
Co znajdziesz w tym artykule?
Wprowadzenie do problemu
Hiszpańskie służby poinformowały o rozbiciu zorganizowanej grupy zajmującej się cyberoszustwami finansowymi oraz praniem pieniędzy. Sprawa pokazuje, że nowoczesna cyberprzestępczość coraz rzadziej opiera się wyłącznie na technicznym włamaniu, a coraz częściej na połączeniu socjotechniki, podszywania się pod zaufane podmioty oraz rozbudowanej infrastrukturze finansowej służącej do ukrywania przepływu środków.
Według ustaleń śledczych grupa miała wygenerować około 140 mln euro zysków z działalności przestępczej. W operacji zatrzymano cztery osoby w Hiszpanii, Portugalii i Panamie, a śledztwo objęło dziesiątki podmiotów oraz setki rachunków bankowych wykorzystywanych do transferowania pieniędzy.
W skrócie
- Grupa miała wyłudzić około 140 mln euro.
- Zatrzymano cztery osoby działające na terenie kilku państw.
- Śledczy wskazują na wykorzystanie co najmniej 800 rachunków bankowych i 120 kont firmowych.
- W proceder zaangażowanych było również 67 zewnętrznych współpracowników pełniących rolę tzw. money mule.
- Zabezpieczono sprzęt elektroniczny, w tym 15 komputerów i ponad 170 smartfonów.
- Około 3 mln euro zostało natychmiast zamrożonych z myślą o potencjalnym zwrocie środków poszkodowanym.
Kontekst i tło sprawy
Sprawa wpisuje się w rosnący trend profesjonalizacji cyberprzestępczości finansowej w Europie. Szczególnie szybko rozwijają się dwa modele ataków: oszustwa inwestycyjne oraz BEC, czyli Business Email Compromise. W tym drugim przypadku przestępcy przejmują lub podrabiają zaufaną komunikację biznesową, aby skłonić ofiarę do wykonania przelewu na kontrolowany przez nich rachunek.
Śledztwo rozpoczęło się po wykryciu oznak prania pieniędzy w 19 spółkach powiązanych z działalnością grupy. Następnie zidentyfikowano głównych podejrzanych i przeprowadzono międzynarodową operację obejmującą działania w Barcelonie, Gironie, Tarragonie oraz Porto. Z dostępnych informacji wynika, że część osób opuściła Hiszpanię, ale nadal wspierała działalność grupy z zagranicy.
Analiza techniczna
Mechanizm działania tej siatki nie opierał się na jednym typie ataku. Była to raczej wielowarstwowa operacja łącząca socjotechnikę, oszustwa płatnicze i zaplecze do szybkiego rozpraszania środków. W praktyce taki model daje przestępcom dużą skuteczność i utrudnia odzyskanie pieniędzy.
Pierwszy etap polegał najprawdopodobniej na pozyskaniu ofiary poprzez oszustwo inwestycyjne albo podszycie się pod kadrę zarządzającą, partnera handlowego lub dostawcę. Tego typu działania są często związane z fraudem prezesa oraz fałszywymi fakturami, w których przestępcy przekazują spreparowane instrukcje płatnicze albo zmieniają dane rachunku odbiorcy.
Drugi etap obejmował błyskawiczne rozproszenie środków. Wykorzystanie ponad 800 rachunków bankowych wskazuje na model warstwowy, w którym pieniądze są natychmiast przesyłane między wieloma kontami pośrednimi. Taki schemat utrudnia analizę transakcji, spowalnia reakcję banków i zmniejsza szanse na skuteczne odzyskanie środków.
Trzecim filarem operacji była obsługa logistyczna z użyciem 120 kont biznesowych oraz 67 współpracowników pełniących rolę słupów finansowych. To sugeruje, że grupa próbowała nadawać transferom pozory legalności, zwiększać wiarygodność przelewów i ograniczać ryzyko automatycznego oznaczenia ich jako podejrzanych.
Z punktu widzenia cyberbezpieczeństwa szczególnie ważny jest wątek BEC. Ataki na pocztę elektroniczną, procesy akceptacji płatności i relacje z kontrahentami pozostają jednym z najskuteczniejszych sposobów prowadzących bezpośrednio do strat finansowych.
Konsekwencje i ryzyko
Dla ofiar najpoważniejszym skutkiem są bezpośrednie straty finansowe oraz niewielka szansa na pełne odzyskanie pieniędzy po ich przepuszczeniu przez rozbudowaną sieć rachunków. W przypadku oszustw BEC czas reakcji jest krytyczny, ponieważ środki mogą zostać przesłane dalej w ciągu minut lub godzin.
Dla przedsiębiorstw skutki wykraczają poza pojedynczy przelew. Udany incydent może oznaczać utratę zaufania do procesów finansowych, zakłócenie relacji z partnerami, konieczność przeprowadzenia audytu wewnętrznego, działania śledcze oraz koszty prawne, operacyjne i reputacyjne.
Skala sprawy pokazuje też, że grupy cyberprzestępcze coraz częściej działają jak dobrze zorganizowane firmy. Posiadają podział ról, zaplecze techniczne, sieci współpracowników i międzynarodową infrastrukturę do prania pieniędzy, co znacząco zwiększa ich odporność na lokalne działania organów ścigania.
Rekomendacje
Organizacje powinny traktować BEC, fraud prezesa i oszustwa fakturowe jako zagrożenia o wysokim priorytecie. W praktyce oznacza to konieczność połączenia zabezpieczeń technicznych z kontrolą procesów biznesowych.
- Wprowadzenie wieloskładnikowej weryfikacji każdej zmiany rachunku bankowego lub pilnej dyspozycji przelewu.
- Wdrożenie MFA dla skrzynek pocztowych oraz monitorowania nietypowych logowań i reguł przekierowywania wiadomości.
- Egzekwowanie zabezpieczeń poczty, takich jak SPF, DKIM i DMARC.
- Stosowanie zasady dual control przy autoryzacji przelewów i zmian danych beneficjentów.
- Monitorowanie anomalii w komunikacji i płatnościach poprzez korelację danych z systemów pocztowych, IAM, EDR i bankowości korporacyjnej.
- Prowadzenie szkoleń obejmujących scenariusze BEC, presję czasu, podszywanie się pod zarząd oraz manipulację procesami fakturowania.
- Przygotowanie gotowego playbooka reagowania na fraud finansowy, obejmującego kontakt z bankiem, blokadę przelewów, zabezpieczenie logów i ścieżkę eskalacji.
- Regularna walidacja danych dostawców oraz analiza historii zmian rachunków i wzorców płatniczych.
Podsumowanie
Rozbicie grupy odpowiedzialnej za cyberoszustwa o wartości 140 mln euro potwierdza, że współczesna cyberprzestępczość finansowa opiera się na ścisłym połączeniu socjotechniki, nadużyć w komunikacji biznesowej oraz międzynarodowej infrastruktury bankowej. To zagrożenie nie jest wyłącznie problemem technicznym, ale również organizacyjnym i procesowym.
Dla firm najważniejsze pozostają zabezpieczenia poczty elektronicznej, kontrola zmian w procesach płatniczych oraz szybkie wykrywanie anomalii. Opisana operacja jest kolejnym dowodem na to, że BEC i fraud fakturowy należą dziś do najbardziej dochodowych i najtrudniejszych do zatrzymania form cyberprzestępczości.
Źródła
- BleepingComputer – Spanish Police take down €140 million cyber fraud ring, arrest four — https://www.bleepingcomputer.com/news/security/spanish-police-take-down-140-million-cyber-fraud-ring-arrest-four/
- Policía Nacional – komunikat dotyczący rozbicia siatki prania pieniędzy i oszustw cybernetycznych — https://www.policia.es/_es/comunicacion_prensa_detalle.php?ID=17135
- Europol – Business Email Compromise: zagrożenia i schematy działania — https://www.europol.europa.eu/crime-areas-and-statistics/crime-areas/cybercrime