Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Międzynarodowe operacje przeciwko cyberprzestępczości coraz częściej koncentrują się nie tylko na samych sprawcach, ale również na infrastrukturze technicznej wykorzystywanej do prowadzenia phishingu, dystrybucji malware, oszustw finansowych i ataków ransomware. Obejmuje to serwery dowodzenia i kontroli, złośliwe adresy IP, domeny phishingowe oraz urządzenia wspierające działalność przestępczą.
Najnowsza operacja koordynowana przez INTERPOL pokazuje, że skala takich działań jest już globalna. W ramach trzeciej fazy inicjatywy Synergia służby z wielu państw jednocześnie uderzyły w zaplecze techniczne cyberprzestępców, ograniczając ich zdolność do prowadzenia kampanii na szeroką skalę.
W skrócie
- INTERPOL poinformował o wyłączeniu 45 tys. złośliwych adresów IP i serwerów.
- Operacja objęła 72 kraje i terytoria.
- Zatrzymano 94 osoby, a 110 kolejnych objęto dochodzeniami.
- Zabezpieczono 212 urządzeń elektronicznych i serwerów.
- Działania prowadzono od 18 lipca 2025 r. do 31 stycznia 2026 r. w ramach trzeciej fazy operacji Synergia.
Kontekst / historia
Operacja Synergia wpisuje się w szerszą strategię międzynarodowych organów ścigania, której celem jest systematyczne osłabianie ekosystemu cyberprzestępczego. W praktyce oznacza to równoczesne działanie przeciwko operatorom oszustw, ich infrastrukturze hostingowej, zapleczu phishingowemu oraz kanałom finansowym wykorzystywanym do prania środków.
W odróżnieniu od klasycznych dochodzeń skoncentrowanych na pojedynczych grupach, podobne operacje uderzają w wiele warstw jednocześnie. To szczególnie istotne, ponieważ współczesne kampanie phishingowe, oszustwa inwestycyjne, przejęcia kont i ataki ransomware często korzystają z podobnych usług, serwerów i modeli operacyjnych.
Wśród przykładów działań wskazano m.in. Bangladesz, gdzie zatrzymano 40 podejrzanych i przejęto 134 urządzenia powiązane z oszustwami pożyczkowymi, fałszywymi ofertami pracy, kradzieżą tożsamości i nadużyciami kart płatniczych. W Togo zatrzymano 10 osób związanych z oszustwami opartymi na przejętych kontach w mediach społecznościowych, scenariuszach romansowych i sextortion. Z kolei w Makau zidentyfikowano ponad 33 tys. stron phishingowych i oszukańczych serwisów podszywających się pod kasyna, banki, usługi płatnicze i instytucje publiczne.
Analiza techniczna
Z technicznego punktu widzenia operacja tego typu uderza przede wszystkim w infrastrukturę sieciową wykorzystywaną do hostowania stron phishingowych, paneli administracyjnych, loaderów malware, serwerów C2 oraz usług pośredniczących. Wyłączenie dziesiątek tysięcy zasobów nie eliminuje całkowicie zagrożenia, ale znacząco utrudnia sprawcom utrzymanie skali i ciągłości kampanii.
Istotne znaczenie ma również przejęcie 212 urządzeń i serwerów. Tego rodzaju zasoby mogą zawierać logi, konfiguracje paneli, dane uwierzytelniające, listy ofiar, mechanizmy automatyzacji ataków oraz informacje o przepływach finansowych. Dla analityków i śledczych jest to materiał pozwalający mapować zależności pomiędzy operatorami różnych etapów przestępczego łańcucha.
W opisanych przypadkach widoczna jest także duża rola socjotechniki. Przejęte konta w mediach społecznościowych były wykorzystywane do kontaktowania się ze znajomymi ofiar, co pozwalało nadużywać zaufania i zwiększać skuteczność oszustw. Podobny mechanizm działa w fałszywych inwestycjach, oszustwach romantycznych czy fikcyjnych ofertach pracy, gdzie początkowy kontakt ma budować wiarygodność i skłonić ofiarę do kolejnych działań.
Ważnym elementem pozostaje zacieranie śladów finansowych. Cyberprzestępcy często wykorzystują rachunki pośrednie, portfele fintech, wypłaty offshore i konwersję środków do aktywów cyfrowych, co utrudnia odzyskanie pieniędzy i analizę pełnego łańcucha transferów. Rozproszenie infrastruktury między wieloma jurysdykcjami dodatkowo komplikuje działania obronne i śledcze.
Konsekwencje / ryzyko
Dla organizacji najważniejszy wniosek jest taki, że zagrożenie nie ogranicza się do głośnych kampanii ransomware. Ta sama infrastruktura może jednocześnie wspierać phishing, kradzież poświadczeń, przejęcia kont, fraud kartowy, oszustwa inwestycyjne i podszywanie się pod znane marki.
Ryzyko dla firm obejmuje utratę danych logowania, przejęcie kont pocztowych i profili społecznościowych, oszustwa BEC, infekcje malware oraz bezpośrednie straty finansowe wynikające z manipulacji pracownikami. Szczególnie niebezpieczne są kampanie oparte na przejętych legalnych kontach, ponieważ mogą omijać część tradycyjnych mechanizmów filtrowania wiadomości i reputacji nadawcy.
Dla użytkowników indywidualnych oznacza to wzrost zagrożenia ze strony wiarygodnie wyglądających wiadomości, fałszywych ofert pracy, inwestycji i kontaktów inicjowanych z przejętych kont znajomych. Nawet skuteczna operacja policyjna nie oznacza trwałego zaniku problemu, ponieważ operatorzy szybko odbudowują infrastrukturę na nowych serwerach, domenach i usługach hostingowych.
Rekomendacje
Organizacje powinny potraktować tę operację jako sygnał do przeglądu własnej odporności na phishing i nadużycia tożsamości. W praktyce oznacza to konieczność połączenia zabezpieczeń technicznych, procedur biznesowych i edukacji użytkowników.
- Wdrożyć obowiązkowe MFA odporne na phishing dla kluczowych kont i dostępu uprzywilejowanego.
- Monitorować nietypowe logowania, zmiany urządzeń, anomalia sesji oraz podejrzane reguły pocztowe.
- Skrócić czas detekcji poprzez korelację logów DNS, proxy, poczty oraz systemów EDR/XDR.
- Blokować znane IOC i analizować ruch wychodzący do nowych lub rzadko spotykanych hostów.
- Ustandaryzować procedury potwierdzania płatności, zmian danych kontrahentów i pilnych dyspozycji finansowych.
- Rozszerzyć szkolenia o scenariusze przejęcia kont społecznościowych, sextortion, oszustwa romansowe, fałszywe inwestycje i oferty pracy.
- Przygotować playbooki reagowania na incydenty związane z przejęciem kont, phishingiem i wyciekiem poświadczeń.
Podsumowanie
Trzecia faza operacji Synergia pokazuje, że walka z cyberprzestępczością coraz częściej polega na zakłócaniu całego ekosystemu technicznego, a nie wyłącznie na zatrzymywaniu pojedynczych sprawców. Wyłączenie 45 tys. złośliwych adresów IP i serwerów oraz dziesiątki zatrzymań to znaczący sukces operacyjny, który może czasowo ograniczyć aktywność wielu kampanii oszustw i malware.
Dla obrońców najważniejsza lekcja pozostaje niezmienna: skuteczna ochrona wymaga stałej widoczności środowiska, ochrony tożsamości, sprawnych procesów biznesowych i gotowości do szybkiej reakcji. Międzynarodowe operacje policyjne są ważne, ale nie zastępują codziennej higieny bezpieczeństwa i ciągłego monitorowania zagrożeń.