Tyle osób – w tym 113 cudzoziemców – aresztowano w Afryce podczas operacji „Red Card”. Czym się zajmowali? Internetowymi oszustwami. Jeśli więc kiedyś dostałeś maila od nigeryjskiego księcia z prośbą o przelanie kilku tysięcy dolarów – to bardzo możliwe, że jego następca właśnie siedzi. I nie sam.
Spam nie umiera. On ewoluuje
Od listopada 2024 do lutego 2025 Interpol i Afripol przeprowadzili skoordynowaną akcję w 7 krajach: Beninie, Wybrzeżu Kości Słoniowej, Nigerii, Rwandzie, RPA, Togo i Zambii. Zabezpieczono 1 842 urządzenia. Liczba ofiar? Ponad 5 000. Skala oszustw obejmowała wszystko: od fałszywych inwestycji po wiadomości SMS z wirusem. Skutki były realne – przejęcia kont bankowych, kradzieże tożsamości, setki tysięcy dolarów strat.
W latach 90. spam był żałosny. Tekst pisany łamaną angielszczyzną, zero przecinków, dramatyczne historie o wujku, który umarł w wypadku helikoptera i zostawił 22 miliony dolarów. Dziś to już przeszłość. Oszustwo stało się produktem. I jak każdy produkt – przeszedł rebranding.
W 2023 roku ilość oszustw phishingowych wzrosła globalnie o 173% w porównaniu do roku poprzedniego (dane: Interpol Cybercrime Annual Report). W samej Europie Środkowej zgłoszono ponad 145 000 prób wyłudzeń przez SMS tylko w ciągu 6 miesięcy.
Phishing przez e-mail? To już klasyka. Teraz królują aplikacje do komunikacji: WhatsApp, Messenger, Telegram. Do tego podszywanie się pod firmy kurierskie, banki, urzędy. Nie widzisz literówki. Nie widzisz fałszywego linku. Widzisz markę, którą znasz – InPost, Santander, mObywatel.
Zmieniły się też narzędzia. Używa się automatycznych botów do generowania wiadomości, systemów masowej dystrybucji SMS (tzw. SIM box) i fałszywych stron logowania hostowanych w krajach bez ekstradycji. Spam nie wygląda już jak scam. Wygląda jak aktualizacja systemu.
Nigeria: księstwo scamu
Nigeria od lat pojawia się w globalnych raportach jako hotspot dla cyberprzestępczości. Według danych Nigerian Communications Commission (NCC), w samym 2022 roku zgłoszono tam ponad 12 600 przypadków oszustw cyfrowych. W operacji „Red Card” Interpol skoncentrował się na Lagos – największym mieście Nigerii i centrum działań syndykatów.
Zatrzymano 130 osób, w tym 113 cudzoziemców. Pochodzili z Chin, Indii, Pakistanu, Libanu i Filipin. Zostali zwabieni przez fałszywe ogłoszenia o pracę. Na miejscu trafiali do zamkniętych ośrodków, gdzie pracowali po 14 godzin dziennie. Przeprowadzano im szkolenia z manipulacji emocjonalnej i pisania historii pod konkretne rynki: wdowy w Kanadzie, samotne kobiety w Niemczech, inwestorzy z Dubaju.
Zarekwirowano dziesiątki laptopów, routerów i ładunków gotówki, które były używane do płacenia lokalnym pośrednikom i opłacania fałszywych kont bankowych. W jednym z budynków znaleziono 23 osoby przetrzymywane bez dostępu do paszportów, pod stałym nadzorem uzbrojonej ochrony.
Model działania? Kompletny pipeline:
- analiza psychologiczna ofiar
- kampanie e-mailowe i social media
- fałszywe konta bankowe na Filipinach i Mauritiusie
- wypłaty przez kryptowaluty i przelewy przez MoneyGram
Skala zysków? Szacunkowo 4,6 miliona USD miesięcznie z samej jednej lokalizacji w Lagos.
Zambia: zainfekowany SMS to dopiero początek
Zambia była jednym z epicentrów technicznie wyrafinowanego phishingu mobilnego. Zatrzymano 14 członków syndykatu, który przez ponad 8 miesięcy działał z terenu Lusaki. Wysłali ponad 700 000 SMS-ów z linkiem do fałszywej strony aktualizacji aplikacji bankowej. Po kliknięciu instalował się trojan bankowy kompatybilny z systemem Android 11+.
Malware działał w tle, podszywając się pod aplikacje: WhatsApp, MTN, Facebook i Airtel Money. Przechwytywał dane do logowania, tokeny sesji i hasła jednorazowe. Atak obejmował także wykorzystanie zainfekowanego telefonu do rozsyłania SMS-ów dalej, bez wiedzy użytkownika.
Ofiary były identyfikowane przez lokalizację i język systemowy. Celem była grupa wiekowa 25–55, głównie użytkownicy bankowości mobilnej. Według Zambian Cyber Crime Authority, średnia kwota utracona przez pojedynczego użytkownika wynosiła 382 USD, a łączna wartość strat przekroczyła 520 000 USD w ciągu 5 miesięcy.
Podczas nalotu zabezpieczono:
- 416 kart SIM
- 97 telefonów z zainstalowanym trojanem
- 34 routery do rozsyłania wiadomości SMS
- bazy danych zawierające 1,2 miliona numerów telefonów
Całość działała pod przykrywką legalnej firmy „BlueSoft”, która oficjalnie zajmowała się tworzeniem stron internetowych dla lokalnych biznesów.
Rwanda: podszywanie się i loterie-duchy
W Kigali zatrzymano 45 osób powiązanych z grupami zajmującymi się tzw. „social engineering scam” – oszustwami opartymi na manipulacji psychologicznej. Działali głównie przez telefon. Podszywali się pod konsultantów operatorów komórkowych, pracowników banków i organizatorów fikcyjnych loterii.
W 2024 roku Rwandan Investigation Bureau odnotowało ponad 3 100 zgłoszeń związanych z tego typu oszustwami. Zidentyfikowane ofiary to głównie osoby w wieku powyżej 50 lat. Schemat był prosty: ofiara otrzymywała telefon z informacją o rzekomej wygranej w konkursie organizowanym przez lokalnego operatora. Aby odebrać nagrodę – trzeba było „potwierdzić dane” i podać hasło do aplikacji bankowej.
Grupy te korzystały z call center wyposażonych w modułowe centrale GSM, umożliwiających symulowanie lokalnych numerów telefonów. Przestępcy wykonywali średnio ponad 800 połączeń dziennie, z czego około 9% kończyło się skutecznym wyłudzeniem danych.
Zabezpieczono:
- 57 telefonów komórkowych
- 1 190 kart SIM przypisanych do fikcyjnych tożsamości
- komputery z zapisanymi skryptami rozmów w językach kinyarwanda, angielskim i francuskim
Straty finansowe? Szacowane na ponad 305 000 USD w ciągu jednego roku – przy czym tylko 21% ofiar zgłosiło incydent.
RPA: phishing hurtowy
W Johannesburgu i Pretorii Interpol przeprowadził 9 równoczesnych nalotów na obiekty należące do sieci wyspecjalizowanej w phishingu SMS-owym. Skala operacji wskazuje na działanie zautomatyzowanej fabryki oszustw. Przejęto ponad 1 000 kart SIM, 53 komputery, kilkanaście modemów i 6 SIM boxów – urządzeń umożliwiających masowe wysyłanie wiadomości z wielu numerów jednocześnie.
W ciągu miesiąca grupa była w stanie rozesłać do 2,4 miliona wiadomości SMS, zawierających fałszywe linki do banków, firm kurierskich, portali aukcyjnych i stron rządowych. Wykorzystywano technikę tzw. „spoofingu” numerów – czyli podszywania się pod realne numery instytucji.
Według danych South African Banking Risk Information Centre (SABRIC), tylko w II kwartale 2024 roku straty wynikające z tego typu ataków sięgnęły 12,1 miliona randów (ok. 650 000 USD). Najczęściej atakowane banki to FNB, Absa, Standard Bank i Capitec.
Zatrzymane osoby miały przy sobie szczegółowe instrukcje operacyjne, w tym harmonogramy rozsyłek, wzory wiadomości oraz tabele godzin o największej skuteczności – najwięcej kliknięć rejestrowano między 10:00 a 13:00 w środy i piątki.
Jak działają i czemu to nie pierwszy raz?
Schematy te nie są nowe. Przestępcy adaptują stare pomysły do nowych technologii. Operacja „Red Card” była kontynuacją działań zapoczątkowanych wcześniej – m.in. operacji „African Joint Operation against Cybercrime” (AFJOC) oraz szerzej zakrojonej akcji „Serengeti”.
W ramach „Serengeti”, przeprowadzonej między wrześniem a październikiem 2024 roku:
- aresztowano 1 006 osób
- zidentyfikowano 35 000 ofiar
- udokumentowano straty na kwotę 193 milionów USD
- działania objęły 19 krajów afrykańskich
Celem tamtej operacji były m.in. ataki ransomware, cyfrowe wymuszenia, oszustwa inwestycyjne i kradzieże danych.
Metody działania – zarówno wtedy, jak i teraz – obejmują:
- rekrutację międzynarodowych „operatorów” przez fałszywe oferty pracy
- przechwytywanie danych przez fałszywe strony banków i systemy płatności
- wykorzystanie kart SIM i fałszywych tożsamości do unikania lokalizacji i śledzenia
- ekstrakcję środków przez konta słupów i przelewy na platformy krypto
- komunikację przez zaszyfrowane kanały: Telegram, Signal, ProtonMail
Dane ofiar często były pozyskiwane z wcześniej wyciekłych baz – te same, które regularnie pojawiają się na forach darknetowych. Koszt pozyskania jednego pełnego profilu z danymi logowania, adresem i numerem karty? Około 1,70 USD.
Mój ulubiony mail?
„Sir, my name is Prince Abdul, I inherited $15 million and I am dying.” Nie jestem pewien, co mnie wtedy bardziej zmartwiło – jego stan zdrowia czy mój adres w bazie.
Stary szablon, nowa forma. Dziś zamiast księcia masz inwestycję w AI. Albo alert z banku. Albo wiadomość od kuriera. Jedyne, co się nie zmienia, to chciwość – po obu stronach.
Spam się nie starzeje. On ewoluuje. A Interpol właśnie urządził mu rodzinny zjazd. W areszcie.
Źródło: https://thehackernews.com/2025/03/interpol-arrests-306-suspects-seizes.html