Holenderska policja rozbiła międzynarodową siatkę oszustw inwestycyjnych wartą ponad 100 mln euro - Security Bez Tabu

Holenderska policja rozbiła międzynarodową siatkę oszustw inwestycyjnych wartą ponad 100 mln euro

Cybersecurity news

Wprowadzenie do problemu / definicja

Oszustwa inwestycyjne należą dziś do najbardziej dochodowych form cyberprzestępczości finansowej. Łączą zaawansowaną socjotechnikę, fałszywe platformy transakcyjne, infrastrukturę telekomunikacyjną oraz transfery kryptowalutowe, aby wyłudzać środki od ofiar na dużą skalę. Najnowsza operacja służb w Europie pokazuje, że tego typu działalność coraz częściej przybiera formę profesjonalnie zorganizowanych, transnarodowych struktur.

W skrócie

Holenderska policja poinformowała o zatrzymaniu wielu osób podejrzewanych o udział w międzynarodowym schemacie oszustw inwestycyjnych. Według śledczych grupa miała obsługiwać około 20 call center, w których ponad 700 osób podszywało się pod doradców finansowych.

Skala działalności była ogromna. Organizacja mogła w pewnym okresie generować ponad 100 mln euro miesięcznie, a dochodzenie powiązało ją z co najmniej 550 zgłoszeniami oraz stratami sięgającymi 28,6 mln dolarów. Rzeczywista liczba ofiar może być jednak znacznie większa i obejmować dziesiątki tysięcy osób na świecie.

Kontekst / historia

Z ustaleń śledczych wynika, że działalność grupy trwała co najmniej od 2021 roku. Operacja miała charakter międzynarodowy, a poszczególne centra telefoniczne działały w różnych krajach i były podzielone na zespoły realizujące odmienne role operacyjne oraz kampanie skierowane do konkretnych grup ofiar.

Kluczowym podejrzanym jest 46-letni obywatel Izraela i Polski, zatrzymany w Polsce 26 maja 2026 roku. Następnie został przekazany do Niderlandów i osadzony w areszcie tymczasowym. W dniach od 7 do 10 lipca 2026 roku zatrzymano również kolejnych podejrzanych na terytorium Cypru, Grecji i Belgii. Śledczy nie wykluczają dalszych aresztowań.

Sprawa wpisuje się w rosnący trend operacji typu call center fraud. W przeciwieństwie do prostych kampanii phishingowych, takie grupy budują relację z ofiarą przez dłuższy czas, prowadzą wieloetapową manipulację i wykorzystują pozornie wiarygodne środowiska inwestycyjne.

Analiza techniczna

Model działania przestępców opierał się na połączeniu socjotechniki z kontrolowaną infrastrukturą cyfrową. Ofiary były stopniowo przekonywane do wejścia w rzekome inwestycje przez osoby podające się za ekspertów finansowych. Następnie kierowano je do realistycznie wyglądających platform, na których prezentowano fikcyjne zyski oraz wzrost wartości portfela.

Kluczowym elementem oszustwa były fałszywe dashboardy i systemy prezentacyjne, które symulowały prawdziwe operacje rynkowe. Interfejsy te nie służyły do realnego inwestowania, lecz do utrzymania wiarygodności kampanii i skłaniania ofiar do kolejnych wpłat. Środki były zazwyczaj transferowane w kryptowalutach, co utrudniało ich odzyskanie oraz analizę przepływów finansowych.

Śledczy wskazali również, że członkowie organizacji korzystali z pseudonimów oraz narzędzi technicznych ukrywających ich tożsamość i rzeczywiste lokalizacje. Sugeruje to użycie rozproszonej infrastruktury komunikacyjnej, pośrednich węzłów sieciowych i mechanizmów utrudniających atrybucję. Znaczącą rolę miał odegrać główny podejrzany, którego kompetencje techniczne mogły wspierać budowę i utrzymanie zaplecza operacyjnego odpornego na działania organów ścigania.

Przełom w śledztwie nastąpił po analizie adresów IP, tras finansowych oraz innych śladów cyfrowych. To klasyczny przykład skutecznej korelacji danych teleinformatycznych i finansowych, która pozwala identyfikować infrastrukturę, urządzenia oraz lokalizacje operatorów nawet mimo stosowania warstw ukrywania.

Konsekwencje / ryzyko

Najbardziej bezpośrednią konsekwencją są straty finansowe ofiar, które w wielu przypadkach przekraczały 10 tys. euro na osobę. Ryzyko ma jednak również wymiar systemowy. Tego rodzaju kampanie podważają zaufanie do legalnych platform inwestycyjnych, utrudniają działalność instytucji finansowych i zwiększają obciążenie zespołów AML, fraud detection oraz SOC.

Dodatkowym zagrożeniem jest hybrydowy charakter takich operacji. Formalnie mówimy o oszustwie inwestycyjnym, ale w praktyce wykorzystywane są techniki dobrze znane z cyberprzestępczości: anonimizacja infrastruktury, fałszywe panele online, rozproszona komunikacja, pranie środków oraz ślady kryptowalutowe. Granica między klasycznym fraudem a cybercrime staje się przez to coraz mniej wyraźna.

Dla organizacji oznacza to także ryzyko reputacyjne. Przestępcy często nadużywają języka inwestycyjnego, wizerunku legalnych firm i narracji o szybkim zysku, co może prowadzić do podszywania się pod znane marki lub wykorzystywania wyciekłych danych kontaktowych do precyzyjniejszego targetowania ofiar.

Rekomendacje

Podmioty z sektora finansowego i cyberbezpieczeństwa powinny traktować oszustwa inwestycyjne jako zagrożenie wymagające ścisłej współpracy między działami bezpieczeństwa, zgodności i przeciwdziałania nadużyciom.

  • Rozwijać mechanizmy wykrywania kampanii socjotechnicznych opartych na długotrwałym kontakcie z ofiarą, a nie wyłącznie na pojedynczych wiadomościach phishingowych.
  • Monitorować fałszywe witryny inwestycyjne, podszywanie się pod doradców oraz nadużycia brandingu.
  • Korelować telemetrię sieciową z analizą przepływów finansowych i zdarzeń związanych z kryptowalutami.
  • Prowadzić regularne kampanie edukacyjne dla klientów i pracowników, zwłaszcza w obszarze nierealistycznych zysków, presji na szybkie dopłaty i żądań przelewów w kryptowalutach.
  • Przygotować procedury współpracy z bankami, giełdami kryptowalut, operatorami telekomunikacyjnymi i organami ścigania.
  • Wzmacniać działania threat intelligence pod kątem fraud-as-a-service oraz przestępczości opartej na modelu call center.

Podsumowanie

Rozbicie siatki oszustw inwestycyjnych przez holenderską policję pokazuje skalę i dojrzałość współczesnych operacji finansowej cyberprzestępczości. Mowa o strukturze obejmującej wiele lokalizacji, setki operatorów i infrastrukturę zaprojektowaną do długotrwałego wprowadzania ofiar w błąd.

Dla branży cyberbezpieczeństwa to ważny sygnał: nowoczesne oszustwa inwestycyjne nie są już prostym wyłudzeniem, lecz złożoną operacją łączącą socjotechnikę, technologie ukrywania tożsamości i mechanizmy transferu środków w środowisku cyfrowym.

Źródła

  1. BleepingComputer – Dutch police bust investment fraud ring stealing over €100 million — https://www.bleepingcomputer.com/news/security/dutch-police-bust-investment-fraud-ring-stealing-over-100-million/
  2. Komunikat holenderskiej policji dotyczący śledztwa w sprawie oszustw inwestycyjnych — https://www.politie.nl/