Strona główna serwisu Gazeta Policyjna

Ślady cyfrowe w sprawach oszustw kryptowalutowych i inwestycyjnych

Jakie czynności z zakresu przepływów kryptowalutowych i informatyki śledczej są kluczowe dla postępowania karnego – i dlaczego każdy z tych śladów ma znaczenie.

Punkt wyjścia materiał dostarczony przez pokrzywdzonego

Każda sprawa dotycząca oszustwa inwestycyjnego lub kryptowalutowego zaczyna się od materiału dostarczonego przez pokrzywdzonego. To, czym dysponuje – potwierdzenia przelewów, zrzuty ekranu czatów, linki do platform „inwestycyjnych” lub innych stron wykorzystywanych w oszustwie, numery telefonów, dane logowania – tworzy bazę, od której rozpoczyna się właściwa analiza techniczna.

Sama dokumentacja papierowa nie wystarczy. Kluczowe jest jej połączenie z danymi cyfrowymi – adresami portfeli kryptowalutowych, hash transakcji, rekordami DNS domen, danymi WHOIS rejestratorów i logami połączeń. Dopiero zestawienie tych elementów buduje kompletny obraz zdarzenia, który może doprowadzić do sprawcy.

Przelewy bankowe pierwszy i najłatwiejszy do przebadania ślad

Pierwszym elementem analizy są przelewy bankowe wykonane przez pokrzywdzonego. Na ich podstawie możliwe jest:

• ustalenie banku prowadzącego rachunek odbiorcy – na podstawie numeru IBAN; w sprawach transgranicznych rachunki litewskie (LT), brytyjskie (GB), holenderskie (NL), maltańskie (MT) mogą wskazywać na instytucje płatnicze lub fintechy (w tym obsługujące obrót kryptowalutami) co może być znaczącym faktem dla sprawy;

• skierowanie wniosku w trybie przewidzianym przepisami, często we współpracy z prokuratorem, o blokadę rachunku – adresowanego bezpośrednio do właściwego działu prawnego banku, z podaniem numerów rachunków i podstawy prawnej, np. europejskiego nakazu zabezpieczenia na rachunku bankowym (EPO);

• ustalenie tożsamości właściciela rachunku – przez wniosek o zwolnienie z tajemnicy bankowej i udostępnienie danych posiadacza rachunku; w podmiotach zajmujących się kryptowalutami dane te przyjmują formę KYC z pełnymi danymi, skanem dokumentu, zdjęciem klienta oraz danymi IP logowania;

• weryfikację w KSIP i ERCDŚ – czy numer rachunku był już rejestrowany przez inne jednostki Policji; jeśli tak, należy dążyć do połączenia postępowań;

• wykorzystanie systemu Ognivo – jako narzędzia bezpiecznej wymiany informacji między bankami a uprawnionymi podmiotami; w praktyce może on wspierać ustalanie rachunków bankowych oraz przyspieszać wymianę danych w ramach działań uprawnionych organów.

W praktyce kluczowe znaczenie ma również kontakt z dostawcami usług przez oficjalne zapytania kierowane ze skrzynki w domenie gov.pl przez Policję i prokuraturę, a także przez system typu Kodex czy LERS – przy zachowaniu warunku posiadania pełnych uprawnień do prowadzenia takich czynności. To właśnie prawidłowy kanał komunikacji oraz właściwa podstawa formalna decydują o skuteczności pozyskania danych od banków, operatorów telekomunikacyjnych, dostawców usług hostingowych, rejestratorów domen czy giełd kryptowalutowych.

Domeny internetowe infrastruktura oszustwa

Fałszywe platformy inwestycyjne działają pod domenami rejestrowanymi specjalnie na potrzeby oszustwa. Analiza domeny ujawnia znacznie więcej niż powszechnie się zakłada.

Dane whois – kto i kiedy zarejestrował domenę

Każda domena posiada rekord WHOIS zawierający datę rejestracji, rejestratora, dane właściciela lub informację o użyciu usługi ochrony prywatności oraz serwery nazw. W analizowanych sprawach oszuści korzystają z rejestratorów, takich jak Namecheap, GoDaddy, PDR Ltd. (PublicDomainRegistry) i Dynadot, a dane właściciela maskują przez serwisy typu „Privacy Protect”, „Withheld for Privacy” lub „Domains By Proxy”.

Te usługi anonimizacji nie wyłączają możliwości pozyskania danych przez organy ścigania – każdy z tych podmiotów może być zobowiązany do udostępnienia danych rzeczywistego właściciela na żądanie sądowe lub prokuratorskie. Wniosek należy kierować do rejestratora lub operatora usługi prywatności z podaniem nazwy domeny i podstawy prawnej.

Historyczne rekordy DNS – ślad w czasie

Nawet jeśli domena jest już nieaktywna lub wskazuje na inne serwery, historyczne rekordy DNS pozwalają ustalić, jakie adresy IP obsługiwały domenę w czasie popełnienia przestępstwa. Jest to kluczowe, gdy sprawcy zmieniają infrastrukturę po wykryciu. Historyczne dane DNS mogą też nam pomóc w ustaleniu faktycznego dostawcy hostingu w przypadku, gdy wykorzystywana jest usługa typu Cloudflare.

Rekordy A i AAAA – gdzie fizycznie działa serwer

Adres IPv4 lub IPv6 pozwala ustalić operatora infrastruktury (np. dostawcę hostingu lub centrum danych). W analizowanych sprawach najczęściej spotykane są Cloudflare jako CDN i ochrona przed DDoS, OVH, Amazon AWS, Hostinger, HostKey i Colobridge. Każdy z tych podmiotów posiada własny dział Abuse i Legal, odpowiada na wnioski organów ścigania 
w określonym trybie i może ujawnić dane klienta zarejestrowanego pod danym adresem IP.
Cloudflare maskuje rzeczywisty adres IP serwera, dlatego konieczne jest uzyskanie od niego tzw. origin IP, czyli adresu serwera źródłowego. To jest etap, w którym analiza historycznych danych DNS może ujawnić rzeczywisty adres IP.

Numery telefonów identyfikacja sprawcy przez operatora

Numery telefonów używane przez sprawców stanowią jeden z najbardziej wartościowych śladów – pod warunkiem że zostaną prawidłowo zabezpieczone i poddane analizie. Pierwszym krokiem jest identyfikacja operatora: każdy numer telefoniczny przypisany jest do konkretnego operatora w kraju rejestracji, niezależnie od tego, gdzie jest faktycznie używany. Analiza numeru pozwala ustalić, czy pochodzi od krajowego lub zagranicznego operatora sieciowego, wirtualnego operatora MVNO czy hurtowego dostawcy VoIP. Równie istotna jest weryfikacja ewentualnej cesji numeru między operatorami – pierwotny operator może bowiem nie dysponować aktualnymi danymi użytkownika, a w przypadku numerów VoIP konieczne jest dotarcie do rzeczywistego dostawcy usługi, który nierzadko działa w innej jurysdykcji. Wobec każdego zidentyfikowanego operatora – krajowego lub zagranicznego – kieruje się wniosek o ujawnienie danych osobowych abonenta, przy czym w przypadku operatorów zagranicznych odbywa się to w trybie międzynarodowej pomocy prawnej lub na podstawie Europejskiego Nakazu Dochodzeniowego. Odrębnym wnioskiem należy objąć billing połączeń oraz dane dotyczące pierwszej aktywacji numeru, w tym dane stacji BTS, informacje rejestrowe oraz identyfikację urządzenia, w którym numer został aktywowany.

Sprawcy często sięgają po zagraniczne numery VoIP w przekonaniu, że są one praktycznie nie do namierzenia. W rzeczywistości każdy taki numer posiada hurtowego operatora wyższego szczebla, który może ujawnić dane rejestracyjne powiązanego konta – często zawierające adres IP logowania, adres e-mail oraz zastosowaną metodę płatności.

Przepływy kryptowalutowe śledzenie nieodwracalnych transakcji

Transakcje kryptowalutowe są publiczne i nieodwracalne – raz zapisane w blockchainie pozostają dostępne na zawsze. To jednocześnie słabość sprawców i szansa dla organów ścigania: każdy ruch środków jest udokumentowany.

Ethereum, BNB Smart Chain, Base, Arbitrum – Sieć EVM

Większość oszustw inwestycyjnych operuje na tokenach ERC-20 lub BEP-20 w sieciach kompatybilnych z Ethereum Virtual Machine. Analiza Ethereum i sieci EVM rozpoczyna się od pobrania wszystkich transakcji wychodzących z portfela pokrzywdzonego, po czym środki są śledzone rekursywnie krok po kroku przez kolejne portfele odbiorcze – poziom po poziomie, zazwyczaj na głębokość 4–6 iteracji. Uzyskane wyniki filtruje się pod kątem znanych etykiet, takich jak giełdy kryptowalut (CEX, DEX), mixery czy mosty cross-chain. Celem tej analizy jest identyfikacja giełdy docelowej – podmiotu, który dysponuje możliwością zablokowania środków oraz ujawnienia danych KYC właściciela portfela. Po ustaleniu przepływów kierowane są wnioski o blokadę, zgodnie z procedurą kontaktową wskazaną przez daną giełdę.

Sieć Bitcoin – model UTXO

Bitcoin rządzi się odmiennymi zasadami niż sieci EVM – każda transakcja zużywa wcześniejsze wyjścia (UTXO) i tworzy nowe, co wymaga odrębnego podejścia analitycznego. Śledzenie przepływów opiera się tu na analizie tablic wejść (Vin) i wyjść (Vout) każdej transakcji, co pozwala odróżnić rzeczywistego odbiorcę od adresu reszty (change address) generowanego automatycznie przez portfel. Dodatkową komplikację stanowią portfele zbiorcze giełd (pooled wallets), które konsolidują środki wielu użytkowników na wspólnych adresach, utrudniając przypisanie konkretnych środków do konkretnej osoby. Podobny efekt wywołują transakcje batchingowe, polegające na łączeniu wielu wypłat w jedną transakcję sieciową. Gdy sprawca decyduje się na przeniesienie środków między sieciami, konieczna staje się również analiza cross-chain obejmująca mosty międzyłańcuchowe, które nierzadko służą jako narzędzie utrudniające identyfikację dalszego przepływu aktywów.

Co można ustalić na podstawie analizy blockchain

Kluczową informacją, którą można uzyskać w toku analizy, jest adres portfela giełdowego, na który trafiły środki, a co za tym idzie – nazwa giełdy posiadającej dane KYC właściciela konta.

Istotne jest również ustalenie, czy środki zostały już wypłacone z giełdy. W przypadku gdy nadal się tam znajdują, istnieje realna szansa na ich blokadę.

Analiza pozwala także wykryć powiązania między różnymi sprawami – ten sam adres portfela może bowiem pojawiać się w wielu odrębnych postępowaniach, co umożliwia łączenie wątków i identyfikację powtarzających się podmiotów.

Wreszcie, możliwe jest odtworzenie łańcucha transferów prowadzących przez mixery lub zdecentralizowane giełdy, co stanowi charakterystyczny ślad profesjonalnego prania pieniędzy.

Kluczowa zasada: wniosek do giełdy kryptowalutowej musi zawierać konkretny adres portfela i hash transakcji – nie wystarczy sam opis zdarzenia. Giełda, otrzymując adres portfela i hash, może zidentyfikować konto użytkownika (UID), podjąć działania, takie jak blokada środków oraz udostępnienie danych KYC – w zależności od procedur i podstawy prawnej. Bez tych danych technicznych wniosek znacząco utrudnia lub uniemożliwia identyfikację transakcji.

Adresy IP i logi połączeń gdzie fizycznie był sprawca

Adresy IP to jeden z najcenniejszych śladów w sprawach z wykorzystaniem zdalnego dostępu, takich jak TeamViewer czy AnyDesk, a także w sprawach, w których ofiara logowała się na fałszywą platformę. Istotnym źródłem danych śledczych są logi zdalnego pulpitu – oprogramowanie tego typu rejestruje adresy IP, czas połączenia oraz identyfikator sesji, a zarówno producenci aplikacji, jak i dostawcy internetu mogą na wniosek organów ścigania ujawnić dane abonenta powiązanego z konkretnym adresem IP. Analogiczne informacje zawierają logi logowania na fałszywej platformie – o ile organy ścigania uzyskają dostęp do serwera, logi HTTP/S pozwalają odtworzyć adresy IP ofiar i sprawców wraz z dokładnymi znacznikami czasu. Geolokalizacja adresów IP umożliwia z kolei wstępną identyfikację kraju pochodzenia połączenia oraz dostawcy usług internetowych, co pozwala określić właściwą jurysdykcję dla dalszych wniosków prawnych. Gdy serwer platformy jest ukryty za usługą CDN, taką jak Cloudflare, konieczne jest uzyskanie od tego podmiotu rzeczywistego adresu IP serwera źródłowego w trybie przewidzianym przez odpowiednie procedury prawne.

Osoby i OSINT łączenie śladów w tożsamość sprawcy

Uzupełnieniem technicznej analizy infrastruktury są informacje pozyskiwane z otwartych źródeł (OSINT). Konta w mediach społecznościowych powiązane z numerami telefonów lub adresami e-mail ujawnionymi w sprawie mogą bezpośrednio wskazywać na tożsamość sprawców lub ich współpracowników. Warte sprawdzenia są również dane rejestrowe spółek – fałszywe platformy nierzadko powiązane są z formalnie zarejestrowanymi podmiotami, których udziałowcy lub reprezentanci figurują w publicznie dostępnych rejestrach handlowych. Istotną rolę odgrywa także analiza powiązań między domenami: ten sam kontakt e-mail rejestratora lub ten sam serwer nazw może łączyć kilkanaście pozornie niezwiązanych platform, ujawniając wspólne zaplecze organizacyjne. Historyczne dane WHOIS pozwalają natomiast prześledzić aktywność rejestracyjną konkretnego właściciela na przestrzeni czasu – domeny zakładane przez tę samą osobę w różnych okresach są często identyfikowalne dzięki wspólnym danym kontaktowym sprzed ich zanonimizowania.

System ERCDŚ dlaczego rejestracja każdej sprawy ma znaczenie

Elektroniczny Rejestr Czynności Dochodzeniowo-Śledczych to narzędzie, które w sprawach seryjnych ma fundamentalne znaczenie. Prawidłowa rejestracja każdej sprawy – z uwzględnieniem:

• nazwy domeny platformy oszustwa,

• numerów telefonów sprawców,

• numerów rachunków bankowych i adresów portfeli kryptowalutowych,

• kanałów komunikacji: Telegram, WhatsApp, e-mail, GSM,

• charakterystycznych cech modus operandi, umożliwia Policji identyfikację powiązań między sprawami prowadzonymi w różnych jednostkach na terenie całego kraju. Sprawca, który u jednej ofiary wyłudził 10 000 zł, mógł u innych wyłudzić wielokrotnie więcej. Brak rejestracji znacząco ogranicza możliwość powiązania spraw.

Każde prawidłowo zarejestrowane zawiadomienie – nawet na niewielką kwotę – może stać się kluczowym ogniwem łączącym dziesiątki spraw. To nie jest formalność. To realna szansa na kumulację zarzutów i skuteczne postępowanie zbiorcze.

Podsumowanie mapa śladów cyfrowych w jednej sprawie

Sprawna analiza techniczna sprawy oszustwa kryptowalutowego lub inwestycyjnego wymaga równoległego prowadzenia działań na kilku płaszczyznach jednocześnie. W zakresie przelewów bankowych konieczna jest identyfikacja banku, złożenie wniosku o blokadę środków i uzyskanie danych posiadacza rachunku (a w przypadku podmiotów krypto – danych KYC) oraz weryfikacja w systemach KSIP i ERCDŚ.

Domeny internetowe wymagają sprawdzenia danych WHOIS, historycznych rekordów DNS, rejestratora i hostingu, a w przypadku ukrycia serwera za usługą CDN – uzyskania rzeczywistego adresu IP serwera źródłowego.

Numery telefonów kierowane do krajowego lub zagranicznego operatora, wymagają weryfikacji pod kątem usług VoIP oraz złożenia wniosku o dane abonenta.

Transakcje kryptowalutowe analizuje się przez pryzmat adresu portfela i hasha transakcji, prowadząc rekursywne śledzenie przepływów aż do identyfikacji giełdy docelowej, wobec której kierowany jest wniosek o blokadę i ujawnienie danych KYC.

Adresy IP weryfikuje się na podstawie logów zdalnego pulpitu i logowań, uzupełniając o geolokalizację i wnioski do dostawców internetu lub operatorów CDN.

Równolegle prowadzone działania OSINT pozwalają ujawnić powiązania między podmiotami, danymi rejestrowymi i historią domen. Wszystkie zidentyfikowane elementy wskazujące na sprawcę i infrastrukturę przestępczą podlegają rejestracji w systemie ERCDŚ.

Żaden z tych elementów, rozpatrywany w izolacji może okazać się niewystarczający do skutecznego działania. Dopiero ich połączenie tworzy kompletny materiał dowodowy, który może prowadzić do postawienia zarzutów, wnioskowania o tymczasowe aresztowanie i realnie zwiększa szanse pokrzywdzonego na odzyskanie utraconych środków.

Sprawna analiza techniczna sprawy oszustwa kryptowalutowego lub inwestycyjnego wymaga równoległego prowadzenia działań na kilku płaszczyznach jednocześnie. W zakresie przelewów bankowych konieczna jest identyfikacja banku, złożenie wniosku o blokadę środków i uzyskanie danych posiadacza rachunku (a w przypadku podmiotów krypto – danych KYC) oraz weryfikacja w systemach KSIP i ERCDŚ.

Domeny internetowe wymagają sprawdzenia danych WHOIS, historycznych rekordów DNS, rejestratora i hostingu, a w przypadku ukrycia serwera za usługą CDN – uzyskania rzeczywistego adresu IP serwera źródłowego.

Numery telefonów kierowane do krajowego lub zagranicznego operatora, wymagają weryfikacji pod kątem usług VoIP oraz złożenia wniosku o dane abonenta.

Transakcje kryptowalutowe analizuje się przez pryzmat adresu portfela i hasha transakcji, prowadząc rekursywne śledzenie przepływów aż do identyfikacji giełdy docelowej, wobec której kierowany jest wniosek o blokadę i ujawnienie danych KYC.

Adresy IP weryfikuje się na podstawie logów zdalnego pulpitu i logowań, uzupełniając o geolokalizację i wnioski do dostawców internetu lub operatorów CDN.

Równolegle prowadzone działania OSINT pozwalają ujawnić powiązania między podmiotami, danymi rejestrowymi i historią domen. Wszystkie zidentyfikowane elementy wskazujące na sprawcę i infrastrukturę przestępczą podlegają rejestracji w systemie ERCDŚ.

Żaden z tych elementów, rozpatrywany w izolacji może okazać się niewystarczający do skutecznego działania. Dopiero ich połączenie tworzy kompletny materiał dowodowy, który może prowadzić do postawienia zarzutów, wnioskowania o tymczasowe aresztowanie i realnie zwiększa szanse pokrzywdzonego na odzyskanie utraconych środków.

Damian Dejewski

biegły sądowy ds. oszustw inwestycyjnych, kryptowalutowych, analizy blockchain oraz informatyki śledczej, Safe Idea Kancelaria Prawno-Detektywistyczna oraz Polski Instytut Badań Oszustw Inwestycyjnych

Michał Bielański

biegły sądowy ds. oszustw inwestycyjnych, kryptowalutowych, analizy blockchain oraz informatyki śledczej, Safe Idea Kancelaria Prawno-Detektywistyczna oraz Polski Instytut Badań Oszustw Inwestycyjnych

asp. Daniel Machczyński

Komenda Powiatowa Policji w Kołobrzegu, biegły sądowy ds. kryptowalut i analizy blockchain