Meta niedostatecznie realizuje postulaty CERT Polska

2 dni temu

Problem oszustów działających za pośrednictwem platform społecznościowych jest wciąż aktualny. Firma Meta nie zrealizowała wszystkich przedstawionych w ubiegłym roku przez ekspertów z działającego w NASK zespołu CERT Polska postulatów, które miały zwiększyć bezpieczeństwo Polaków korzystających z serwisów społecznościowych.

4 grudnia 2024 roku opublikowaliśmy Oczekiwania CERT Polska dot. rozwiązania przez firmę Meta problemów z oszustwami na jej platformach społecznościowych. Zostały one przekazane również przedstawicielom firmy Meta i stanowiły podstawę do dalszych rozmów odnośnie poprawy bezpieczeństwa mechanizmów reklamowych platformy.

– NASK stoi na straży bezpieczeństwa użytkowników polskiego internetu. Potrzebujemy do tego współpracy ze strony właścicieli platform internetowych takich jak Meta. Oczekujemy, iż przedstawione przez nas rozwiązania zostaną niezwłocznie wdrożone – podkreśla Radosław Nielek, dyrektor instytutu NASK.

Po grudniowym spotkaniu zobowiązaliśmy się do monitorowania czy oczekiwania ekspertów z CERT Polska są realizowane. Po 3 miesiącach od spotkania, działania podjęte przez firmę Meta nie przyniosły rozwiązania zaobserwowanych przez nas problemów, których szczegółowa analiza została przedstawiona w publikacji Oszustwa reklamowe na dużych platformach.

Firma Meta już poinformowała, iż nie zostaną wprowadzone w życie postulaty, by treści promujące domeny wymienione na Liście Ostrzeżeń CERT Polska były automatycznie blokowane. Nie będzie też zmian w indeksowaniu treści Bibliotece Reklam. Trudno również za satysfakcjonujące uznać zmiany w rozpatrywaniu zgłoszeń treści z poziomu zwykłych kont. Z kolei w przypadku postulatu rozbudowy zespołu polskojęzycznych moderatorów, nie mamy choćby odpowiedzi, czy zmiany zostały wprowadzone. Meta nie odniosła się też do kwestii proaktywnego blokowania kont i stron, które publikują szkodliwe reklamy.

Wykrywanie szkodliwych treści, także w języku polskim

W związku z tym punktem, oczekiwaliśmy przedstawienia planu wdrożenia skutecznego rozwiązania wykrywającego treści w języku polskim przez firmę Meta. W odpowiedzi uzyskaliśmy propozycje rozwiązań, które są w tej chwili wdrażane globalnie i są lub mogłyby być zaimplementowane również dla polskich użytkowników.

Wśród propozycji przedstawiane były przede wszystkim pomysły dotyczące wdrożenia technologii rozpoznawania twarzy, tak aby systemy firmy Meta mogły automatycznie wykrywać wykorzystanie wizerunków celebrytów w reklamach, których celem jest oszustwo. Technologia rozpoznawania twarzy może być także wykorzystywana do odzyskiwania kontroli nad przejętym kontem. Informacje o tej technologii można znaleźć na stronach firmy Meta: https://www.meta.com/pl-pl/help/policies/1265316287987507/.

Choć początkowo zwracano uwagę, iż Meta może mieć problem z implementacją tego rozwiązania w Polsce ze względu na przepisy związane z ochroną danych osobowych i danych biometrycznych, 4 marca 2025 roku Meta ogłosiła, iż udało jej się wdrożyć rozwiązanie także w Unii Europejskiej (https://about.fb.com/news/2024/10/testing-combat-scams-restore-compromised-accounts/). Osoby publiczne mają w ciągu najbliższych dni otrzymywać notyfikacje z propozycją opcjonalnego udostępnienia swoich danych do ochrony przed wykorzystaniem ich wizerunku w treściach generowanych przez oszustów.

Jednocześnie Meta deklarowała, iż planuje zachęcać firmy do skorzystania z mechanizmu, który funkcjonuje już od dłuższego czasu, a mianowicie programu "Ochrony praw marki". Pozwala on firmie Meta automatycznie wykrywać nieautoryzowane wykorzystanie zarejestrowanych logotypów i znaków towarowych: https://www.facebook.com/business/help/828925381043253.

Naszym zdaniem wdrożenie mechanizmów, które są skupione na rozpoznawanie wykorzystania wizerunków osób i marek budzących powszechne zaufanie, to krok w dobrym kierunku, ale zaproponowane rozwiązanie może okazać się niewystarczające. Jednym z możliwych scenariuszy jest wykorzystywanie twarzy osób, które nie zostały zarejestrowane w systemie. Przestępcy aktywnie obserwują reakcje platform i mogą łatwo dostrzec, iż podszywając się pod niektóre osoby i marki, spotykają się z mniej skuteczną reakcją moderacji niż w innych przypadkach.

Szczególnie powinniśmy mieć na uwadze fakt, iż w mechanizmach projektowanych przez Meta, do zarejestrowania dochodzi z inicjatywy danego celebryty lub firmy. Firma Meta wskazuje tutaj m.in. ograniczenia prawne związane z przetwarzaniem danych biometrycznych, które wymagają uzyskania indywidualnej zgody. Sprawia to, iż zgromadzenie wystarczająco obszernej bazy wizerunków i logotypów, aby skutecznie ograniczyć skalę oszustw będzie znacząco utrudnione.

Jeśli choćby udałoby się pokonać ograniczenia tak, aby uzyskać niezbędne zgody i zebrać dane na większą skalę to nic nie stoi na przeszkodzie, aby oszuści zmodyfikowali swój sposób działania. Schemat oszustw może nie wykorzystywać chronionych wizerunków, pozostając jednak przez cały czas atrakcyjnym wabikiem dla potencjalnych ofiar. Wśród szerokiego wachlarza tworzonych przez oszustów treści, już teraz bardzo powszechnie wykorzystywane są te, które promują fałszywe platformy inwestycyjne w sposób bezpośredni, podając ich nazwy i logotypy (np. "Immediate Edge", "Immediate Pro Capex"), a także sugerując możliwość uzyskania znaczących zysków. Analogicznie, obserwujemy reklamy fałszywych kancelarii prawnych, rzekomo pomagających odzyskać utracone pieniądze w wyniku oszustwa, które wykorzystują nieistniejące i abstrakcyjne nazwy, takie jak, np. "Centrum Przeciwdziałania Oszustwom".

Reklamy fałszywej kancelarii prawnej "Centrum Przeciwdziałania Oszustwom" wyświetlane na platformie Instagram

Moderacja platformy i zatrudnienie dodatkowych, polskojęzycznych moderatorów

W ramach prowadzonych rozmów z firmą Meta otrzymaliśmy narzędzie w postaci formularza eskalacyjnego. Takie rozwiązanie wykorzystywane jest również przez inne działy w NASK m.in. Ośrodek Analizy Dezinformacji. Pozwala ono na zwrócenie uwagi moderatorów Meta na nowe zagrożenia. Zgłoszenia przesyłane tą drogą są obsługiwane priorytetowo. Przedstawiciele Meta zadeklarowali, iż stanowi to dla nich cenny sygnał, który uwzględniają w prowadzonych analizach.

Ta forma zgłaszania wymaga od specjalistów z naszego zespołu CERT Polska poprawnego zidentyfikowania treści, czyli uzyskania odpowiedniego linku lub identyfikatora do reklamy czy posta w platformie Facebook. jeżeli w zgłoszeniach zostanie przekazany nam wyłącznie zrzut ekranu lub link do strony, do której prowadzi reklama, wspomagamy się takimi narzędziami jak Biblioteka Reklam, aby taki identyfikator pozyskać. Jednocześnie użytkownicy mają możliwość znacznie wygodniejszego zgłoszenia danej treści bezpośrednio do platformy.

W trakcie rozmów staraliśmy się przekonać firmę Meta do konieczności lepszego reagowania na zgłoszenia od zwykłych użytkowników platformy i zwrócenia większej uwagi na moderację. Takie narzędzia jak zaproponowany nam formularz eskalacyjny są użyteczne, aby zwrócić uwagę moderatorów Meta na nowe zagrożenie, jednak nie jest to narzędzie, za pomocą którego można efektywnie walczyć z oszustwami w skali platformy. Powołując się na nasze doświadczenie jako zespołu obsługującego incydenty, podkreślaliśmy ogromną wartość jaką dostrzegamy w wyszukiwaniu zagrożeń na podstawie zgłoszeń użytkowników, które są główną siłą napędową takich inicjatyw jak Lista Ostrzeżeń.

Jednocześnie na bieżąco weryfikowaliśmy czy reakcja na zgłoszenia z poziomu zwykłych kont ulega poprawie. Niestety, wciąż w większości przypadków zgłoszenia po 7 dniach są zamykane ze statusem "Nie usunęliśmy reklamy".

Status kilku zgłoszeń dokonanych 19 lutego 2025 roku i zamkniętych 26 lutego 2025 roku ze statusem "Nie usunęliśmy reklamy"

Wśród naszych oczekiwań zawarliśmy również m.in. rozbudowę zespołu polskojęzycznych moderatorów. Nie uzyskaliśmy jednak konkretnych informacji w tym temacie.

Blokowanie kont publikujących szkodliwe treści

Z firmą Meta rozmawialiśmy też o proaktywnym blokowaniu kont i stron, które publikują reklamy tworzone przez oszustów. Firma Meta utrzymuje, iż stosuje system tzw. "strike'ów". Oznacza to, iż w przypadku zaobserwowania naruszenia, zdejmowana jest wyłącznie zgłoszona treść, a użytkownik otrzymuje ostrzeżenie. Restrykcje np. zablokowanie możliwości publikowania reklam, są nakładane na konto dopiero po stwierdzeniu kolejnych naruszeń. Jednocześnie firma Meta zadeklarowała, iż w szczególnych przypadkach prowadzi działania proaktywne, które mogą skutkować masowym zablokowaniem danej treści.

Strona publikująca oszukańcze reklamy z historią usuniętych materiałów w Ad Library

Przykładowo, przedstawiona na powyższym przykładzie strona Gwen Erasmus publikowała reklamy w lutym 2025 roku., W procesie moderacji usunięte zostały wyłącznie same reklamy, bez nakładania ograniczeń na stronę. Strona została skasowana dopiero w marcu 2025 roku po ponownej publikacji reklam stworzonych przez oszustów. Status profilu i publikowanych treści można prześledzić dzięki Ad Library. Takie profile najczęściej mają krótki czas istnienia i nie publikują innych rodzajów postów, a jedynie reklamy.

Stosowanie systemu tzw. "strike'ów" jest zrozumiałe w przypadku typowych kont użytkowników. Jednak firma Meta przyjęła tę zasadę także w stosunku do fikcyjnych stron które, tak jak omawiana powyżej, są tworzone z myślą o oszustwie.

Naszym zdaniem stosowanie jednorodnych reguł moderacji znacząco opóźnia reakcję platformy i nie pozwala na skuteczne ograniczenie zasięgów reklam stworzonych przez oszustów . Niestety, nasze uwagi nie zostały dotychczas w żaden sposób zaadresowane przez firmę Meta.

Jednocześnie, pomimo zablokowania przez moderatorów Meta strony Gwen Erasmus, zgłoszenia dotyczące powiązanych reklam, wykonane ze zwykłego konta użytkownika, nie zostały zamknięte. Sugeruje to, iż problem negatywnego statusu zgłoszeń może wynikać także z kwestii technicznych i błędów w informowaniu użytkowników o faktycznej reakcji platformy.

Implementacja Listy Ostrzeżeń

Firma Meta odmówiła bezpośredniego wdrożenia "Listy Ostrzeżeń". W toku prowadzonych rozmów firma Meta przeprowadziła analizę, w ramach której wystosowano do CERT Polska liczne pytania odnośnie procesów związanych z prowadzeniem Listy, na które szczegółowo odpowiedzieliśmy. Niestety, ostatecznie uzyskaliśmy odpowiedź, iż wprowadzenie mechanizmu automatycznego blokowania na podstawie domen wymienionych na Liście nie jest planowane.

W zamian firma Meta zapowiedziała powstanie wspólnej, globalnej listy prowadzonej przez podmiot zewnętrzny, która będzie używana jako sygnał do wspomagania moderatorów Meta. Otrzymaliśmy wyłącznie niezobowiązującą deklarację, iż nasza Lista może być traktowana jako jedno ze źródeł. Naszym postulatem było zwrócenie większej uwagi na lokalnych partnerów, wyspecjalizowanych w wyszukiwaniu zagrożeń w danym regionie, jednakże to oczekiwanie nie zostało zaadresowane.

Należy także podkreślić, iż firma Meta nie podała żadnej daty wdrożenia takiego mechanizmu.

Uporządkowanie Biblioteki Reklam

W ramach prowadzonych rozmów, przedstawiliśmy także nasze obserwacje i pytania odnośnie działania Biblioteki Reklam. Szczególnie istotne było dla nas duże opóźnienie w indeksowaniu reklam względem ich wyświetlenia, które w skrajnych przypadkach sięga choćby 24 godzin. Znacząco utrudnia to zidentyfikowanie reklam powiązanych z otrzymywanymi przez nas zgłoszeniami od użytkowników, szczególnie w przypadku nowych kampanii. Dostępność tego typu narzędzi pozwala nam uzyskać pełniejsze informacje na temat zgłaszanych do nas zagrożeń.

W odpowiedzi na nasze pytania, firma Meta zadeklarowała, iż Biblioteka Reklam nie była tworzona z myślą o monitorowaniu w czasie rzeczywistym niebezpiecznych reklam, stąd jej ograniczenia wynikają z przyjętych założeń w tej platformie. Meta jest świadoma, iż dana wersja reklamy w Bibliotece Reklam może zostać zaindeksowana dopiero po wielu godzinach i czas ten liczony jest od momentu pierwszej zarejestrowanej interakcji ze strony użytkownika. Jednocześnie firma Meta nie zadeklarowała żadnych zmian w tym mechanizmie, twierdząc, iż problem wynika z ograniczeń technicznych.

Podsumowanie

Trzy miesiące temu przekazaliśmy firmie Meta nasze oczekiwania dotyczące poprawy bezpieczeństwa na platformie Facebook. Naszym celem od samego początku było zwiększenie bezpieczeństwa Polaków, dlatego cały czas aktywnie monitorujemy działania firmy Meta wierząc, iż presja ma sens. Obserwujemy częściową zmianę - Meta deklaruje walkę z oszustami wprowadzając nowe systemy bezpieczeństwa, takie jak mechanizmy wykorzystujące sztuczną inteligencję. Mimo wprowadzanych rozwiązań, problem oszustw w reklamach, który sygnalizowaliśmy od początku jest wciąż obecny.

Pomimo deklaracji i odnotowanych powyżej zmian, wiele kluczowych oczekiwań CERT Polska nie zostało spełnionych. Tworzone przez oszustów treści masowo pojawiają się w reklamach, a zgłoszenia użytkowników wciąż zamykane są ze statusem sugerującym brak reakcji. Nie zostały także przedstawione plany poprawy czasu aktualizacji w Bibliotece Reklam, deklarując, iż wynika to z ograniczeń technicznych. Firma odmówiła również implementacji polskiej „Listy Ostrzeżeń”, zamiast tego zapowiadając powstanie globalnej listy prowadzonej przez podmiot zewnętrzny, nie dając jednocześnie jednoznacznej odpowiedzi na pytanie kiedy taka lista powstanie.

Warto docenić starania Meta w kierunku poprawy bezpieczeństwa, jednak przy kompleksowej ich ocenie zauważamy, iż mają one jedynie charakter doraźny. Wciąż brakuje rozwiązań systemowych - bardziej zdecydowanych działań w zakresie moderacji, współpracy z organami ścigania i lokalnymi organizacjami zajmującymi się bezpieczeństwem. Liczymy na poprawę w tym zakresie.

Idź do oryginalnego materiału