Het frauduleuze investeringsplan bekend als Nomani is volgens gegevens van ESET getuige geweest van een stijging met 62%, omdat campagnes die de dreiging verspreiden zich ook buiten Facebook hebben uitgebreid naar andere sociale mediaplatforms, zoals YouTube.
Het Slowaakse cyberbeveiligingsbedrijf zei dat het dit jaar meer dan 64.000 unieke URL’s heeft geblokkeerd die verband houden met de dreiging. Het merendeel van de detecties was afkomstig uit Tsjechië, Japan, Slowakije, Spanje en Polen.
Nomani werd voor het eerst gedocumenteerd door ESET in december 2024 toen het gebruik maakte van malvertising op sociale media, berichten van het bedrijf en videogetuigenissen op basis van kunstmatige intelligentie (AI) om gebruikers te misleiden om hun geld te investeren in niet-bestaande beleggingsproducten die ten onrechte aanzienlijke rendementen claimen.
Wanneer slachtoffers om uitbetaling van de beloofde winst vragen, wordt hen gevraagd extra kosten te betalen of aanvullende persoonlijke informatie te verstrekken, zoals identiteitskaart- en creditcardgegevens. Zoals typisch is voor dit soort beleggingszwendel, is het einddoel financieel verlies.
Daar houdt het niet op, want de fraudeurs proberen hen opnieuw op te lichten door gebruik te maken van Europol- en INTERPOL-gerelateerde lokmiddelen op sociale media die hulp beloven bij het terugkrijgen van hun gestolen geld – om vervolgens nog meer geld te verliezen.
ESET zei dat de zwendel sindsdien een aantal opmerkelijke upgrades heeft gekregen, waaronder het realistischer maken van hun AI-gegenereerde video’s in een poging het voor potentiële doelwitten moeilijker te maken om het bedrog te ontdekken.
“Deepfakes van populaire persoonlijkheden, gebruikt als initiële hooks voor phishing-formulieren of websites, gebruiken nu een hogere resolutie, hebben onnatuurlijke bewegingen en ademhalingen aanzienlijk verminderd en hebben ook hun A/V-synchronisatie verbeterd”, aldus het bedrijf.
Er is gebleken dat de verzonnen inhoud vaak gebruik maakt van actuele gebeurtenissen of persoonlijkheden die op grotere schaal in het publieke discours worden gezien om het plan meer geloofwaardigheid te verlenen. In één geval dat in Tsjechië werd waargenomen, werd in een nepnieuwsartikel ten onrechte beweerd dat de overheid investeerde via een van haar zwendelplatforms voor cryptocurrency en aanzienlijke rendementen genereerde.
Om ervoor te zorgen dat hun kwaadaardige advertenties niet door de systemen van het platform worden opgemerkt, zorgen de bedreigingsactoren ervoor dat de campagnes slechts een paar uur duren. Een andere belangrijke verandering is het omleiden van gebruikers naar goedaardige cloakingpagina’s in plaats van naar externe phishing-formulieren, voor het geval ze niet aan de targetingcriteria voldoen.
“Om hun voetafdruk verder te verkleinen, maken aanvallers steeds vaker misbruik van legitieme tools die worden aangeboden door het advertentieframework op sociale media, zoals formulieren en enquêtes in plaats van externe webpagina’s, om informatie van slachtoffers te verzamelen”, aldus ESET.
Er zijn ook verbeteringen waargenomen in de sjablonen die worden gebruikt om phishing-pagina’s te genereren, waarbij tekenen wijzen op het gebruik van AI-tools om de HTML-code te schrijven. Deze beoordeling is gebaseerd op de aanwezigheid van selectievakjes in broncodecommentaar. Bovendien zijn GitHub-opslagplaatsen die dergelijke sjablonen voor investeringsfraude hosten afkomstig van Russische en/of Oekraïense gebruikers.
Ondanks deze veranderingen is het aantal detecties voor Nomani in de tweede helft van 2025 gedaald, een indicatie dat de aanvallers waarschijnlijk gedwongen worden hun tactiek te vernieuwen in het licht van de toegenomen inspanningen van de wetshandhaving om dergelijke oplichting te bestrijden.
“Aan de positieve kant: hoewel de totale detecties gestegen zijn vergeleken met 2024, is er een vleugje verbetering, aangezien de detecties in de tweede helft van 2025 met 37% zijn afgenomen vergeleken met de eerste helft van 2025”, aldus ESET.
De onthulling valt samen met een nieuw onderzoek van Reuters waaruit blijkt dat 19% van Meta’s $18 miljard aan advertentieverkoop vorig jaar in China afkomstig was van advertenties voor oplichting, illegaal gokken, pornografie en andere verboden inhoud die worden beheerd door de reclamebureaupartners van het bedrijf in het land. Sommige van deze bureaus staan bedrijven toe verboden advertenties weer te geven. Naar aanleiding van het rapport zou Meta het programma onder de loep hebben genomen.
Het laatste rapport volgt op een ander Reuters-rapport waaruit bleek dat het bedrijf verwachtte dat het in 2024 10% van de wereldwijde inkomsten van Meta – of ongeveer 16 miljard dollar – zou verdienen uit dergelijke advertenties, inclusief die van bedreigingsactoren achter Nomani, wat de gigantische omvang van het probleem kwantificeert.
