FBI/DOJ przejmują domenę i bazę skradzionych haseł: jak reklamy w Google/Bing napędzały przejęcia kont bankowych (ATO)

Wprowadzenie do problemu / definicja „luki”

W opisywanym incydencie nie chodzi o klasyczną podatność CVE, tylko o przejęcie konta bankowego (Account Takeover, ATO) przez kradzież poświadczeń. ATO to scenariusz, w którym przestępcy uzyskują login i hasło (czasem również kody MFA/OTP) i wykorzystują je do zalogowania się do prawdziwego serwisu banku, a następnie do wykonania nieautoryzowanych operacji finansowych. FBI wskazuje, że ATO dotyka zarówno osoby prywatne, jak i firmy — niezależnie od branży czy skali.

W skrócie

• Departament Sprawiedliwości USA ogłosił przejęcie domeny web3adspanels.org oraz bazy skradzionych haseł/poświadczeń używanej do przejęć kont bankowych.
• Schemat bazował na fałszywych reklamach w wyszukiwarkach (m.in. Google i Bing), które podszywały się pod reklamy prawdziwych banków i prowadziły na spreparowane strony logowania.
• FBI zidentyfikowało co najmniej 19 ofiar w USA (w tym dwie firmy), próbowano ukraść ok. 28 mln USD, a realne straty oszacowano na ok. 14,6 mln USD.
• W działaniach uczestniczyły także służby Estonii, które zabezpieczyły dane z infrastruktury wykorzystywanej w kampanii.

Kontekst / historia / powiązania

Ten przypadek dobrze pokazuje, że „klasyczne” phishingowe mechaniki wracają w nowej odsłonie: zamiast maili — reklamy i wyniki wyszukiwania. FBI opisuje to jako SEO poisoning / nadużywanie reklam, gdzie przestępcy kupują lub podszywają się pod linki promowane tak, by ofiara trafiła na fałszywą stronę „pomocy” albo logowania banku.

Równolegle rośnie skala „gospodarki poświadczeń”. W grudniu 2025 Troy Hunt (Have I Been Pwned) opisał, że FBI przekazało do analizy 630 mln haseł pozyskanych w toku działań operacyjnych; część z nich nie występowała wcześniej w bazie HIBP. To nie musi być bezpośrednio powiązane z omawianym przejęciem domeny, ale wzmacnia kontekst: poświadczenia są masowo gromadzone, handlowane i ponownie wykorzystywane.

Analiza techniczna / szczegóły schematu

Z perspektywy „kill chain” (łańcucha ataku) mechanizm wyglądał następująco:

1. Malvertising w wyszukiwarce
   Grupa przestępcza dystrybuowała fałszywe reklamy sponsorowane w Google/Bing, stylistycznie imitujące reklamy banków.
2. Przekierowanie na fałszywą stronę banku
   Kliknięcie reklamy wyglądało „normalnie”, ale ofiara była kierowana na spoofowaną stronę logowania kontrolowaną przez atakujących.
3. Kradzież poświadczeń (credential harvesting)
   Gdy użytkownik wpisał login i hasło, przestępcy zbierali je przez złośliwy komponent osadzony w fałszywej stronie (DOJ opisuje to jako malicious software program embedded in the fake website).
4. „Panel” zaplecza do zarządzania skradzionymi danymi
   Przejęta domena web3adspanels.org miała hostować backendowy panel służący do przechowywania i manipulacji nielegalnie pozyskanymi danymi logowania — DOJ wskazuje, że na serwerze były poświadczenia tysięcy ofiar.
5. Przejęcie konta i kradzież środków
   Następnie przestępcy logowali się do prawdziwych serwisów bankowych i „opróżniali” konta ofiar.

Warto zwrócić uwagę na detal operacyjny: według DOJ infrastruktura backendowa działała co najmniej do listopada 2025, co sugeruje relatywnie długi „czas życia” kampanii i skuteczne omijanie wykrycia.

Praktyczne konsekwencje / ryzyko

• Użytkownicy indywidualni: ryzyko utraty środków, przejęcia dostępu do usług powiązanych (jeśli hasło było używane ponownie), a także oszustw „na pomoc techniczną banku”.
• Firmy: przejęcia kont firmowych i kont payroll/treasury to często duże, szybkie transfery, a dodatkowo dochodzą koszty reakcji na incydent, audytu i potencjalnych sporów z kontrahentami. DOJ wprost wskazuje, że wśród ofiar były także firmy.
• Ryzyko systemowe: kampanie oparte o reklamy sponsorowane uderzają w zachowanie użytkowników („klikam pierwszy wynik”), co sprawia, że nawet dojrzałe organizacje mogą mieć problem z eliminacją ryzyka wyłącznie szkoleniami.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i małych firm:

• Nie loguj się do banku przez reklamy sponsorowane. Wejdź przez zakładkę (bookmark) lub ręcznie wpisany adres — to dokładnie rekomenduje FBI.
• Weryfikuj URL (literówki, inne TLD, podejrzane subdomeny) zanim wpiszesz hasło.
• Włącz silne MFA, a gdzie dostępne — rozważ passkeys/FIDO2 (mniej podatne na wyłudzenie niż kody SMS/OTP).
• Unikalne hasła + menedżer haseł: jeśli jedno hasło „wycieknie”, ograniczasz promień rażenia (credential stuffing i reuse to stały motor nadużyć).
• Ustaw alerty transakcyjne i regularnie monitoruj rachunki; przy podejrzeniu oszustwa jak najszybciej kontaktuj się z bankiem (czas działa na korzyść przestępców).

Dla organizacji (SOC/IT/finanse):

• Blokuj ryzykowne kategorie reklam i świeżo rejestrowane domeny w Secure Web Gateway/DNS filtering.
• Wdrażaj phishing-resistant MFA (FIDO2/security keys) dla systemów finansowych i procesów autoryzacji.
• Dodaj detekcję anomalii logowania i transakcji (nietypowe geolokacje, urządzenia, kwoty, odbiorcy) oraz out-of-band verification dla przelewów wysokiego ryzyka.
• Ucz pracowników prostego nawyku: „bank = zakładka, nie wyszukiwarka” — bo tu wektorem wejścia nie jest mail, tylko search.

Różnice / porównania z innymi przypadkami

• Malvertising/SEO poisoning vs klasyczny phishing e-mail: tu przestępcy „przechwytują intencję” (ofiara sama szuka banku), co często obniża czujność.
• Kradzież przez fałszywy login vs infostealery: w tym schemacie credential harvesting wynikał z interakcji ze stroną (wpisanie danych), a nie z infekcji endpointu — choć w praktyce oba światy się przenikają (stąd ogromne zbiory haseł wykorzystywane ponownie).
• „Baza poświadczeń” jako zasób operacyjny: przejęty panel/back-end to element profesjonalizacji — pozwala grupie zarządzać masowo skradzionymi danymi i skalować atak.

Podsumowanie / kluczowe wnioski

Przejęcie domeny i bazy poświadczeń używanej do ATO pokazuje, że przestępcy potrafią skutecznie monetyzować nawet „proste” techniki, jeśli podłączą je pod reklamy w wyszukiwarkach i dobrze zorganizowane zaplecze. Skala (19 ofiar, 28 mln USD prób i ~14,6 mln USD realnych strat) jest na tyle duża, że warto potraktować ten przypadek jako ostrzeżenie operacyjne: najbardziej ryzykowny moment to kliknięcie pierwszego sponsorowanego linku i wpisanie poświadczeń bez weryfikacji domeny.

Źródła / bibliografia

1. DOJ (Office of Public Affairs) — komunikat o przejęciu domeny i bazy poświadczeń (22–23.12.2025). (Department of Justice)
2. SecurityWeek — omówienie sprawy i kluczowe liczby (23.12.2025). (SecurityWeek)
3. FBI IC3 — Public Service Announcement: Account Takeover Fraud (25.11.2025). (Internet Crime Complaint Center)
4. Troy Hunt (Have I Been Pwned) — analiza 630 mln haseł przekazanych przez FBI (13.12.2025). (Troy Hunt)