Hiszpańska policja rozbiła siatkę cyberoszustów wartą 140 mln euro - Security Bez Tabu

Hiszpańska policja rozbiła siatkę cyberoszustów wartą 140 mln euro

Cybersecurity news

Wprowadzenie do problemu / definicja

Hiszpańskie służby rozbiły rozbudowaną grupę cyberprzestępczą powiązaną z oszustwami inwestycyjnymi oraz atakami typu Business Email Compromise (BEC). Sprawa pokazuje, że współczesne cyberoszustwa coraz częściej łączą socjotechnikę, fałszywą komunikację biznesową i rozbudowane mechanizmy prania pieniędzy.

Ataki BEC polegają zwykle na podszywaniu się pod kadrę zarządzającą, kontrahentów lub działy finansowe w celu nakłonienia ofiary do wykonania przelewu na rachunek kontrolowany przez przestępców. W wielu przypadkach nie wykorzystuje się złośliwego oprogramowania, lecz manipulację procesami biznesowymi i zaufaniem pracowników.

W skrócie

  • Śledczy szacują, że grupa mogła osiągnąć około 140 mln euro zysków z cyberoszustw.
  • W ramach operacji zatrzymano cztery osoby w Hiszpanii, Portugalii i Panamie.
  • Przestępcy mieli wykorzystywać ponad 800 rachunków bankowych i 120 rachunków biznesowych.
  • Policja zabezpieczyła sprzęt elektroniczny, w tym komputery i smartfony.
  • Część środków została zamrożona z myślą o możliwym zwrocie dla poszkodowanych.

Kontekst / historia

Oszustwa BEC od lat należą do najbardziej rentownych form cyberprzestępczości wymierzonej w organizacje. Typowy scenariusz obejmuje przejęcie lub podszycie się pod komunikację e-mail, a następnie przesłanie fałszywej instrukcji płatniczej, zmiany numeru rachunku lub pilnej prośby o przelew.

W opisywanej sprawie działalność grupy miała obejmować nie tylko klasyczne kampanie „CEO fraud”, ale również oszustwa fakturowe i inwestycyjne. Taki model wskazuje na wielowarstwowy ekosystem przestępczy, w którym równie ważne jak samo wyłudzenie środków są ich szybkie ukrycie, rozproszenie i legalizacja.

Analiza techniczna

Najważniejszym elementem tej operacji nie była zaawansowana infrastruktura malware, lecz sprawnie działające zaplecze finansowe. Środki wyłudzone od ofiar miały trafiać na dużą liczbę rachunków bankowych, po czym były szybko przenoszone między kolejnymi kontami, co utrudniało analizę przepływów i reakcję instytucji finansowych.

Model ten odpowiada klasycznemu schematowi prania pieniędzy: wpływ środków, warstwowanie transakcji i finalne ukrycie ich pochodzenia. Istotną rolę odgrywali również pośrednicy pełniący funkcję tzw. money mule, którzy umożliwiali dalsze transfery przez rachunki wyglądające na legalne.

Śledztwo miało rozpocząć się po wykryciu oznak prania pieniędzy w 19 firmach powiązanych z działalnością grupy. To ważny sygnał dla przedsiębiorstw, ponieważ wiele ataków BEC nie pozostawia typowych śladów technicznych w systemach bezpieczeństwa i ujawnia się dopiero na poziomie procesów finansowych, audytu lub zgodności.

W trakcie operacji zabezpieczono 15 komputerów i ponad 170 smartfonów. Tak duża liczba urządzeń może świadczyć o skali prowadzonej działalności i o wykorzystaniu telefonów do obsługi komunikacji, logowania do usług finansowych, autoryzacji transakcji oraz koordynacji działań międzynarodowej sieci współpracowników.

Konsekwencje / ryzyko

Dla firm incydent ten jest kolejnym potwierdzeniem, że BEC pozostaje jednym z najpoważniejszych zagrożeń finansowych w cyberbezpieczeństwie. W przeciwieństwie do ransomware ataki tego typu nie zawsze powodują przestój systemów, dlatego bywają wykrywane dopiero po utracie pieniędzy.

Najbardziej narażone są działy finansowe, księgowość, procurement oraz kadra menedżerska. Dodatkowym wyzwaniem jest międzynarodowy charakter takich operacji, ponieważ szybkie przekazanie środków przez wiele rachunków w różnych jurysdykcjach znacząco utrudnia ich odzyskanie.

Skutki dla ofiar mogą obejmować nie tylko bezpośrednie straty finansowe, ale także spory z kontrahentami, problemy operacyjne, koszty prawne i reputacyjne oraz konieczność przeglądu procedur kontrolnych.

Rekomendacje

Organizacje powinny traktować ochronę przed BEC jako wspólne zadanie zespołów bezpieczeństwa, finansów i zarządzania ryzykiem. Kluczowe znaczenie ma wdrożenie wieloetapowej weryfikacji zmian danych płatniczych, beneficjentów oraz pilnych dyspozycji przelewów.

  • Stosowanie procedury call-back verification przy zmianie rachunku lub danych odbiorcy.
  • Rozdzielenie obowiązków przy autoryzacji płatności i wprowadzenie zasady wielu akceptacji.
  • Ustalanie limitów transakcyjnych wymagających dodatkowej kontroli.
  • Wzmocnienie bezpieczeństwa poczty przez SPF, DKIM i DMARC.
  • Monitorowanie anomalii logowania, reguł skrzynkowych i przekierowań wiadomości.
  • Regularne szkolenia z rozpoznawania presji czasu, podszywania się pod zarząd i manipulacji fakturami.

Równie ważne jest przygotowanie planu reakcji na incydent. Powinien on obejmować natychmiastowy kontakt z bankiem, próbę zatrzymania przelewu, zabezpieczenie logów, analizę skrzynek e-mail i zgłoszenie sprawy odpowiednim organom ścigania.

Podsumowanie

Rozbicie międzynarodowej siatki cyberoszustów przez hiszpańskie służby pokazuje, że nowoczesne oszustwa BEC działają jak profesjonalne przedsiębiorstwa przestępcze. O ich skuteczności decyduje nie tylko socjotechnika, ale również rozbudowana infrastruktura finansowa pozwalająca szybko ukrywać pochodzenie pieniędzy.

Dla biznesu to wyraźne ostrzeżenie: skuteczna ochrona przed tego typu zagrożeniami wymaga połączenia zabezpieczeń technicznych, dojrzałych procedur finansowych i sprawnego wykrywania anomalii w komunikacji oraz płatnościach.

Źródła

  1. https://www.bleepingcomputer.com/news/security/spanish-police-take-down-140-million-cyber-fraud-ring-arrest-four/
  2. https://www.policia.es/
  3. https://www.europol.europa.eu/