Globalna akcja policji rozbiła abonamentowy serwis cyberprzestępczy napędzany AI, odpowiedzialny za straty rzędu 40 mln dolarów.
Microsoft poinformował w środę, że sparaliżował działalność RedVDS, globalnego serwisu subskrypcyjnego wykorzystywanego przez cyberprzestępców, odpowiedzialnego za straty z oszustw liczone w milionach dolarów na całym świecie.
REKLAMA
REKLAMA
Za 24 dol. (21 euro) miesięcznie RedVDS umożliwiał phishing i oszustwa na globalną skalę. Od września 2025 r. dotknęły one setek tysięcy kont Microsoftu.
Skoordynowana operacja obejmuje postępowania cywilne w USA i Wielkiej Brytanii oraz zajęcie serwerów przez niemieckie i europejskie organy ścigania.
Skala w Europie i działania transgraniczne
Obok wniosku złożonego w Sądzie Okręgowym dla Południowego Dystryktu Florydy, jednostka Microsoftu ds. przestępczości cyfrowej po raz pierwszy podjęła kroki prawne także w Wielkiej Brytanii.
Od września 2025 r. do stycznia 2026 r. ataki z użyciem RedVDS poza Ameryką Północną dotknęły ofiary w całej Europie. Najwięcej spraw odnotowano w Wielkiej Brytanii, Francji, Niemczech, Włoszech i Hiszpanii.
Celem były głównie szkoły podstawowe i średnie, branża dóbr konsumpcyjnych oraz sektor usług profesjonalnych.
Operacja prowadzona wspólnie z międzynarodowymi organami ścigania, w tym z niemieckimi służbami i Europolem, doprowadziła do zajęcia kluczowej infrastruktury i wyłączenia platformy RedVDS.
Od marca 2025 r. aktywność z użyciem RedVDS spowodowała w samych Stanach Zjednoczonych około 40 mln dol. (34 mln euro) zgłoszonych strat z tytułu oszustw. Rzeczywista skala może być większa, bo część incydentów nie jest zgłaszana.
Kto ucierpiał?
Do poszkodowanych, którzy dołączyli do Microsoftu jako współpowodowie, należy H2-Pharma, firma farmaceutyczna z Alabamy, która utraciła środki przeznaczone na ratujące życie terapie onkologiczne, leki psychiatryczne oraz preparaty przeciw alergiom dla dzieci.
„Padnięcie ofiarą oszustwa nie powinno nigdy wiązać się ze stygmatyzacją” – podał Microsoft w komunikacie prasowym. „Te ataki przeprowadzają zorganizowane, profesjonalne grupy przestępcze, które przechwytują i manipulują legalną korespondencją między zaufanymi stronami” – dodał.
Jak to działało?
RedVDS działał jako element rosnącego ekosystemu cyberprzestępczości w modelu usługowym, udostępniając tanie wirtualne komputery z nielegalnym oprogramowaniem, w tym systemem Windows. Dzięki temu sprawcy działali anonimowo ponad granicami. Wysyłali e‑maile phishingowe, utrzymywali infrastrukturę do oszustw i realizowali schematy wyłudzeń.
Usługę często łączono z narzędziami generatywnej AI, które pomagały identyfikować najbardziej wartościowe cele i tworzyć wiarygodne wątki e‑mail imitujące prawdziwą korespondencję.
W wielu przypadkach napastnicy wykorzystywali narzędzia AI do podmiany twarzy, manipulacji wideo i klonowania głosu, by podszywać się pod konkretne osoby i oszukiwać ofiary.
Oszustwa na rynku nieruchomości
Jednym z najczęstszych ataków z użyciem RedVDS było przekierowanie płatności, znane też jako przejęcie firmowej poczty (business email compromise). Sprawcy uzyskiwali nieuprawniony dostęp do skrzynek e‑mail, monitorowali korespondencję i czekali na dogodny moment, aby podszywając się pod zaufane strony przekierować płatność.
Usługa była szeroko wykorzystywana w oszustwach przy transakcjach nieruchomościami polegających na przekierowywaniu płatności. To jedna z najszybciej rosnących form cyberoszustw. Przestępcy przejmowali konta agentów nieruchomości, powierników escrow oraz firm zajmujących się tytułami własności, aby wysyłać fałszywe instrukcje płatności i skierować środki z rozliczeń końcowych oraz depozytów escrow w inne miejsce.
Skonkoordynowane działania europejskich służb
Działania prawne Microsoftu wspiera ścisła współpraca z partnerami w organach ścigania na całym świecie, także w Europie.
Prokuratura we Frankfurcie nad Menem – Centralne Biuro ds. Zwalczania Przestępczości Internetowej, oraz Krajowy Urząd Kryminalny Brandenburgii przejmują kluczowy serwer wykorzystywany do działania RedVDS.
W ten sposób niemieckie służby przejmują główny serwer, na którym działa strona RedVDS, zamykając miejsce w sieci, gdzie klienci mogli się rejestrować, płacić i korzystać z narzędzi RedVDS.
Europejskie Centrum ds. Cyberprzestępczości Europolu współpracuje z jednostką ds. przestępczości cyfrowej, by wyłączyć liczne serwery w Europie, z których przestępcy aktywnie korzystali poprzez RedVDS. To zakłóca szerszą sieć wspierającą oszustwa, także poza główną stroną.
Jak chronić się przed oszustwami
Microsoft zaleca kilka kroków, by zmniejszyć ryzyko: nie ulegać presji pilnych próśb o płatność; weryfikować żądania innym kanałem kontaktu, korzystając z numerów już znanych; włączyć uwierzytelnianie wieloskładnikowe; zwracać uwagę na subtelne zmiany w adresach e‑mail; aktualizować oprogramowanie; zgłaszać podejrzane działania organom ścigania.