Co znajdziesz w tym artykule?
Wprowadzenie do problemu
Pranie pieniędzy pochodzących z cyberprzestępczości pozostaje jednym z kluczowych elementów przestępczego ekosystemu wokół kryptowalut. Nawet jeśli sam atak przeprowadza inna osoba lub grupa, to dopiero skuteczne ukrycie pochodzenia środków i ich rozproszenie między wieloma portfelami pozwala sprawcom realnie czerpać zyski z kradzieży.
Najnowsza sprawa karna w Stanach Zjednoczonych pokazuje, że odpowiedzialność nie kończy się na bezpośrednich wykonawcach oszustwa. W centrum uwagi znalazł się także uczestnik procesu prania środków, który miał pomagać w ukrywaniu funduszy pochodzących z kradzieży kryptowalut wartej około 230 mln dolarów.
W skrócie
22-letni Evan Tangeman z Kalifornii został skazany na 70 miesięcy więzienia za udział w praniu środków pochodzących z dużej kradzieży kryptowalut. Według dokumentów sądowych pomagał w legalizowaniu co najmniej 3,5 mln dolarów w okresie od października 2023 roku do maja 2025 roku.
Śledczy wiążą sprawę z atakiem z sierpnia 2024 roku, w którym wykorzystano socjotechnikę, podszywanie się pod wsparcie techniczne oraz zdalny dostęp do systemu ofiary. Po przejęciu środków przestępcy mieli korzystać z giełd, mikserów, portfeli pośrednich oraz metod utrudniających analizę przepływu aktywów.
Kontekst i historia sprawy
Incydent wpisuje się w rosnącą falę przestępstw wymierzonych w posiadaczy aktywów cyfrowych, szczególnie tych dysponujących znacznymi środkami. Z ustaleń śledczych wynika, że ofiara została zmanipulowana w taki sposób, aby samodzielnie osłabić własne zabezpieczenia i ułatwić napastnikom przejęcie dostępu.
Sprawa ma szerszy charakter i dotyczy zorganizowanej działalności przestępczej. Część podejrzanych zatrzymano już we wrześniu 2024 roku, a kolejne działania procesowe prowadzono w 2025 roku. Organy ścigania wskazują, że grupa działała etapowo: od uzyskania dostępu i manipulacji ofiarą, po transfer środków, ich rozdrobnienie i próbę zatarcia śladów.
To kolejny przykład, że współczesna cyberprzestępczość finansowa działa jak rozproszona struktura usługowa. Poszczególne osoby odpowiadają za odrębne etapy operacji, takie jak socjotechnika, przejęcie konta, przesył aktywów czy ich późniejsze pranie.
Analiza techniczna
Z technicznego punktu widzenia atak miał charakter hybrydowy. Nie opierał się wyłącznie na luce w oprogramowaniu, lecz na połączeniu manipulacji psychologicznej, podszywania się pod zaufane podmioty i przejęcia kontroli nad działaniami ofiary.
Napastnicy mieli używać spoofingu numerów telefonicznych i przedstawiać się jako pracownicy wsparcia technicznego znanych usług technologicznych oraz kryptowalutowych. Taki scenariusz miał wywołać u ofiary presję i poczucie zagrożenia, co zwiększa skuteczność oszustwa.
Kluczowym elementem ataku było skłonienie użytkownika do zresetowania mechanizmów uwierzytelniania wieloskładnikowego oraz udostępnienia ekranu przy użyciu narzędzia zdalnego dostępu. Dzięki temu przestępcy mogli obserwować działania ofiary w czasie rzeczywistym, przejąć sesję i uzyskać dane niezbędne do operowania aktywami cyfrowymi.
Po uzyskaniu dostępu rozpoczął się etap warstwowania środków, czyli rozbijania i przemieszczania aktywów w sposób utrudniający ich identyfikację. W sprawie pojawiają się techniki charakterystyczne dla zaawansowanego prania kryptowalut:
- wykorzystanie mikserów kryptowalut,
- transfer przez giełdy,
- stosowanie portfeli pośrednich,
- użycie peel chains, czyli sekwencyjnego dzielenia większej kwoty na mniejsze transakcje,
- korzystanie z VPN w celu utrudnienia atrybucji działań.
Taki model działania znacząco utrudnia analizę środków on-chain. Rozproszenie transakcji pomiędzy wiele adresów i usług zmniejsza przejrzystość przepływów finansowych oraz wydłuża czas potrzebny na ich skorelowanie z pierwotnym źródłem kradzieży.
Konsekwencje i ryzyko
Najważniejszy wniosek z tej sprawy jest prosty: nawet ogromna kradzież kryptowalut może rozpocząć się od relatywnie prostego oszustwa socjotechnicznego. Oznacza to, że najsłabszym punktem często nie jest sama technologia, lecz użytkownik i jego reakcja na presję, autorytet oraz fałszywe poczucie pilności.
Dla użytkowników indywidualnych oznacza to kilka realnych zagrożeń:
- utratę kontroli nad portfelem lub kontem giełdowym,
- obejście zabezpieczeń 2FA wskutek manipulacji,
- ujawnienie danych podczas współdzielenia ekranu,
- niewielkie szanse odzyskania środków po ich szybkim rozproszeniu.
Dla giełd, fintechów i operatorów rynku aktywów cyfrowych sprawa oznacza większą presję regulacyjną i operacyjną. Niewykrycie nietypowych transferów może prowadzić nie tylko do strat finansowych, ale również do odpowiedzialności prawnej i poważnych szkód reputacyjnych.
Rekomendacje
Podstawową zasadą obrony powinna być ograniczona ufność wobec każdego kontaktu inicjowanego telefonicznie, mailowo lub przez komunikator. Rzekome wsparcie techniczne nie powinno nakłaniać do resetu MFA, instalacji narzędzi zdalnego dostępu ani udostępniania ekranu bez niezależnej weryfikacji tożsamości rozmówcy.
Najważniejsze działania ochronne dla użytkowników to:
- stosowanie sprzętowych metod uwierzytelniania tam, gdzie to możliwe,
- separacja portfeli operacyjnych od portfeli przechowujących większe aktywa,
- ochrona kluczy prywatnych i fraz odzyskiwania,
- stosowanie procedury callback verification, czyli oddzwaniania na oficjalnie zweryfikowany numer,
- regularne szkolenia obejmujące phishing, vishing i podszywanie się pod support,
- monitorowanie kont pod kątem nietypowych resetów MFA i podejrzanych sesji.
Dla organizacji i zespołów SOC kluczowe pozostają:
- detekcja transakcji wskazujących na peel chains i rozpraszanie środków,
- scoring ryzyka dla adresów powiązanych z mikserami i portfelami pośrednimi,
- korelacja zmian ustawień bezpieczeństwa z późniejszymi transferami,
- dodatkowa weryfikacja przy dużych wypłatach po świeżej zmianie 2FA,
- szybka eskalacja do zespołów fraudowych, AML i reagowania na incydenty.
Istotne znaczenie ma również retencja logów, zabezpieczanie danych telemetrycznych oraz współpraca z podmiotami prowadzącymi analizę blockchain. W sprawach o dużej skali to właśnie połączenie danych operacyjnych i analiz on-chain zwiększa szanse na odtworzenie pełnego łańcucha przestępczego.
Podsumowanie
Skazanie osoby odpowiedzialnej za pranie środków pochodzących z kradzieży kryptowalut wartej 230 mln dolarów pokazuje, jak istotną rolę w nowoczesnej cyberprzestępczości odgrywa socjotechnika. Atak nie musiał zaczynać się od zaawansowanego exploita, lecz od skutecznego przejęcia zaufania ofiary i skłonienia jej do wykonania pozornie bezpiecznych działań.
Sprawa potwierdza też, że współczesne operacje przestępcze są wyspecjalizowane i podzielone na role. Skuteczna obrona wymaga więc nie tylko edukacji użytkowników, ale również dojrzałego monitoringu transakcyjnego, analizy anomalii oraz ścisłej współpracy między bezpieczeństwem, przeciwdziałaniem oszustwom i zgodnością regulacyjną.