Jméno a obličej švýcarského prezidenta Alaina Berseta v únoru zneužila podvodná reklama na kryptoměny, která se objevila na několika švýcarských zpravodajských webech. Ve skutečnosti šlo o fotomontáž vyrobenou ze snímku knížete Heinricha XIII. Reusse, který byl zadržen v prosinci v Německu souvislosti s údajným plánovaným státním převratem. Podvodné reklamy zobrazované systémem společnosti Google nabývají na intenzitě, varují odborníci. Mohou šířit i nebezpečné internetové viry.

Tisíce lidí se po zatčení Alaina Berseta hrnou k bankomatům, hlásala reklama s fotografií švýcarského prezidenta v poutech. Inzerát se objevil na několika zpravodajských webech, například 20min.ch, Wochenblatt.ch či Blick.ch. Po rozkliknutí se uživatelé dostali na podvodnou stránku, jejíž design připomínal web švýcarského veřejnoprávního rozhlasu a televize SRF. Web nabízel nákup kryptoměn.

Berset verhaftet? Nein! Fake-Ads fluten Schweizer Medienportale https://t.co/AQ5q2v0OVs

— Blick  (@Blickch) February 8, 2023

„Společnost Blick již podnikla kroky k zablokování reklamy. Například vede černou listinu s nejznámějšími falešnými reklamami. Podvodníci se bohužel stále pokoušejí blokování obcházet s novými identitami,“ uvedl web Blick.ch v článku, v němž o zneužití informoval čtenáře.

Vysvětlil také, že podvodný inzerát je fotomontáží, v níž byla hlava Alaina Berseta vložena do snímku ze zatčení Heinricha XIII. Reusse na začátku prosince 2022. O plánech knížete a skupiny pravicových extremistů na svržení německé vlády psal HlídacíPes.org v reportáži zde.

Zadavatel podvodné reklamy narážel zřejmě fotomontáží prezidenta v poutech na aféru úniku informací do médií, kvůli které Alaina Berseta od konce ledna vyšetřuje Parlamentní výbor pro kontrolu hospodaření (GPK). Byl totiž ministerstvem vnitra obviněn z indiskrétnosti během pandemie koronaviru.

Prezidentův bývalý šéf komunikace Peter Lauener měl tehdy vyzradit důvěrné informace šéfovi vydavatelství Ringier Marcu Walderovi. „Podle médií bylo zdokumentováno 180 komunikačních procesů mezi tehdejším tiskovým mluvčím a generálním ředitelem Ringieru. Dokládají to e-maily a záznamy výslechů. Blick byl prý několikrát dopředu informován o rozhodnutích Spolkové rady a zveřejňoval je,“ upřesnil web veřejnoprávního rozhlasu SRF.

Podvody i v Česku: Kellner, Vítek, Schillerová

Zpravodajské weby, na nichž se falešný inzerát objevil, nemohly zveřejnění takové reklamy přímo zabránit. Velká část reklam na jejich stránkách se zobrazuje prostřednictvím reklamního systému společnosti Google s názvem Google Ads. Pokud weby tuto službu využívají, nemají vliv na výběr konkrétních inzerátů. Google při jejich zobrazování čtenářům používá personalizaci a další nástroje. Falešné reklamy zneužívající například jména známých osobností by měl sice Google odhalit, ne vždy se to ale daří.

„Nejprve se používají automatické filtry. Společnost Google má také tým živých kontrolorů, kteří však obvykle vstupují do hry pouze v případě, že uživatelé nebo provozovatelé webu reklamu nahlásí (Návod, jak nahlásit podezřelou reklamu Google, je popsán zde, pozn. red.). Při tomto postupu je nevyhnutelné, že se problémové inzeráty znovu a znovu prosmýknou,“ podotýká německý týdeník Stern. Ten již dříve upozornil na podobné případy zneužití jmen německých celebrit, například zpěváka Dietera Bohlena.

„Před portály, jejichž zadavatelé obvykle sídlí v zahraničí, a vyhýbají se tak kontrole, varuje od roku 2018 německý finanční dohled Bafin a Spolkový kriminální úřad. Podvody nicméně stále pokračují: v květnu 2021 policie v Bulharsku zadržela mezinárodní gang, který německé investory připravil o zhruba 30 milionů eur. Falešné příběhy a fotomontáže s celebritami se vyskytují nejen u slibů pohádkového bohatství v bitcoinech, ale také u reklam na pilulky na hubnutí a dalších,“ popisuje Stern.

V Česku byly takto zneužity například fotografie a jména podnikatelů Petra Kellnera, Pavla Baudiše či Radovana Vítka, nebo bývalé ministryně financí Aleny Schillerové.

„Tyto podvody jsou poměrně propracované. Útočníci, kteří podle našich dat působí z ruskojazyčných zemí, zneužívají známé a legitimní nástroje jako reklamní síť Google AdSense nebo WordPress, a dle našich informací mohou dále nakupovat a registrovat také desítky až stovky nových internetových domén k provozování jednoduchého webu, který pak funguje jako rozcestník a přesměrovává uživatele na finální podvodnou stránku,“ říká Ondřej Novotný, výzkumný analytik společnosti Eset.

Stačí jedno písmeno z cyrilice

Podvodníci se prostřednictvím reklamy snaží šířit také malware, škodlivé programy provádějící změny v elektronických zařízeních bez vědomí majitele. Odborníci v této souvislosti mluví o tzv. malvertisingu.

„Podvody, do nichž jsou zapojeny známé osobnosti, by mělo být snadné zastavit tím, že se jména postižených osob dostanou na černou listinu. Podvodníci jsou ale dostatečně vynalézaví, aby přelstili jednoduché seznamy slov. Používají k tomu například trik zvaný ‚vizuální spoofing‘ nebo ‚homografické maskování‘. Ten je založen na tom, že v jiných znakových systémech existují písmena, která vypadají přesně jako ta v latince. Například do jména ‚Berset‘ by se dalo vložit písmeno R z cyrilice: Je to okem stěží rozeznatelné, ale počítač pracující s černou listinou by tuto variantu propustil,“ popsal německý IT magazín Heise.de.

Masivní nárůst případů zneužití systému Google Ads potvrdil v únoru také magazín Spamhaus: „Je pravděpodobné, že aktér hrozeb začal prodávat tzv. malvertising jako službu na dark webu a je po něm velká poptávka.“ Expert Spamhausu Carel Bitter v této souvislosti kritizuje fakt, že systém Google Ads schvaluje reklamy odkazující na nové domény: „V celém bezpečnostním odvětví je okamžité používání nově registrovaných domén spojováno s vysoce rizikovou činností.“

Odborníci na kyberbezpečnost varují, že podvodníci nezneužívají jen jména známých osobností, ale stále častěji také značky ověřených programů a aplikací. „Řada malwaru se do počítačů obětí dostává tak, že se vydává za značky jako jsou Adobe Reader, Microsoft Teams, Slack, Thunderbird, atd. a používá k tomu rovněž reklamy Google,“ uvádí Spamhaus.

Na začátku února se podle magazínu šířily například ve velkém inzeráty, které se vydávaly za reklamu na Mozilla Thunderbird či Microsoft, ale ve skutečnosti po rozkliknutí infikovaly počítače uživatelů trojským koněm IcedID. Ten se zaměřuje na finanční informace uživatele. Poprvé se objevil v září 2017, v říjnu 2022 byl čtvrtou nejrozšířenější variantou malwaru.