Operacja Atlantic: ponad 20 tys. ofiar oszustw kryptowalutowych zidentyfikowanych w międzynarodowej akcji

Wprowadzenie do problemu / definicja

Międzynarodowe oszustwa kryptowalutowe należą dziś do najszybciej rozwijających się form cyberprzestępczości finansowej. Szczególnie groźne są kampanie łączące socjotechnikę, fałszywe platformy inwestycyjne oraz mechanizmy przejmowania kontroli nad portfelami cyfrowymi bez konieczności kradzieży danych logowania.

Operacja Atlantic pokazuje, iż skala tego zjawiska ma już wyraźnie transgraniczny charakter. W odpowiedzi na rosnącą liczbę przypadków organy ścigania z kilku państw połączyły działania analityczne, operacyjne i prewencyjne, aby identyfikować ofiary oraz ograniczać dalsze straty.

W skrócie

W ramach międzynarodowej operacji Operation Atlantic zidentyfikowano ponad 20 tys. ofiar oszustw kryptowalutowych w Kanadzie, Wielkiej Brytanii i Stanach Zjednoczonych. Akcja była koordynowana przez brytyjską National Crime Agency przy współpracy m.in. U.S. Secret Service, Ontario Provincial Police, Ontario Securities Commission oraz partnerów prywatnych.

Śledczy zamrozili ponad 12 mln dolarów podejrzanych środków i powiązali ponad 45 mln dolarów skradzionych aktywów cyfrowych z globalnymi schematami wyłudzeń. To jeden z najgłośniejszych przykładów skoordynowanej odpowiedzi na oszustwa inwestycyjne oparte na kryptowalutach.

Kontekst / historia

Oszustwa inwestycyjne z wykorzystaniem kryptowalut ewoluowały w ostatnich latach od prostych fałszywych ofert do złożonych kampanii opartych na długotrwałej manipulacji. Przestępcy budują relację z ofiarą przez komunikatory, media społecznościowe i spreparowane serwisy inwestycyjne, a następnie nakłaniają ją do przekazania środków lub podpisania pozornie bezpiecznej transakcji.

Operation Atlantic została przeprowadzona w marcu 2026 roku jako tygodniowa, skoordynowana akcja wymierzona w międzynarodowe sieci oszustw. Jej znaczenie wynika nie tylko z liczby zidentyfikowanych ofiar, ale również z przyjętego modelu działania, opartego na połączeniu analizy blockchain, wymiany informacji oraz bezpośredniego ostrzegania osób narażonych na utratę aktywów.

Tłem dla tych działań są wcześniejsze inicjatywy służb amerykańskich, w tym Operation Level Up, ukierunkowane na kontakt z potencjalnymi ofiarami przed całkowitą utratą środków. Zjawisko pozostaje silnie związane z rosnącą popularnością schematów typu pig butchering, w których sprawcy przez długi czas wzmacniają zaufanie i stopniowo zwiększają skalę wyłudzeń.

Analiza techniczna

Kluczowym elementem opisywanej kampanii były ataki typu approval phishing. W takim modelu ofiara nie zawsze wysyła środki bezpośrednio na adres przestępcy. Zamiast tego zostaje nakłoniona do podpisania transakcji lub nadania uprawnień inteligentnemu kontraktowi, co umożliwia późniejsze opróżnienie portfela.

Mechanizm ten jest szczególnie niebezpieczny w środowiskach opartych na tokenach i smart kontraktach. Użytkownik, przekonany, iż łączy portfel z legalną usługą inwestycyjną, stakingową lub brokerską, autoryzuje uprawnienia pozwalające na transfer aktywów. W efekcie atakujący może przejąć środki bez znajomości frazy seed czy hasła, ponieważ operacja została zatwierdzona przez samą ofiarę.

W praktyce kampanie tego typu wykorzystują kilka warstw infrastruktury i operacji:

• fałszywe strony inwestycyjne oraz panele przypominające legalne platformy brokerskie,
• konta w komunikatorach i mediach społecznościowych do prowadzenia relacji z ofiarą,
• portfele pośredniczące służące do rozpraszania przepływu środków,
• zaawansowaną socjotechnikę i analizę zachowań użytkowników,
• mechanizmy prania aktywów przez szybkie transfery między łańcuchami, giełdami i usługami mieszającymi.

Z perspektywy obronnej wykrywanie takich operacji nie opiera się wyłącznie na klasycznych wskaźnikach kompromitacji. Coraz większe znaczenie mają analiza on-chain, korelacja adresów, identyfikacja podejrzanych zatwierdzeń kontraktów oraz wykrywanie anomalii w zachowaniu użytkowników. Dlatego udział firm analitycznych i partnerów prywatnych staje się istotnym elementem skutecznych działań operacyjnych.

Konsekwencje / ryzyko

Skala sprawy potwierdza, iż oszustwa kryptowalutowe nie są już pojedynczymi incydentami, ale zorganizowanym modelem przestępczym. Ryzyko obejmuje nie tylko użytkowników indywidualnych, ale również giełdy, operatorów portfeli, podmioty finansowe oraz zespoły AML, fraud prevention i compliance.

Najważniejsze konsekwencje obejmują:

• bezpośrednie straty finansowe ponoszone przez ofiary,
• trudności w odzyskiwaniu środków po ich szybkim rozproszeniu,
• wysoką skuteczność kampanii dzięki połączeniu socjotechniki z legalnie wyglądającymi interakcjami blockchainowymi,
• rosnącą presję regulacyjną na firmy obsługujące aktywa cyfrowe,
• większe obciążenie dla zespołów śledczych i operacyjnych odpowiedzialnych za reagowanie na nadużycia.

Dodatkowym problemem pozostaje niski poziom świadomości użytkowników. W wielu przypadkach ofiary przez długi czas nie zdają sobie sprawy, iż uczestniczą w oszustwie, co wydłuża czas działania przestępców i zwiększa skalę strat.

Rekomendacje

Organizacje działające w obszarze kryptowalut i cyberbezpieczeństwa powinny wdrażać wielowarstwowe podejście do redukcji ryzyka. Obejmuje ono zarówno ochronę techniczną, jak i działania edukacyjne oraz operacyjne.

Po stronie użytkowników końcowych warto stosować następujące praktyki:

• weryfikować każdą platformę inwestycyjną przed połączeniem portfela,
• czytać zakres uprawnień przed podpisaniem transakcji,
• unikać inwestycji inicjowanych przez nieznane osoby kontaktujące się przez komunikatory,
• regularnie przeglądać aktywne zgody i zatwierdzenia w portfelach,
• oddzielać środki operacyjne od długoterminowych i korzystać z portfeli sprzętowych.

Po stronie dostawców usług oraz zespołów bezpieczeństwa najważniejsze są:

• monitoring transakcji approval i alertowanie o nietypowych uprawnieniach,
• analiza reputacji kontraktów i adresów przed zatwierdzeniem operacji,
• integracja danych AML, fraud intelligence i analizy blockchain,
• ostrzeganie klientów w czasie zbliżonym do rzeczywistego,
• gotowe playbooki reagowania obejmujące szybkie zamrażanie środków i współpracę międzynarodową.

Najskuteczniejsze podejście łączy telemetrykę techniczną z jasno zdefiniowanymi procesami operacyjnymi. Sama detekcja nie wystarcza, jeżeli organizacja nie posiada procedur kontaktu z potencjalną ofiarą, eskalacji incydentu i współpracy z partnerami zewnętrznymi.

Podsumowanie

Operation Atlantic potwierdza, iż skuteczna walka z oszustwami kryptowalutowymi wymaga ścisłej współpracy międzynarodowej, zaawansowanej analizy blockchain i szybkiego reagowania operacyjnego. Identyfikacja ponad 20 tys. ofiar oraz zamrożenie milionów dolarów pokazują, iż skoordynowane działania mogą realnie ograniczać skalę strat.

Jednocześnie sprawa uwydatnia, iż approval phishing i socjotechnika inwestycyjna pozostają jednymi z najpoważniejszych zagrożeń dla użytkowników aktywów cyfrowych. Dla branży cyberbezpieczeństwa to wyraźny sygnał, iż ochrona portfeli, edukacja użytkowników i szybka wymiana informacji muszą stać się priorytetem.

Źródła

1. https://www.bleepingcomputer.com/news/security/police-identifies-20-000-victims-in-international-crypto-fraud-crackdown/
2. https://www.nationalcrimeagency.gov.uk/
3. https://www.justice.gov/
4. https://www.fbi.gov/
5. https://www.ic3.gov/