Tysiące transakcji i ogromne straty. Kradzież i manipulacje giełdowe w jednym?

Nagłośnione w ostatnich dniach przypadki włamań na konta brokerskie w Domu Maklerskim XTB mają jeden i ten sam schemat. Sprzedaż i kupno mało popularnych akcji bez wiedzy klienta, po przejęciu konta, w przeszłości był wykorzystywany do manipulacji na giełdzie na miliony dolarów, teraz posłużył do przejęcia setek tysięcy złotych od nieświadomych klientów.

fot. rafapress / / Shutterstock

Na początku lipca echem odbił się opisany w social mediach przypadek pana Łukasza Motyla, który przez włamanie na konto brokerskie w DM XTB miał stracić około 150 tys. zł. W kolejnych dniach znajdowało się więcej okradzionych w podobny sposób. Jak wynikało z komunikacji pana Łukasza po nagłośnieniu swojej sprawy, miało się do niego zgłosić 9 osób, które także miały doświadczyć włamania na konto. Wcześniej była też mowa o ponad 20 osobach z Czech. W jaki sposób złodziej okradł ich rachunki brokerskie?

Jak wynika z kilku wypowiedzi Łukasza Motyla, m.in. udzielonej redaktorowi Marcinowi Podlackiemu na jego autorskim kanale YouTube, a także mojej rozmowy z innym poszkodowanym, który zgłosił się do naszej redakcji, złodzieje uzyskali pełny dostęp do ich kont XTB. Nie jest jasne, w jaki sposób do tego doszło, natomiast faktem jest swobodny dostęp, który z opowieści naszego rozmówcy ustał dopiero po zmianie hasła, o czym innym razem.

Przejęcie konta i ogromne straty inwestycyjne

Wyciek danych, atak phishingowy, użycie złośliwego oprogramowanie (malware), działania socjotechniczne polegające na wyłudzenia danych czy credential stuffing, czyli wykorzystywanie wycieków haseł mogą tu wchodzić w grę, co badać będą zapewne organy ścigania. Zwłaszcza ostatnia metoda, choć nie potwierdzona w tym wypadku, wydaje się prawdopodobna, patrząc na deklarowaną przez użytkowników do tej pory skalę (kilka do kilkudziesięciu przypadków).

W credential stuffing chodzi o to, że złodziej przejmujący konto wykorzystuje dane (e-mail/hasło) wyciekłe z innych serwisów poprzez sprawdzenie, czy te same dane umożliwiają logowanie do innych kont. Metoda może być skuteczna, jeśli użytkownik powiela hasła w wielu usługach, w tym w XTB, gdzie przecież liczba rachunków maklerskich przekroczyła już 545 tys., z czego prawie 283 tys. przybyło tylko w ostatnich 12 miesiącach (stan na koniec czerwca 2025).

Brak precyzyjnych informacji na temat sposobu przejęcia loginu i hasła jest typowy dla tego typu cyberataków, ponieważ często używane są złożone metody, które pozostawiają niewiele śladów dla poszkodowanego. Jest to jak włamanie do sejfu, gdzie wiemy, że skradziono cenne przedmioty i że włamywacz musiał znać kombinację, ale nie wiemy, jak poznał kombinację.

Sprawę zalogowania na wspomniane konta ułatwił brak włączonej weryfikacji dwuskładnikowej (2FA), czyli takiej, która poza hasłem wymaga jeszcze jednego sposobu uwiarygodnienia użytkownika. To dodatkowe zabezpieczenie XTB wprowadziło w sierpniu 2024 r., ale od lipca 2025 r. dwuetapowa weryfikacja jest obowiązkowa dla wszystkich klientów.

Kolejnym działaniem złodzieja, po przejęciu kontroli na kontem brokerskim była ingerencja w jego ustawienia, dotyczące powiadomień. Intruz wyłączył wszystkie powiadomienia na wszystkie urządzenia, dzięki czemu mógł swobodnie działać, dokonując destrukcyjnych dla wyceny rachunku transakcji, bez informowania o tym właściciela konta. Zmiany w ustawieniach powiadomień nie są komunikowane na maila użytkownika i nie wymagają żadnego potwierdzenia lub autoryzacji, co sprawiło, że o transakcjach zaatakowani klienci dowiadywali się dopiero po zalogowaniu na konto, gdy było ono już spustoszone przez handel, o którym niżej.

Na rachunku XTB, którego użytkownik nie korzysta z usługi eWallet, wypłata zgromadzonych środków jest możliwa tylko na konto powiązane, którego właścicielem jest użytkownik konta. XTB to weryfikuje, wymagając przed dodaniem takiego konta, wyciągu bankowego lub potwierdzenia przelewu z danymi swojego klienta. Zatem wyprowadzenie środków wymaga nieco więcej kreatywności niż tylko prosta sprzedaż i przelanie środków na inne konto.

Sposób na wyprowadzenie środków czy skoordynowana akcja?

Sposobem złodzieja lub złodziei było wykorzystanie pozyskanego kapitału do kupna akcji mało płynnych instrumentów, głównie akcji niewielkich spółek z giełd w USA. W przypadku pana Łukasza Motyla, zgodnie z przedstawionym w programie Marcina Podlackiego wyciągiem, były to m.in. takie firmy jak wyceniana obecnie na mniej niż 2 mln dol. Unity Biotechnology, czy wart około 10 mln dol. Co-Diagnostics, obie z branży biotechnologicznej.

10 mln dol. wart jest też Foresight Autonomous, współpracujący z branżą automotive. Około 3 mln dol. to wycena AquaBounty Technologies, pracująca nad genetyczną modyfikacją ryb hodowlanych. Z kolei 3,5 mln dol. to kapitalizacja Ayro, dostarczającego małe elektryczne pojazdy do transportu na tzw. ostatniej mili.

Przykłady można mnożyć, bowiem jak relacjonowali poszkodowani, proceder dotyczył "tysięcy operacji". Dzienny wyciąg z rachunku pana Łukasza miał 100 stron. Chodziło głównie o mikro spółki, których handel akcjami był bardzo trudny, przez dziurawy, a wręcz czasami pusty arkusz zleceń. Nowe zlecenia kupna takich akcji po wysokiej cenie, wystawione przez złodzieja, który przejmował konto klienta XTB, znajdowało sprzedającego, który księgował na niej spory zysk. Domniemywać można, że była to osoba, która przejęła konto lub była z nią w porozumieniu.

W dwóch przypadkach, które w redakcji poznaliśmy (pana Łukasza i czytelnika, który opowiedział nam swoją historię) całość odbywała się w ciągu jednego dnia. W przypadku wspomnianych spółek, dane giełdowe pokazują, że w dacie transakcji na ich akcjach były większe wahania kursu oraz większe wolumeny niż zwykle. 

Na przykład w przypadku spółki Ayro wartej około 3,5 mln dol., gdy z konta pana Łukasza handlowano jej akcjami 13 maja, obrót był blisko 8 razy większy niż w poprzednie dni miesiąca. Kurs tego dnia rósł nawet o 27,3 proc. by ostatecznie spaść o 12,5 proc. na koniec dnia. Z kolei kurs Co-Diagnostics zyskiwał ponad 46 proc., przy obrotach o 48 razy większych niż średnia do tego dnia w maju. Finalnie na koniec dnia kurs zyskał tylko 6 proc., kiedy popyt wykreowany przez złodzieja ustał.

To nie tylko straty klientów, ale także manipulacje giełdowe

Konta klientów XTB poniosły spore straty i prawdopodobnie pozwoliły odpowiedzialnemu za cały proceder zarobić na zyskownym handlu, de facto z sobą samym lub z osobami będącymi w porozumieniu, co jest oczywistą manipulacją na giełdzie. Straty klientów mogą być więc skutkiem przestępstw giełdowych, a przejęte konta tylko narzędziem do ich popełnienia. To kolejny aspekt całej sytuacji, która miała już miejsce w przeszłości.

W głośnej sprawie z lat 2017-2018 grupa przestępcza składająca się z obywateli USA, Kanady i Wielkiej Brytanii włamała się na przynajmniej 31 detalicznych rachunków brokerskich amerykańskich inwestorów. Konta zostały użyte do kupna akcji tylko dwóch spółek o małej kapitalizacji (Lotus Bio-Technology Development Corp. oraz Good Gaming, Inc.), co sztucznie zawyżało ich kursy.

Przestępcy, posiadający dużą liczbę akcji tych spółek, szybko je sprzedali z ogromnym zyskiem, generując około 1,3 miliona dolarów nielegalnych dochodów. Wykorzystywane były konta w Wielkiej Brytanii, Belize, na Bahamach i w Szwajcarii oraz tzw. słupy, żeby utrudnić wykrycie procederu. Amerykańska Komisja Papierów Wartościowych i Giełd (SEC) oskarżyła w 2022 r. tej sprawie 13 osób i 5 podmiotów.  

Co ciekawe jedną z oskarżonych osób był Gelnn Laken prezes i większościowy udziałowiec CMG Holdings Group, która z kolei kontrolowała wspomniany Good Gaming. Akt oskarżenia SEC dotyczył też Zoltana Nagy z Kanady, będący członkiem zarządu Lotus Bio-Technology. Po oskarżeniu zrezygnował ze swojego stanowiska i zwrócił firmie 150 milionów akcji, których był posiadaczem. Wkrótce potem spółka poinformowała o zmianie nazwy na Boomerang Corporation, ale w komunikacie nie wspomniała nic o postępowaniu SEC informując, że nowa nazwa lepiej odzwierciedla model biznesowy.

Na lipiec 2025 r. nie ma publicznie jawnych informacji o prawomocnym zakończeniu sprawy lub wydanych wyrokach wobec oskarżonych w tej konkretnej sprawie. Także wobec oskarżonego o kierowanie całym procederem Daviesa Wonga z Kanady. Postępowanie toczyło się w trybie cywilnego pozwu SEC, więc celem było m.in. zasądzenie kar finansowych, wykluczenia z rynku i zobowiązanie do zwrotu bezprawnie uzyskanych środków.

Czy opisany model działania znalazł naśladowców i został wykorzystany do ataku na klientów XTB? Z pewnością jest bliźniaczo podobny, ale w polskim (i czeskim?) przykładzie dotyczy znacznie większej ilości spółek, co nie znaczy, że śledczy powinni badać tylko wątek strat klientów. Sprawa może mieć drugie dno, a przez swoją skalę, sugerować, że stoi za tym większa grupa osób działających w porozumieniu. Mamy do czynienia nie tylko z kradzieżą setek tysięcy złotych, ale także manipulacją kursami zagranicznych spółek. To znacznie poszerza zakres badania sprawy, która jeszcze ma kilka ciekawych wątków, o których wkrótce.

Źródło: