Kluczowe informacje:

Od Dakaru w Senegalu po Astanę w Kazachstanie powtarza się taki sam schemat – strony na Facebooku podszywające się pod lokalne usługi transportu publicznego oferują bilety po wyjątkowo niskich cenach. Tak rozpoczyna się oszustwo.

Prawdziwym celem jest przekierowanie użytkowników na strony phishingowe, aby wyłudzić dane kart kredytowych internautów. W okresie od lipca 2024 roku do lipca 2025 roku Maldita.es zidentyfikowała 1 075 stron stosujących ten schemat w 746 miastach i regionach w 60 różnych krajach.

To oszustwo ma nie tylko globalny zasięg, lecz także międzynarodową strukturę. Zgodnie z danymi udostępnionymi przez firmę Meta, ponad połowa administratorów tych stron znajduje się w Wietnamie, podczas gdy większość powiązanych domen jest hostowana na tylko dwóch adresach IP tego samego dostawcy w Rosji.

W całym procederze kluczową rolę odgrywa system reklamowy samej firmy Meta. Choć większość stron miała niewielką liczbę obserwujących, wiele z nich zdołało masowo rozprzestrzenić treści phishingowe dzięki ponad 9 000 płatnym reklamom na Facebooku i Instagramie. Mimo że Meta  usunęła za naruszenie zasad reklamowych przynajmniej jedną reklamę z 55 proc. tych stron, wszystkie strony były nadal publicznie dostępne w okresie zbierania danych (lipiec 2025), a nawet wiele miesięcy po rozpoczęciu działalności.

Międzynarodowa struktura oszustwa

Poza treścią promowanych postów firma Meta miała też inne sygnały ostrzegawcze, które wskazywały, że nie chodziło o pojedynczy przypadek, lecz o skoordynowane sieci oszustów, wobec których można było podjąć działania. Prawie co piąta strona choć raz zmieniła nazwę, a wiele z nich zostało ponownie wykorzystanych, by oferować rzekome usługi transportowe w innych miastach. Przykładowo: jedna ze stron najpierw podszywała się pod agencję transportu publicznego w Le Havre (Francja), a później przekształcono ją w fałszywą stronę firmy transportowej z Peterborough (Wielka Brytania).

Ta sama strona dla dwóch miast:

Przykłady stron o podobnym schemat nazw:

To oszustwo ma charakter międzynarodowy nie tylko dlatego, że dotyczy 60 krajów, lecz także dlatego, że siatka osób, które odpowiadają za te oszustwa,  wydaje się rozproszona po całym świecie. Meta udostępnia dane o lokalizacji administratorów wielu z tych fałszywych stron podszywających się pod lokalne usługi transportowe, jednak tylko w jednym przypadku lokalizacja administratora pokrywa się z krajem, który rzekomo reprezentuje dana strona. Są przypadki, takie jak fałszywy system transportu publicznego w Brighton, który jest zarządzany przez dwóch administratorów: jednego z Tajlandii i drugiego z Wietnamu.

Z 515 administratorów, których lokalizacje Meta ujawniła, ponad połowa znajduje się w Wietnamie. Kolejne najczęstsze lokalizacje to Ukraina, Bangladesz i Stany Zjednoczone.

Kampania na globalną skalę

Chociaż tylko siedmiu administratorów z dostępnymi danymi o lokalizacji (1,3 proc.) znajduje się w krajach Unii Europejskiej, 68 proc. fałszywych stron podszywa się pod usługi transportu publicznego działające w granicach UE. Najwięcej tego typu stron wykryto we Francji, Włoszech i Wielkiej Brytanii. Barcelona była miastem najbardziej dotkniętym tymi oszustwami: ponad 20 różnych stron podszywało się pod jej system transportu publicznego.

W czerwcu Maldita.es zgłosiła firmie Meta 58 fałszywych stron na Facebooku, które promowały w Hiszpanii swoje oszustwa za pomocą reklam. Organizacja skorzystała z mechanizmów zgłaszania ustanowionych przez unijną Dyrektywę o usługach cyfrowych (DSA), jednak tydzień później 93 proc. tych stron było nadal aktywnych.

Podobny wzorzec, skupiający się na Europie, jest widoczny także w korzystaniu z platform reklamowych firmy Meta do promowania oszustw. Spośród ponad 9 100 reklam uruchomionych przez te strony, według repozytorium reklam Meta, tylko 20 dotyczyło krajów spoza Europy.

Domeny zarejestrowane w Rosji

Według informacji udostępnionych przez firmę Meta, fałszywe strony są prowadzone z ponad 30 różnych krajów, z czego najczęściej pojawia się Wietnam. Z analizy linków promowanych w postach na pierwszy plan wysuwa się kolejny kluczowy kraj: Rosja.

Zadaniem tych stron jest nakłonienie użytkowników do kliknięcia w link prowadzący do strony internetowej. Tam użytkownicy mają podać swój numer karty kredytowej – rzekomo w celu zakupu biletu komunikacji miejskiej po obniżonej cenie. Z analiz wynika, że  ponad połowa tych stron na Facebooku odsyła do domen hostowanych na zaledwie dwóch adresach IP, które należą do tego samego dostawcy w Rosji.

Formularz na jednej z promowanych stron internetowych, w którym prosi się nas o podanie danych osobowych i bankowych.

590 z 1 075 wykrytych fałszywych stron na Facebooku zaangażowanych w oszustwo promowało linki do domen hostowanych przez tego samego rosyjskiego dostawcę – firmę JSC Selectel, korzystającą z tego samego serwera oraz rejestracji DNS dla obu adresów IP. Fakt, że treści były niemal identyczne – jedynie dostosowane do każdego z docelowych miast – oraz że reklamy stosowały te same schematy promocji, sugeruje, że strony mogły być zarządzane przez tę samą osobę lub organizację.

Śledztwo ze wsparciem międzynarodowym

Po odkryciu oszustwa w 47 hiszpańskich miastach organizacje factcheckingowe z całego świata skontaktowały się z Maldita.es, aby zgłosić, że zidentyfikowały ten sam schemat oszustwa w swoich krajach. Maldita.es dziękuje kolegom z European Fact-Checking Standards Network (EFCSN) oraz International Fact-Checking Network (IFCN) za współpracę, zwłaszcza Facta.News i Open.online (Włochy), DPA (Niemcy), Faktograf i Lupa (Chorwacja), Teyit (Turcja), Fact Review i Ellinika Hoaxes (Grecja), Vistinomer.mk (Macedonia Północna), Raskrinkavanje (Bośnia i Hercegowina), Myth Detector i Geofacts (Gruzja), Factcheck.bg (Bułgaria), Raskrinkavanje (Czarnogóra), CongoCheck (Kongo) oraz Sure And Share Center MCOT (Tajlandia).

Kontroluj polityków!

Patrz władzy na ręce i wspieraj niezależność.

Wpłacam