Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Oszustwa typu tech support scam to jedna z najbardziej szkodliwych form cyberprzestępczości wymierzonej w użytkowników końcowych. Mechanizm zwykle opiera się na fałszywych alertach bezpieczeństwa, spreparowanych komunikatach o infekcji systemu lub wyskakujących oknach nakłaniających ofiarę do kontaktu z rzekomym działem wsparcia technicznego.
W praktyce celem przestępców jest sprzedaż fikcyjnych usług, przejęcie zdalnego dostępu do komputera albo wyłudzenie danych finansowych. Najnowsza sprawa z USA pokazuje, że odpowiedzialność karna może objąć nie tylko bezpośrednich operatorów oszustwa, ale również osoby i firmy dostarczające im zaplecze technologiczne.
W skrócie
Dwóch byłych amerykańskich menedżerów spółki zajmującej się analityką połączeń i call-trackingiem przyznało się do ukrywania działalności wspierającej oszustwa typu tech support scam. Według materiałów śledczych firma miała dostarczać infrastrukturę obejmującą numery telefoniczne, przekierowania połączeń, nagrania rozmów i mechanizmy monitorowania kampanii klientom powiązanym z oszustwami telemarketingowymi.
Śledczy wskazują, że kierownictwo miało wiedzieć o przestępczym charakterze części klientów, a mimo to nie zgłaszało sprawy odpowiednim organom. To istotny sygnał dla całej branży, że legalne z pozoru usługi komunikacyjne mogą stać się elementem przestępczego ekosystemu.
Kontekst / historia
Z ujawnionych informacji wynika, że działalność miała trwać od początku 2017 roku do kwietnia 2022 roku. Model biznesowy opierał się na obsłudze klientów wykorzystujących dużą liczbę numerów telefonicznych oraz mechanizmy routingu połączeń, co samo w sobie jest legalne, ale może zostać wykorzystane do ukrywania oszukańczych operacji.
Prokuratura podkreśla, że menedżerowie mieli nie tylko tolerować nadużycia, ale również pomagać w utrzymaniu ciągłości kampanii poprzez stosowanie szerokich pul rotujących numerów telefonicznych. Takie podejście miało ograniczać liczbę skarg, utrudniać blokowanie numerów i zmniejszać ryzyko dezaktywacji wykorzystywanej infrastruktury.
Sprawa wpisuje się w szerszy model cyberprzestępczości określany jako crime-as-a-service. W tym układzie różne podmioty dostarczają wyspecjalizowane komponenty, takie jak infrastruktura telekomunikacyjna, analityka, reklama, płatności czy obsługa call center, które razem tworzą kompletny łańcuch oszustwa.
Analiza techniczna
Opisywany przypadek nie dotyczy klasycznej luki bezpieczeństwa, lecz wsparcia operacyjnego dla rozproszonego oszustwa. Kluczowe znaczenie miały tu usługi umożliwiające zarządzanie numerami telefonicznymi, przekierowywanie połączeń, rejestrowanie rozmów i analizę skuteczności kampanii.
- przypisywanie i szybka podmiana numerów telefonicznych,
- przekierowywanie połączeń do różnych operatorów i call center,
- nagrywanie oraz analiza rozmów,
- monitorowanie skuteczności kampanii i źródeł ruchu,
- optymalizacja procesu nakłaniania ofiar do zakupu fikcyjnych usług.
W typowym scenariuszu ofiara widzi komunikat o rzekomym zagrożeniu lub awarii systemu, a następnie dzwoni pod wskazany numer. Połączenie trafia do operatora podszywającego się pod legalne wsparcie techniczne, który nakłania użytkownika do instalacji narzędzia zdalnego dostępu, ujawnienia danych płatniczych albo opłacenia nieistniejącej usługi naprawczej.
W tej sprawie szczególnie istotne było wsparcie w utrzymaniu odporności schematu na skargi i działania dostawców usług. Rotacja numerów telefonicznych utrudniała korelację incydentów, zmniejszała skuteczność prostych list blokad i wydłużała czas działania kampanii. Z punktu widzenia obrony był to odpowiednik ciągłej zmiany wskaźników kompromitacji w środowisku sieciowym.
Ujawniono również powiązania z call center w Tunezji, gdzie część pracowników miała uczestniczyć w oszustwach polegających na przejmowaniu dostępu do komputerów ofiar przez spreparowane odnośniki, podszywaniu się pod pomoc techniczną oraz wystawianiu fałszywych faktur. To pokazuje, że cały proceder miał charakter wielowarstwowy i obejmował zarówno etap pozyskania ofiary, jak i finalizacji oszustwa.
Konsekwencje / ryzyko
Najbardziej dotkliwe skutki tego typu kampanii ponoszą użytkownicy końcowi, zwłaszcza osoby starsze i mniej zaawansowane technicznie. Straty nie ograniczają się wyłącznie do jednorazowego wyłudzenia pieniędzy, lecz mogą obejmować także długofalowe naruszenie prywatności i bezpieczeństwa cyfrowego.
- przejęcie kontroli nad urządzeniem,
- kradzież danych osobowych i bankowych,
- nieautoryzowane operacje finansowe,
- instalację dodatkowego złośliwego oprogramowania,
- utrwalenie nieufności wobec legalnych kanałów wsparcia technicznego.
Z perspektywy rynku cyberbezpieczeństwa sprawa ma jeszcze szersze znaczenie. Pokazuje, że legalnie działające usługi pośrednie, takie jak telekomunikacja, analityka połączeń czy marketing automation, mogą stać się krytycznym elementem przestępczego łańcucha dostaw, jeśli są świadomie wykorzystywane do wspierania nadużyć.
Dla firm i instytucji ryzyko nie kończy się na konsumenckim scamie. Pracownik może zostać nakłoniony do zainstalowania zdalnego narzędzia administracyjnego na sprzęcie służbowym, przekazania danych logowania lub ujawnienia informacji o środowisku IT, co w praktyce może otworzyć przestępcom drogę do sieci organizacji.
Rekomendacje
Organizacje powinny traktować tech support scam jako element szerszego krajobrazu zagrożeń socjotechnicznych. Skuteczna obrona wymaga połączenia edukacji użytkowników, kontroli technicznych oraz nadzoru nad dostawcami usług wspierających komunikację i obsługę klienta.
- prowadzić regularne szkolenia na temat fałszywych alertów i numerów wsparcia,
- blokować nieautoryzowane narzędzia zdalnego dostępu i monitorować ich użycie,
- ograniczać lokalne uprawnienia administratora,
- stosować filtrowanie DNS, ochronę przeglądarki i blokowanie złośliwych reklam,
- monitorować zgłoszenia użytkowników dotyczące nagłych komunikatów bezpieczeństwa,
- wdrożyć jasne procedury szybkiej weryfikacji podejrzanych alertów,
- weryfikować dostawców usług telekomunikacyjnych i call-trackingu pod kątem przeciwdziałania nadużyciom.
Dla użytkowników końcowych podstawowa zasada pozostaje niezmienna: legalne firmy technologiczne nie wyświetlają przypadkowych komunikatów z żądaniem natychmiastowego telefonu do pomocy technicznej ani nie oczekują opłaty za usunięcie rzekomego wirusa po wejściu na stronę internetową. Każdy taki komunikat należy traktować jako potencjalne oszustwo.
Podsumowanie
Przyznanie się byłych menedżerów z USA do winy pokazuje, że walka z cyberprzestępczością coraz częściej obejmuje nie tylko bezpośrednich sprawców, ale również podmioty dostarczające infrastrukturę umożliwiającą skalowanie i ukrywanie oszustw. To ważny precedens dla rynku usług telekomunikacyjnych, analitycznych i marketingowych.
Dla zespołów bezpieczeństwa sprawa stanowi przypomnienie, że zagrożenia socjotechniczne mogą opierać się na całym łańcuchu legalnie wyglądających usług. Ochrona przed nimi wymaga nie tylko reagowania na incydenty, ale również identyfikowania pośrednich komponentów, które wspierają działalność przestępczą.
Źródła
- BleepingComputer — Former US execs plead guilty to aiding tech support scammers — https://www.bleepingcomputer.com/news/security/former-us-execs-plead-guilty-to-aiding-tech-support-scammers/
- FBI — Tech Support Fraud — https://www.fbi.gov/how-we-can-help-you/scams-and-safety/common-frauds-and-scams/tech-support-fraud
- IC3 — 2025 Internet Crime Report — https://www.ic3.gov/Media/PDF/AnnualReport/2025_IC3Report.pdf
- U.S. Department of Justice — Criminal Division — https://www.justice.gov/criminal
- DocumentCloud — Court documents referenced in the case — https://legacy.www.documentcloud.org/