en dansk IP-adresse sætter parameteret 'adset_name=SLAVA' bag på hovedlinket, ender man på en falsk B.T.-artikel, hvor Peter Mygind angiveligt afslører hemmeligheden om sin store investering. Med en ikke-dansk IP-adresse ender man via samme link på Alchemists hjemmeside. Ifølge cybersikkerhedsekspert Tony Gee er det altså det specifikke parameter i den lange URL, der sørger for at sende danske Facebook-brugere ind på de falske artikler.

1 / 5

Kunstig intelligens halser også efter

Over for TjekDet har Metas politiske chef i Norden, Martin Ruby, tidligere understreget, at Meta lægger stor vægt på kunstig intelligens og machine learning i monitoreringen af svindel på deres platforme. Meta skriver også, at deres “system til annoncegennemgang anvender primært automatisk teknologi til at håndhæve annonceringsreglerne” på deres platforme.

Men Metas automatiske kontrolsystemer har som bekendt heller ikke den store succes med at identificere den åbenlyse svindel. Tony Gee kan ikke med sikkerhed sige, hvordan det kan være, men han har et bud.

"Jeg mistænker, at Facebooks automatiske systemer simpelthen tilgår linket uden annonceparameterne (https://ecompro.pro/KGF4qXVt?), for det fører uanset IP-adresse til Alchemists hjemmeside,” siger han.

Kunstig intelligens er kendissvindlernes nyeste træk

For Peter Kruse er det ikke overraskende, at også Metas automatiske systemer halser efter svindlerne. Kunstig intelligens er nemlig langt hen ad vejen et produkt af de mennesker, der oplærer den, forklarer han.

“Hvis den kunstige intelligens ikke er blevet lært, at den skal tage højde for de her ting, så kommer du ingen steder med den. For hvad kan den så fortælle dig? Den kan ikke se noget, fordi den kommer ind på en side, som ikke indeholder noget skadeligt, fuldstændig som alle andre i Meta gør. Den kan hverken lære noget af det eller opsamle noget, der er mistænkeligt,” siger Peter Kruse. 

Nærmest obskurt

Når det så relativt nemt er lykkedes TjekDet at afsløre svindlernes forsøg på at snyde systemerne, så kan Meta også sørge for, at i hvert fald deres menneskelige moderatorer kan det, siger Peter Kruse.

“De skal bare sørge for at få en IP-adresse, der slår ud et eller andet sted i Danmark, og så får de det præcise indhold, som danskerne vil modtage det,” siger han.

Tony Gee tilføjer, at også Metas automatiserede kontrolsystem burde kunne løse opgaven.

"Meta burde være i stand til at få deres automatiske systemer til at efterligne, hvad brugerne oplever, når de trykker på en annonce. Jeg finder det nærmest obskurt, at de tilsyneladende ikke er i stand til det. Jeg kan simpelthen ikke se en god grund til, at Meta ikke kan stoppe det her," siger han.

Artiklen fortsætter under billedet

Tony Gee er seniorådgiver i det britiske cybersikkerhedsfirma Pen Test Partners, og han kan ikke forstå, at Meta har så svært ved at stoppe svindlerne. Foto: Pen Test Partners LLP

TjekDet har forelagt Meta, at de ifølge eksperterne burde kunne imødegå svindlernes metode, og spurgt, om de på den baggrund har tænkt sig at ændre noget i deres moderation af Facebook. Vi har ikke fået svar på vores henvendelse.

I en tidligere artikel udtaler Martin Ruby dog til TjekDet, at Meta fjerner tusindvis af svindelannoncer fra deres platforme døgnet rundt, men at det er en svær kamp, fordi “svindlerne er velorganiserede, bruger nye teknologier og er stærkt motiverede til konstant at prøve at snyde vores systemer.”

Han tilføjer, at Meta ingen interesse har i at have svindelannoncerne på deres platforme.

“Kunne vi fjerne svindlen helt og med det samme, så gjorde vi det meget gerne, men det er sværere, end man skulle tro selv for store platforme som os,” skriver Martin Ruby i en mail.

TjekDet sætter fokus på investeringssvindel på Facebook. Den seneste tid har vi udgivet adskillige artikler om, hvem svindlerne er, og vi stiller spørgsmålet, hvorfor Meta ikke er i stand til at eliminere svindlen, der starter på deres platforme.

Du kan læse alle artiklerne i vores artikelserie her, og du kan blive opdateret på alle vores kommende artikler ved at følge os på Facebook eller skrive dig op til vores nyhedsbrev nedenfor.