Europejskie służby rozbijają globalny gang oszustów: miliony transakcji przez niemieckie firmy płatnicze - Security Bez Tabu

Europejskie służby rozbijają globalny gang oszustów: miliony transakcji przez niemieckie firmy płatnicze

Wprowadzenie do problemu / definicja luki

Europejskie organy ścigania (koordynacja: Europol i Eurojust) przeprowadziły skoordynowaną akcję przeciwko trzem powiązanym sieciom przestępczym odpowiedzialnym za masowe oszustwa kartowe i pranie pieniędzy. Grupa miała wykorzystywać infrastrukturę czterech dużych niemieckich dostawców usług płatniczych (PSP) do rozliczania fałszywych subskrypcji na około 2 000 witrynach podszywających się pod serwisy VOD, randkowe i dla dorosłych. Straty szacowane są co najmniej na 300 mln euro, a dane 4,3 mln posiadaczy kart z 193 krajów miały zostać nadużyte. Zatrzymano 18 osób, a łącznie podejrzanych ma być 44. Akcję określono kryptonimem Operation Chargeback.

W skrócie

  • Skala: 19 mln obciążeń subskrypcyjnych, min. 300 mln € szkód; ofiary w 193 krajach.
  • Wektor nadużyć: przejęte/wykradzione dane kart + fałszywe serwisy subskrypcyjne; przetwarzanie przez skompromitowane PSP.
  • Infrastruktura finansowa: co najmniej 500 spółek-słupów (m.in. w UK i na Cyprze) do prania środków.
  • Zasięg operacji: przeszukania i działania m.in. w Niemczech, Włoszech, Kanadzie, Luksemburgu, Niderlandach, Singapurze, Hiszpanii, USA i na Cyprze.

Kontekst / historia / powiązania

Śledztwo prowadzone przez prokuratury i policję federalną Niemiec (BKA) przy wsparciu BaFin wpisuje się w szersze europejskie działania przeciw oszustwom płatniczym i praniu pieniędzy (EMPACT 2022–2025). Według komunikatów Eurojust i Europolu, rdzeń procederu działał w latach 2016–2021, po czym został zakłócony, a obecne zatrzymania to efekt kilkuletniej, wielowątkowej analizy danych i przepływów finansowych.

Analiza techniczna / szczegóły luki

Jak to działało:

  1. Pozyskanie danych kart: głównie z wycieków i phishingu; następnie automatyczne testy kart (card testing) i niskokwotowe obciążenia subskrypcyjne, by ominąć wykrywanie anomalii.
  2. Fałszywe serwisy: ok. 2 000 witryn oferujących „usługi” (streaming, randki, treści 18+) – realny content był drugorzędny lub nieistniał; kluczowy był ciągły billing.
  3. Wykorzystanie PSP: przestępcy – z pomocą obecnych lub byłych pracowników oraz pośredników – mieli uzyskiwać dostęp do kont handlowców (MIDs) i systemów rozliczeniowych 4 niemieckich PSP, co pozwalało na wypłaszczanie wskaźników chargeback i maskowanie fraudu w wolumenie legalnych transakcji.
  4. Pranie pieniędzy: sieć ~500 spółek i kont w wielu jurysdykcjach; środki dystrybuowano etapami, mieszając je z legalnymi wpływami, co utrudniało analizy KYC/AML.
  5. Skala nadużyć: 19 mln obciążeń na 19 mln kont kartowych; szkody potwierdzone ≥300 mln €, próby oszustw szacowane na >750 mln €.

Praktyczne konsekwencje / ryzyko

  • Dla PSP i acquirerów: ryzyko systemowe – kompromitacja procesów merchant onboarding, monitoringu transakcyjnego i zarządzania chargebackami. Potencjalne sankcje regulacyjne (BaFin) i koszty kompensat.
  • Dla banków-wydawców (issuerów): wyższe straty fraudowe, wzrost opłat scheme’owych za nadmierne chargebacki, presja na modele risk scoringu. (Wnioski na podstawie danych o skali i metodach operacyjnych.)
  • Dla użytkowników: nieautoryzowane subskrypcje, „szum” w historii transakcji o małych kwotach, utrata środków do czasu chargebacku.
  • Dla regulatorów: konieczność przeglądu nadzoru nad PSP oraz łańcuchem pośredników płatniczych i agregatorów.

Rekomendacje operacyjne / co zrobić teraz

Dla PSP/fintechów i acquirerów

  • Natychmiastowy audyt MIDs: re-KYC najwyższego ryzyka (branże „content”, subskrypcje, VOD, adult), w tym beneficial owners i powiązania krzyżowe między merchantami.
  • Kontrole techniczne:
    • Wymuś 3DS/SCA dla subskrypcji inicjowanych bez udziału karty (COF/mit) powyżej progów ryzyka.
    • Wykrywaj bursting małych transakcji i schematy „first charge small, then recurring”.
    • Modeluj nietypowe ścieżki refund/chargeback oraz wzorce „friendly fraud masking”.
  • Procesy compliance: wzmożone EDD dla resellerów i „psuedo-aggregatorów”; weryfikacja pracowników i partnerów z dostępem do systemów rozliczeniowych (insider risk).

Dla banków-issuerów

  • Zacieśnij profilowanie MCC + merchant descriptors; automatyczne alerty dla mikro-subskrypcji i transakcji transgranicznych z niskim AVS/CVV match.
  • Udoskonal customer education (wykrywanie „dark patterns” subskrypcji; wniosek o chargeback).

Dla użytkowników

  • Sprawdzaj historie płatności pod kątem drobnych, cyklicznych obciążeń z niejasnymi nazwami.
  • Włącz powiadomienia o transakcjach i rozważ wirtualne karty do subskrypcji.

(Każda z powyższych rekomendacji wynika z metod opisanych w materiałach Europolu/Eurojust i doniesieniach prasowych o Operation Chargeback.)

Różnice / porównania z innymi przypadkami

W ostatnich miesiącach europejskie organy ścigania uderzały także w duże sieci crypto-scamów, gdzie kluczowa była tokenizacja i pranie na łańcuchu (np. świeże działania koordynowane przez Eurojust, oddzielne od sprawy Chargeback). W Operation Chargeback rdzeniem był jednak klasyczny kanał kartowy i komercyjne PSP, a nie inwestycyjne oszustwa krypto. To inny wektor ataku, ale wspólna pozostaje profesjonalizacja prania przez siatkę spółek-słupów i multi-jurysdykcyjność.

Podsumowanie / kluczowe wnioski

  • Atak na łańcuch płatniczy może być równie skuteczny jak malware: przejęcie procesów PSP i merchantów pozwala „legalizować” masowe mikropłatności.
  • Insiderzy i pośrednicy to krytyczny wektor – kontrole dostępu i due diligence partnerów są tak samo ważne jak modele AML.
  • Subskrypcje o niskiej wartości wymagają dedykowanych reguł ryzyka; standardowe progi wykrywania często je przepuszczają.
  • Współpraca międzynarodowa (Europol/Eurojust) i presja regulacyjna są skuteczne, ale ryzyko re-konfiguracji siatek pozostaje wysokie.

Źródła / bibliografia

  • Europol: „Operation Chargeback: 4.3 million cardholders affected, EUR 300 million in damages”. (04.11.2025). (Europol)
  • Eurojust: „Eurojust coordinates major operation against EUR 300 million global credit card fraud”. (05.11.2025). (Eurojust)
  • Reuters: „Germany arrests 18 in international crackdown on suspected online fraud”. (05.11.2025). (Reuters)
  • Financial Times: „Eighteen arrested in connection with alleged global online fraud network”. (05.11.2025). (Financial Times)
  • The Record: „Europe police bust global fraud ring that used German payment firms to launder millions”. (05.11.2025). (The Record from Recorded Future)