Pięć osób oskarżonych za Russian Coms. Brytyjskie służby uderzają w zaplecze masowych oszustw telefonicznych - Security Bez Tabu

Pięć osób oskarżonych za Russian Coms. Brytyjskie służby uderzają w zaplecze masowych oszustw telefonicznych

Cybersecurity news

Wprowadzenie do problemu / definicja

Russian Coms to platforma typu fraud-enablement, która miała wspierać cyberprzestępców w prowadzeniu oszustw telefonicznych z użyciem spoofingu Caller ID. Tego rodzaju usługi umożliwiają podszywanie się pod zaufane numery należące do banków, operatorów telekomunikacyjnych czy instytucji publicznych, co znacząco zwiększa skuteczność kampanii vishingowych.

Z perspektywy cyberbezpieczeństwa sprawa jest istotna, ponieważ pokazuje rosnącą profesjonalizację zaplecza technicznego wykorzystywanego do oszustw głosowych. Zamiast samodzielnie budować infrastrukturę, przestępcy mogą kupować gotowe narzędzia i usługi działające w modelu zbliżonym do cybercrime-as-a-service.

W skrócie

Brytyjskie organy ścigania postawiły zarzuty pięciu osobom w związku z działalnością wokół Russian Coms, platformy wykorzystywanej do masowych oszustw telefonicznych. Według ustaleń śledczych usługa była rozwijana od 2020 roku i z czasem funkcjonowała także jako aplikacja webowa.

Infrastruktura miała umożliwić wykonanie ponad 1,3 mln połączeń do około 500 tys. unikalnych numerów w ponad 100 krajach. Śledczy łączą platformę z ogromnymi stratami finansowymi oraz dużą liczbą poszkodowanych, a oskarżeni mają stanąć przed sądem 14 sierpnia 2026 roku.

Kontekst / historia

Sprawa Russian Coms stanowi kolejny etap szerszej operacji wymierzonej w zaplecze techniczne oszustw telefonicznych. Już w marcu 2024 roku brytyjska National Crime Agency doprowadziła do wyłączenia platformy i zatrzymała osoby podejrzewane o pełnienie kluczowych ról, w tym administratorów, deweloperów i współpracowników odpowiedzialnych za dystrybucję urządzeń.

Działania te wpisywały się w większą inicjatywę operacyjną znaną jako Operation Henhouse, skoncentrowaną na zwalczaniu przestępczości fraudowej. Z punktu widzenia rynku cyberprzestępczego sprawa pokazuje, że oszustwa głosowe coraz częściej korzystają z profesjonalnych usług abonamentowych, które oferują nie tylko funkcjonalność, ale także wsparcie operacyjne i elementy utrudniające identyfikację użytkowników.

Analiza techniczna

Technicznie Russian Coms działał jako platforma do fałszowania tożsamości telefonicznej i ukrywania źródła połączeń. Dzięki temu ofiara mogła widzieć na ekranie numer wyglądający na należący do banku, firmy telekomunikacyjnej lub organu ścigania, choć faktyczny rozmówca był przestępcą.

Według ujawnionych informacji usługa była oferowana zarówno w formie dedykowanego urządzenia, jak i aplikacji webowej. Zestaw funkcji miał obejmować szyfrowane połączenia, obsługę połączeń międzynarodowych, zmianę głosu, deklarowany brak logów, zdalne wymazywanie urządzeń oraz całodobowe wsparcie. Taki zestaw cech wskazuje na dojrzały produkt przestępczy zaprojektowany do regularnego użycia operacyjnego.

Typowy scenariusz ataku opierał się na socjotechnice. Przestępca inicjował połączenie z numeru wyglądającego na autentyczny, wywoływał presję i poczucie zagrożenia, a następnie nakłaniał ofiarę do wykonania przelewu, ujawnienia danych uwierzytelniających lub podania kodów jednorazowych. W części przypadków wykorzystywano narrację o rzekomym wykryciu oszustwa na koncie, aby skłonić ofiarę do przeniesienia środków na kontrolowany rachunek.

Istotny był także model dystrybucji. Platforma miała być promowana w mediach społecznościowych i kanałach komunikacyjnych używanych przez środowiska przestępcze, co sugeruje niski koszt pozyskania nowych użytkowników i możliwość szybkiego skalowania kampanii. Rozliczenia w kryptowalutach dodatkowo utrudniały śledzenie przepływów finansowych.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem działalności Russian Coms było uprzemysłowienie oszustw telefonicznych. Tego rodzaju platforma pozwala wielu grupom przestępczym korzystać z tej samej infrastruktury, skracając czas przygotowania kampanii i zwiększając jej zasięg.

Dla organizacji ryzyko ma kilka wymiarów. Obejmuje bezpośrednie straty finansowe, przejęcie kont, wyłudzenie danych osobowych, eskalację do kolejnych ataków, a także koszty reputacyjne i operacyjne po stronie instytucji, pod które podszywają się oszuści. Szczególnie niebezpieczne jest to, że połączenie telefoniczne nadal bywa postrzegane jako bardziej wiarygodne niż e-mail, co osłabia naturalną czujność ofiar.

  • wzrost skuteczności kampanii vishingowych dzięki podszywaniu się pod zaufane numery,
  • większa skala nadużyć dzięki modelowi usługowemu,
  • trudniejsza atrybucja odpowiedzialności między operatorów platformy a użytkowników końcowych,
  • podważenie zaufania do tradycyjnych kanałów głosowych.

Rekomendacje

Organizacje powinny traktować spoofing głosowy jako pełnoprawny wektor ataku i uwzględniać go w politykach bezpieczeństwa, procedurach operacyjnych oraz szkoleniach. Żadne żądanie dotyczące przelewu, resetu dostępu, zmiany danych kontaktowych lub ujawnienia informacji wrażliwych nie powinno być realizowane wyłącznie na podstawie rozmowy telefonicznej.

W praktyce warto wdrożyć następujące działania:

  • formalną procedurę call-back z użyciem numerów pobieranych z niezależnych i zweryfikowanych źródeł,
  • silne uwierzytelnianie operacji wysokiego ryzyka poza kanałem głosowym,
  • szkolenia użytkowników skupione na vishingu, presji czasowej i podszywaniu się pod banki lub służby,
  • monitorowanie zgłoszeń klientów dotyczących podejrzanych połączeń,
  • współpracę z operatorami telekomunikacyjnymi oraz zespołami fraud,
  • integrację danych o incydentach z SOC i zespołami reagowania,
  • ćwiczenia red-team i scenariusze socjotechniczne obejmujące ataki telefoniczne.

Dla użytkowników końcowych podstawowa zasada pozostaje niezmienna: wyświetlany numer nie jest dowodem tożsamości rozmówcy. Każda prośba o pilny przelew, podanie kodu jednorazowego lub instalację narzędzia zdalnego dostępu powinna być traktowana jako sygnał ostrzegawczy.

Podsumowanie

Postawienie zarzutów pięciu osobom w sprawie Russian Coms to ważny krok w walce z infrastrukturą wspierającą masowe oszustwa telefoniczne. Sprawa pokazuje, że współczesne zagrożenie nie wynika jedynie z działań pojedynczych oszustów, ale z dojrzałych platform usługowych dostarczających gotowe narzędzia do spoofingu, anonimizacji i skalowania kampanii.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona przed fraudem głosowym musi rozwijać się równolegle z zabezpieczeniami poczty elektronicznej, tożsamości cyfrowej i bankowości internetowej. Vishing przestał być incydentalnym problemem i coraz częściej staje się elementem zorganizowanego ekosystemu cyberprzestępczego.

Źródła

  1. BleepingComputer – UK charges suspects linked to Russian Coms call spoofing platform – https://www.bleepingcomputer.com/news/security/uk-charges-suspects-linked-to-russian-coms-call-spoofing-platform/
  2. National Crime Agency – National Strategic Assessment 2025 – https://www.nationalcrimeagency.gov.uk/images/campaign/NSA/2024/NSA%202025%20Website%20-%20PDF%20Version%20v1.0.pdf
  3. National Crime Agency – NECC Annual Report 2024/25 – https://www.nationalcrimeagency.gov.uk/who-we-are/publications/759-2024-25-necc-annual-report/file.pdf
  4. SOC Defenders – Five Charged in “Russian Coms” Fraud Platform Case – https://www.socdefenders.ai/item/fe521d69-24d0-4e01-bd48-c63691b663fd