Hur har bedragarna råd att köpa så många annonser? Och hur gör de för att lura Facebooks system?
I slutet av förra veckan valde Facebook att stämma två män från Kina för ett intrikat upplägg.
Breakit har tagit del av stämningen i sin helhet. Den ger en djup inblick i hur bedragarna jobbar. Dessutom avslöjas hur helt vanliga Facebook-användares kreditkort används för att finansiera de massiva annonsköpen.
Såhär gick det till när helt vanliga Facebook-konton, som i praktiken kunde vara ditt eller mitt, utnyttjades för att köpa bluffannonser för nästan 40 miljoner kronor.
I alla fall enligt Facebook.
Programmeringen
De två männen driver ett bolag som jobbar med onlinemarknadsföring. 2016 skrider de till verket med sin brottsplan. En av dem börjar med att programmera. Han sätter ihop en skadlig kod, specialdesignad för ett enda syfte. Att hacka sig in i Facebook-konton.
Marknadsföringen
Via forum och diverse webbsidor som "säljer" installationer av applikationer och program lyckas de få in sin kod i människors datorer. Exakt hur det går till finns inte beskrivet i detalj, förutom att det sker utanför Facebook.
Men klart är att den göms i ett paket med helt andra program, exempelvis ett webbläsartillägg.
"De tilltalade fick den skadliga koden att bli installerad genom att packa ihop den med annan nedladdad mjukvara", skriver Facebook i stämningsansökan som är inlämnad till domstolen i norra Kalifornien.
Övertagandet
Den skadliga koden slår till direkt. Den söker efter sparade inloggningsuppgifter till användarens Facebook-konto och tar sig in. Väl där utför koden direkt en åtgärd.
"Först stängde den skadliga koden av användarens notiser, vilket förhindrade offret från att upptäcka att deras konto användes från en okänd enhet och webbläsare."
Sen "låser" programvaran dessa förändringar. Offret kan inte ändra dem. Offret är nu kapat.
Köpen
Sen skrider bedragarna till verket. Alla kapade konton genomsöks. Detta för att hitta de offer som har använt sina Facebook-profiler för att hantera annonsköp på Facebook.
Alla profiler som har ett annonskonto kan sedan utnyttjas. Ofta är dessa konton direkt kopplade till offrets kreditkort.
Utan att offret vet om det så börjar deras konto att pumpa ut annonser för förbjudna produkter.
"Notan för dessa annonser gick till offrets annonskonto."
Det handlar bland annat om piratkopierade produkter, preparat för penisförstoring samt bantningspiller.
"I vissa fall körde de tilltalade bedrägliga annonser där bilder på vissa typer av kändisar användes."
Mörkläggningen
Alla annonser på Facebook går igenom en automatisk granskning. För att lura systemet använder bedragarna sig av en teknik som Facebook kallar "cloaking".
Annonserna i sig är ofta luddiga. Det är först när man kommer till landningssidan som det blir uppenbart att annonserna bryter mot Facebooks regler. Men Facebooks automatiska granskning luras, genom att en helt annan landningssida visas när granskningen sker.
Som bakgrundsfakta i stämningen skriver Facebook att samma upplägg används för marknadsföringen av "investeringar" i kryptovalutor.
Pengarna
Exakt hur Facebook upptäckte just denna bluff framgår inte av stämningen. I artiklar från amerikanska medier där offer för liknande upplägg har berättat om sina upplevelser har det upptäckts via kreditkortsföretaget eller aktörer som Paypal.
I stämningen framgår omfattningen av just denna bluff.
"Facebook har betalat över 4 miljoner dollar (omkring 38 miljoner kronor) till de tilltalades offer för att ersätta dem för otillåtna annonser köpta genom att använda deras annonskonton."
Den typen av annonsbudget på Facebook kommer få svenska storföretag upp i på årsbasis.
Efterspelet
Den 5 december går Facebook ut publikt med ett inlägg om sin stämning. Bolaget konstaterar att det ofta är svårt att komma åt personerna bakom dessa intrikata brottsupplägg.
"Som ett resultat av det har det inte varit många legala åtgärder av denna typ. I detta fall har vi återbetalat offren vars konton användes till att köra otillåtna annonser, och hjälpt dem att säkra sina konton."
I dokumenten till domstolen avslöjas den massiva omfattningen av detta enskilda annonsbedrägeri.
"Sedan april 2019 har Facebook notifierat hundratusentals användare om att deras Facebook-konton kan ha blivit äventyrade, och det har krävts att dessa användare bekräftar sin identitet och ändrar lösenorden till sina Facebook-konton."