#CyberMagazyn: Jak rozbito grupę oszustów inwestycyjnych? „To była przestępcza korporacja”

W końcówce października 2025 r. Centralne Biuro Zwalczania Cyberprzestępczości poinformowało o rozbiciu międzynarodowej grupy przestępczej, która prowadziła nielegalne platformy inwestycyjne. Jak wskazywaliśmy, dzięki przygotowanym stronom i wykorzystaniu metod socjotechnicznych, przestępcom udało się wyłudzić ok. 75 mln zł od ponad 1,5 tys. ofiar.

Platformy upodobnione do francuskich banków

Podczas listopadowego Hackbreakers w Warszawie, prokurator Paweł Jędrusiak, Kierownik Działu do Spraw Cyberprzestępczości i Informatyzacji Prokuratury Regionalnej w Krakowie przekazał, że śledztwo toczy się w przedmiocie oszustwa na szkodę wielu osób, oszustwa komputerowego związanego z używaniem programów do obsługi pulpitu zdalnego bez wiedzy pokrzywdzonych oraz prania brudnych pieniędzy.

Istotną rolę w ujawnieniu modus operandi sprawców, w szczególności mechanizmu prania brudnych pieniędzy, odegrał pion kryminalny i pion wywiadu kryminalnego krakowskiego Zarządu CBZC.

Śledztwo zarejestrowane początkowo w Prokuraturze Okręgowej w Krakowie dotyczyło pierwotnie wyłącznie platformy o nazwie „Global Maxis”. Z czasem połączono śledztwa dotyczące pozostałych platform korzystających ze strony reklamowej „Metastock”, tj. „Pariba Group” („Partner Groupe”) oraz „Agricole Trade”, o nazwach zbliżonych do działających również na rynku polskim francuskich banków, „Riva Financial Systems”, która wykorzystywała z kolei nazwę legalnie działającej firmy z wyspy Man.

Błąd przestępców pomógł śledczym

Prokurator przyznał w rozmowie z naszą redakcją, że zidentyfikowana grupa była przestępczą korporacją, złożoną z wielu działów mających odpowiedniki w legalnych przedsiębiorstwach. Jak zdradził, zatrzymanie jednego z kluczowych członków grupy umożliwiło ustalenie lokalizacji call center na Ukrainie (m.in. we Lwowie i Kijowie), które nawiązywały kontakt z ofiarami w celu nakłonienia ich do inwestycji.

Uzyskane w toku śledztwa dane logowań pozwoliły na zabezpieczenie serwera, na którym cyberprzestępcy oparli całą swoją infrastrukturę. Dzięki temu ustalono również strukturę całej grupy oraz dane osób zajmujących się zarejestrowaniem domen internetowych opisanych wyżej platform.

Od działu sprzedaży do działu retencji

Początkowo działalność call center celowała w mieszkańców Rosji i krajów byłego Związku Radzieckiego. Zmianę kierunku na Polskę podjęto w związku z tym, że potencjalne ofiary tej narodowości „miały pieniądze”, co z kolei wiązało się z funkcjonowaniem czterech, a nawet pięciu działów w call center we Lwowie dedykowanych naszemu krajowi.

Kontakt z ofiarami podzielono na kilka etapów: najpierw relację nawiązywał wspomniany dział sprzedaży, odpowiadający za pierwszy depozyt środków. Potem sprawa trafiała do działu retencji, który miał „utrzymać” klienta i „pomagać” mu w dokonywaniu dalszych inwestycji za pośrednictwem Anydesk (nazywany „programem szkoleniowym”).

Jeżeli ofiary nie miały środków a chciały zainwestować, oszuści pomagali w złożeniu wniosków o kredyt. Poszkodowanymi są zarówno osoby nieznające się na finansach, jak również poważni gracze na giełdach czy inwestorzy.

Nieoficjalnie dowiedzieliśmy się, że prokuratorzy zakładają możliwość odzyskania istotnej części spośród wyłudzonych ok. 75mln zł.

Istotnym elementem, na który zwróciło uwagę CBZC w swoim październikowym komunikacie, było zatrzymanie osób związanych ze światem polityki i wymiaru sprawiedliwości. Podczas wystąpienia prokurator odniósł się do tej kwestii, wskazując na potencjalne istnienie tzw. „kryszy” po stronie ukraińskich polityków i organów ścigania. Nie podał jednak szczegółów, zasłaniając się dobrem prowadzonego śledztwa.

Proceder na gigantyczną skalę

W rozmowie z redakcją CyberDefence24 prokurator Jędrusiak przekazał, że sprawa rozpoczęła się w 2020 roku, a w jej toku połączono trzy inne prowadzone na szczeblu Prokuratury Okręgowej. Platform inwestycyjnych miało być w sumie 6 – ich wysoka liczba wynikała z tego, że w razie „spalenia” marki jednej z nich, była ona zastępowana w działaniach cyberprzestępców przez inną platformę.

„Proceder był prowadzony na gigantyczną skalę, a śledztwo ma charakter międzynarodowy. Współpracujemy z szeregiem organów na terenie Unii Europejskiej, Stanów Zjednoczonych, Ukrainy, Turcji oraz innych krajów europejskich” – powiedział prokurator naszej redakcji.