Gruzja: były szef służb zatrzymany za domniemaną ochronę „scam call centers” – co to mówi o nowoczesnych oszustwach inwestycyjnych

Wprowadzenie do problemu / definicja „luki”

Zatrzymanie byłego szefa gruzińskiej Służby Bezpieczeństwa Państwa (SSS) w sprawie domniemanej ochrony „scam call centers” nie dotyczy jednej podatności w oprogramowaniu – to przykład systemowej „luki” w ekosystemie antyfraudowym, gdzie przestępcza infrastruktura telemarketingowa może działać mimo formalnych kampanii zwalczania oszustw. Prokuratura ma twierdzić, iż w zamian za łapówki zapewniano parasol ochronny dla call center, które miały okradać ofiary na wielu rynkach.

W praktyce „scam call centers” (często nazywane też boiler rooms) łączą socjotechnikę, fałszywe platformy inwestycyjne i sprawne pranie pieniędzy. Skala i „produkcyjny” charakter tych operacji powodują, iż to dziś jedna z najbardziej dochodowych gałęzi cyberprzestępczości – choćby jeżeli część elementów (telefony, reklamy, bankowość) wygląda „legalnie” na pierwszy rzut oka.

W skrócie

• Gruzińskie organy ścigania zatrzymały Grigola Liluashviliego, byłego szefa SSS (kierował służbą od 2020 do kwietnia 2025), w sprawie wielowątkowych zarzutów korupcyjnych – w tym domniemanej ochrony oszukańczych call center.
• Według relacji opartych o komunikaty prokuratury, wątek call center ma obejmować lata 2021–2023 i łapówki rzędu ok. 1,365 mln USD (przekazywane przez krewnego).
• Sprawa mocno łączy się z dziennikarskim śledztwem „Scam Empire”, które opisywało m.in. call center w Tbilisi (ok. 85 osób, ok. 35,3 mln USD wyłudzeń od ponad 6,100 ofiar od maja 2022).
• Mechanika oszustwa: fałszywe reklamy (czasem deepfake/„endorsementy” celebrytów), telefoniczne „prowadzenie” ofiary, fikcyjna platforma z „zyskami”, presja na dopłaty i finalnie blokada wypłat + pranie pieniędzy.

Kontekst / historia / powiązania

Wątek „scam call centers” w Gruzji nie pojawił się znikąd. Dziennikarskie materiały z 2025 r. opisywały operacje, które działały niemal „pod nosem” instytucji państwowych (w tym lokalizacje w Tbilisi w pobliżu siedziby służby).

OCCRP informowało też, iż po publikacjach:

• uruchamiano postępowania,
• zamrażano aktywa,
• a śledztwo obejmowało większy, międzynarodowy krajobraz wyłudzeń inwestycyjnych, bazujący na dużych wyciekach danych (rzędu terabajtów) pozyskanych przez partnerów medialnych.

Na tym tle obecne zatrzymanie byłego szefa służby ma znaczenie nie tylko „polityczne”. Dla świata cyberbezpieczeństwa to sygnał, iż łańcuch oszustwa (reklamy → telekomunikacja → bankowość/finanse → pranie pieniędzy) może zostać „uszczelniony” albo… rozszczelniony decyzjami i nadużyciami ludzi, nie technologią.

Analiza techniczna / szczegóły „modelu” oszustwa

Poniżej uproszczony, ale bardzo typowy „kill chain” oszustw call center, zgodny z ustaleniami śledztw dziennikarskich:

1) Pozyskanie leada (wejście do lejka)

• Reklamy w social media kierujące do „platform inwestycyjnych”, często podparte fałszywymi rekomendacjami (w tym deepfake lub kradzione wizerunki).
• Lead sprzedawany przez afiliantów/marketerów (płatność „za skutecznego klienta” jest w tym modelu standardem).

2) Kontakt telefoniczny i segmentacja ofiary

• „Juniorzy” dzwonią, badają podatność (dochód, presja czasu, poziom wiedzy), po czym przekazują ofiarę do „closerów/retention”.

3) Warstwa zaufania i manipulacji

• Budowanie relacji, częste telefony, skryptowane rozmowy, presja społeczna i emocjonalna („to twoja szansa”, „działa, bo widzisz wyniki”).

4) „Dowód” w postaci platformy

• Ofiara widzi „konto” z rosnącymi zyskami (najczęściej to UI, które symuluje rynki, a nie realny handel).

5) Eskalacja płatności i kontrola urządzenia

• Dopłaty, „upgrade” konta, a przy trudnościach: prośby o zdalny dostęp (np. narzędzia typu AnyDesk pojawiają się w relacjach ofiar) – co daje przestępcom przewagę do transferów i obejścia zabezpieczeń.

6) Faza „wypłaty”, czyli pułapka opłat

• Gdy ofiara chce wypłacić środki, pojawiają się „opłaty”: podatki, AML, prowizje, „uwolnienie środków” – płacone wielokrotnie, aż do wyczerpania możliwości.

7) Pranie pieniędzy

• Przelewy do spółek–wydmuszek, pośredników, „dostawców” oraz miks kanałów płatności. Z perspektywy blue team/fraud team to trudne, bo transakcje często wyglądają jak standardowe płatności handlowe.

Praktyczne konsekwencje / ryzyko

• Dla użytkowników: realne straty finansowe, utrata kontroli nad kontami (zwłaszcza przy zdalnym dostępie), wtórna wiktymizacja (kolejne „firmy odzysku”).
• Dla banków/fintechów: rosnące koszty chargebacków, reklamacji i obowiązków AML/CTF, a także ryzyko reputacyjne, gdy schemat „przechodzi” przez ich systemy.
• Dla państwa i rynku: gdy pojawia się podejrzenie „ochrony” infrastruktury przestępczej, spada zaufanie do instytucji i skuteczności egzekwowania prawa.

Rekomendacje operacyjne / co zrobić teraz

Dla osób i firm (higiena antyfraudowa)

• Weryfikuj podmiot w rejestrach regulatorów (np. komunikaty FCA i innych nadzorów – oszuści często podszywają się pod „licencjonowane” marki).
• Nigdy nie instaluj narzędzi zdalnego dostępu na prośbę „konsultanta inwestycyjnego”. To moment krytyczny, który często przełącza incydent z „oszustwa” na „pełne przejęcie kont”.
• Traktuj „opłaty za wypłatę” jako silny wskaźnik oszustwa.
• Jeśli już doszło do przelewu: natychmiast kontakt z bankiem, zgłoszenie incydentu i zabezpieczenie dowodów (numery telefonów, domeny, nagrania, korespondencja).

Dla SOC/Fraud team w bankach i fintechach

• Koreluj sygnały: nowy beneficjent + nietypowy opis płatności + presja klienta + szybkie podniesienie limitów + świeżo założone konta docelowe.
• Wzmocnij wykrywanie „scam journeys”: seria mniejszych wpłat → rosnące kwoty → nowe urządzenie/IP → kontakt klienta z infolinią w stylu „to inwestycja, proszę nie blokować”.
• Usprawnij proces „scam intervention” (krótkie, stanowcze pytania + edukacja w czasie rzeczywistym, zanim pieniądze wyjdą poza możliwość odzysku).

Dla telekomów i dostawców usług głosowych

• Analityka nadużyć (wzorce masowych połączeń, rotacja CLI, nietypowe trasy VoIP).
• Szybkie kanały współpracy z bankami i platformami reklamowymi (takedown + blokady numerów/sieci).

Różnice / porównania z innymi przypadkami

• Call center / boiler room vs „pig butchering”: oba modele bazują na długim „dogrzewaniu” ofiary i manipulacji zyskami, ale call center zwykle jest bardziej „fabryczne” (skrypty, role: lead → retention) i opiera się na głosie, podczas gdy pig butchering często startuje w komunikatorach i łączy romans/relację z krypto.
• „Cybercrime bez malware”: tu nie musi pojawić się exploit ani ransomware, a mimo to skutki finansowe są ogromne – bo rdzeniem jest socjotechnika + infrastruktura płatnicza.

Podsumowanie / najważniejsze wnioski

Zatrzymanie byłego szefa służb w sprawie domniemanej ochrony „scam call centers” pokazuje, iż w 2025 r. walka z cyberprzestępczością to nie tylko EDR, IOC i CVE, ale też odporność instytucjonalna oraz szczelność współpracy między reklamą, telekomem i finansami. Równolegle śledztwa typu „Scam Empire” odsłaniają techniczne i operacyjne detale: od generowania leadów, przez skrypty rozmów i fałszywe platformy, po pranie pieniędzy.

Jeśli miałbym wskazać jeden najważniejszy praktyczny wniosek: zdalny dostęp + „opłaty za wypłatę” + presja na szybkie przelewy to triada, która w większości takich spraw powinna uruchamiać twardą blokadę i interwencję.

Źródła / bibliografia (wybrane)

1. The Record (Recorded Future News) – „Georgia arrests ex-spy chief over alleged protection of scam call centers”. The Record from Recorded Future
2. OCCRP – „Georgia Detains Ex-Security Chief Over Alleged Bribes Tied to Global Scam Call Centers”. OCCRP
3. Civil Georgia – „Ex-State Security Chief Grigol Liluashvili Arrested on Bribery Charges”. Civil Georgia
4. OCCRP – „Georgia Launches Criminal Probe Into Scam Call Center Exposed by Journalists” (Scam Empire / dane z wycieku). OCCRP
5. The Guardian – „Deepfakes, cash and crypto: how call centre scammers duped 6,000 people”. The Guardian