Ett Visa-betalkort ligger på ett tangentbord.
Foto: Depositphotos

Betaljätten Visa spred annonser för investerings­bedrägeri

PubliceringsdatumFörfattare

Min bevakning av bluffannonser på Facebook fortsätter. I förra artikeln varnade jag för hur Meta (Facebooks ägare) tillåter annonser med fejkade måldomäner och påhittade budskap om bland annat Jimmie Åkesson (se ”Facebook tillåter förfalskade SVT- och Expressen-annonser”). Facebook-sidan i förra artikelns första exempel fortsätter för övrigt att pumpa ut bluffannonser med Jimmie Åkesson. Facebook-sidan har gjort det i över en månad trots upprepade anmälningar och överklagningar. Metas annons­granskare meddelar bara att annonserna inte strider mot deras annonserings­regler.

Svårt att avslöja bluffannonser

Om måldomänen som visas i en annons är fejkad kan det vara svårt att avslöja bedrägeriet utan att klicka på annonsen. Ännu värre blir det om Facebook-sidan som har publicerat annonsen har ett trovärdigt namn eller en trovärdig logotyp som profilbild. I mitten av juni trodde jag därför att jag hade hittat en annons som var helt fulländad ur bedragarnas perspektiv.

Facebook-annons från Visa. Visas logotyp syns som avsändare. Länken ser ut att leda till Expressen.se. Annonsbilden visar Jimmie Åkesson.
Bluffannons med Jimmie Åkesson som ser ut att leda till Expressens webbplats.

Notera att annonsen ser ut att komma från betaljätten Visa och leda till en artikel hos Expressen. Annonsen har allt som behövs för att se trovärdig ut och locka till klick.

  • Visas logotyp
  • Visa som sidnamn
  • Facebooks verifieringssymbol
  • Bild på Jimmie Åkesson
  • Rubrik som antyder att Jimmie Åkesson har dött
  • Fejkad domän (ser ut att leda till expressen.se)

Annonsen ledde i själva verket till en klonad version av Expressens webbplats där bedragarna marknadsförde ett investerings­bedrägeri.

Skärmavbild av falsk Expressen-artikel med rubriken ”Ledningen för TV4 vägrar kommentera skandalen kring sitt program Nyhetsmorgon”.
Skärmavbild av den falska Expressen-artikeln.

Betaljätten Visa hade blivit Facebook-kapad

Vanligtvis kapar bedragare verifierade Facebook-sidor och byter namn och profilbild på dem. Så var inte fallet den här gången. När jag kontrollerade sidans historik visade det sig att den alltid hetat Visa. Det var då jag insåg att annonsen faktiskt kom från betaljätten Visa!

Bluffannonsen som jag hade fått upp i mitt Facebook-flöde var långt ifrån den enda som Facebook-sidan hade publicerat. Visas annons­bibliotek var fullt med bluffannonser, och några hade redan körts i flera dagar. Bluffannonserna vände sig till olika länder med kändisar och måldomäner som var utvalda för respektive land. För Sverige var det Jimmie Åkesson och Expressen. För Finland var det skådespelaren Ville Haapasalo och Yle (finska motsvarigheten till SVT).

Skärmavbild av Visas annonsbibliotek med bluffannonser för olika länder.
Bedragarna anpassade bluffannonsernas kändisar och måldomäner utifrån målgrupp.

Eftersom Visa erbjuder kundsupport via Facebook Messenger kontaktade jag Visas pressavdelning direkt. Om angriparna hade fått tillgång till kund­konversationerna hade det både orsakat en personuppgifts­incident och medfört stora risker för lurade kunder. Det tog dock två dagar innan Visa svarade, så jag kontaktade också Janne Elvelid (policychef på Meta Sverige). Jag anmälde självfallet också annonsen på traditionellt sätt, men precis som vanligt avslog Meta både anmälan och överklagan.

Visas pressavdelning och Elvelid började däremot arbeta på varsin front för att stoppa bluffannonserna. Den 20:e juni meddelade båda två att problemet var löst, vilket jag tyvärr fick förklara att det inte alls var. Den kapade Facebook-sidan körde fortfarande bluffannonser.

Dagen därpå återkom Visa igen och meddelade att de arbetade aktivt tillsammans med Meta för att stoppa bluffannonserna.

We recently became aware of fraudulent Facebook ads created by external parties and Visa is supporting Meta’s efforts to remove these ads and resolve the situation.

– Mark, Visa European Press Office (2024-06-21)

Kort därpå stoppades äntligen bluffannonserna. Jag frågade också ifall kontokaparna hade kommit åt kunders supportärenden och ifall Visa i så fall hade anmält personuppgifts­incidenten. Visa meddelade att de inte hade skäl att tro att kunders personuppgifter läckt.

Visa complies with all regulatory reporting requirements. We have no reason to believe that any customer personal information has been compromised.

– Mark, Visa European Press Office (2024-06-21)

Rekommendationer för företag

Visa har inte gått ut med någon officiell information om konto­kapningen. Det är därför också oklart hur den gick till.

Incidenten är oavsett vad en viktig påminnelse om att alla som administrerar företags sociala medier måste skydda sina konton med starka lösenord och tvåfaktors­autentisering. Detta gäller även för eventuella webbtjänster som används för att administrera flera sociala medier från ett och samma gränssnitt.

Obs! Säkerställ att medarbetarna har tillgång till en företags­anpassad lösenordshanterare så att de kan hålla koll på alla lösenord. En policy om krav på starka och unika lösenord är inte tillräckligt! Medarbetarna måste ha de tekniska hjälpmedlen som krävs för att kunna ha starka och unika lösenord överallt.

Angriparna kan också ha kapat Visas Facebook-sida på annan väg. På senare tid har Facebook varit nedlusat med bluffannonser som sprider trojaner. Flera av dessa trojaner lägger in ett spiontillägg i webbläsaren som kapar användarens inloggnings­sessioner. Om en av Visas sociala medier-medarbetare råkat installera en sådan trojan på sin dator kan angriparna ha kapat Facebook-sidan även om medarbetaren hade valt ett starkt lösenord och aktiverat tvåfaktors­autentisering.

Rekommendationer för privatpersoner

Meta har inte bara förlorat förmågan att, i tillräcklig utsträckning, förhands­granska annonser innan de börjar visas. Som jag och TV4 Nyheterna avslöjade i våras verkar Meta knappt granska uppenbara bluffannonser som Facebook-användare tar sig tid att anmäla. I slutet av juni publicerade 404 Media artikeln ”Has Facebook Stopped Trying?” som visar att problemet är omfattande, även utanför Norden.

I väntan på att Facebook (förhoppningsvis) slutar se bedrägerimarknadsföring som en lukrativ inkomstkälla bör alla Facebook-användare tänka på följande punkter.

  • Lita aldrig på att informationen i en annons är publicerad av webbplatsen vars domän visas i annonsen (till exempel svt.se). Meta kontrollerar inte ens att webbplatsen som en annons påstås leda till existerar!
  • Lita aldrig på att informationen i en annons kommer från en trovärdig källa bara för att annonsen är publicerad av en verifierad Facebook-sida. Bedragare kapar redan verifierade Facebook-sidor för att dra nytta av deras verifieringssymboler.

Detaljer om Facebook-kapningen

Visa har kopplat ihop sina lands­specifika Facebook-sidor. För slutanvändare ser sidorna ut som en och samma Facebook-sida med regionalt anpassat innehåll. Bluffannonserna spreds från Visas belgiska Facebook-sida. Första bluffannonsen publicerades 2024-06-12. Den svenska annonsen i artikelns exempel anmäldes som bluff 2024-06-17. Facebooks annonsgranskare avslog anmälan 2024-06-18 och avslog överklagan 2024-06-19. Vid tidpunkten för avslag hade Facebook-sidan redan fått andra annonser bortplockade för att annonserna inte följde Metas annonserings­regler. Detta vägdes bevisligen inte in av Facebooks annonsgranskare. De noterade inte heller annonsens fejkade måldomän, annonsens helt irrelevanta annonstext om planeten Mars, antydan om att Jimmie Åkesson skulle ha dött eller rimligheten i att Visa skulle publicera annonser för Expressen-artiklar.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Logga inNytt konto

Kommentar