W3LLSTORE rozbity. Co naprawdę oznacza likwidacja phishingowego marketu
2026-04-14
Rozbicie W3LLSTORE to sukces służb, ale nie koniec problemu. Sprawdź, co ten case mówi o współczesnym phishingu, BEC i ochronie tożsamości.

TL;DR
Rozbicie W3LLSTORE jest sukcesem operacyjnym służb, ale nie dlatego, że świat właśnie pozbył się phishingu. Jest ważne dlatego, że odsłania dojrzały model działania współczesnych oszustów. Nie mamy już do czynienia z pojedynczym przestępcą wysyłającym prymitywny mail, lecz z rynkiem usług, w którym ktoś rozwija zestaw narzędzi, ktoś inny dostarcza infrastrukturę, kolejni prowadzą kampanie, sprzedają przejęte konta i monetyzują dostęp. To zmienia sposób, w jaki firmy powinny myśleć o obronie.
Rozbito market, nie model działania
Według informacji podanych przez amerykańskie i indonezyjskie organy ścigania rozbita infrastruktura była powiązana z phishingowym zestawem W3LL i marketem W3LLSTORE. Istotne, że mówimy o systemie, który miał działać jak pełnowymiarowa platforma dla cyberprzestępców. Zestaw kosztował relatywnie niewiele, miał własny kanał dystrybucji, zaplecze sprzedażowe i praktyczny cel biznesowy: przejmowanie kont, obchodzenie zabezpieczeń i wspieranie oszustw finansowych.
To właśnie odróżnia współczesny phishing od starego wyobrażenia o przypadkowej wiadomości z błędami językowymi. Dziś wiele kampanii przypomina gotowy produkt. Jeśli potrzebujesz szerszego tła, jak działa klasyczny phishing jako mechanizm oszustwa, ten case dobrze pokazuje, jak bardzo ten model się rozwinął.
Co wiemy o samym W3LL
Wcześniejsze analizy Group-IB pokazywały, że W3LL był zamkniętym ekosystemem nastawionym na kompromitację kont biznesowych. W centrum znajdował się panel typu AiTM, czyli rozwiązanie przechwytujące logowanie po drodze między użytkownikiem a legalną usługą. Taki model miał umożliwiać obejście korzyści płynących z klasycznego 2FA.
To jednak nie koniec. Marketplace oferował także szereg innych narzędzi wspierających niemal cały łańcuch BEC: od dostarczania wiadomości, przez rozpoznanie, po kolejne etapy pracy na przejętym koncie. Group-IB opisywał około 500 aktorów korzystających z tego ekosystemu i ponad 56 tysięcy biznesowych kont Microsoft 365 namierzonych w USA, Wielkiej Brytanii, Australii i Europie między październikiem 2022 roku a lipcem 2023 roku.
Jeżeli chcesz zobaczyć, dlaczego ten model jest tak groźny w praktyce, zobacz też materiał o phishingu omijającym MFA w modelu AiTM. To właśnie na styku logowania, sesji i zaufania do procesu dzieje się dziś najwięcej.
Dlaczego ten case jest ważny dla firm
Największy problem z takimi operacjami polega na tym, że obniżają próg wejścia. Nie każdy przestępca musi umieć sam pisać oprogramowanie, hostować infrastrukturę, omijać zabezpieczenia i prowadzić kampanię. Wystarczy, że kupi dostęp do gotowego zestawu usług.
Oznacza to więcej kampanii, większą powtarzalność i łatwiejsze skalowanie ataków. A skoro celem są konta biznesowe, skutki nie kończą się na jednym kliknięciu. Pojawia się ryzyko oszustwa finansowego, podszycia się pod pracownika, przejęcia korespondencji, wykradzenia danych, założenia reguł w skrzynce, a czasem także przygotowania gruntu pod kolejne etapy incydentu.
To właśnie dlatego BEC pozostaje tak kosztowny. Nie chodzi tylko o sam phishing. Chodzi o to, co dzieje się po zdobyciu zaufanego dostępu.
Samo MFA nie zamyka już tematu
W wielu organizacjach wdrożenie MFA bywa traktowane jako symboliczne domknięcie problemu przejęcia kont. To myślenie jest zbyt uproszczone. Jeżeli przeciwnik działa przez pośredniczący panel, poluje na sesję albo wykorzystuje legalny przepływ logowania, klasyczne założenie że mamy drugi składnik, więc jesteśmy bezpieczni przestaje wystarczać.
Dlatego firmy powinny patrzeć szerzej. Liczy się nie tylko to, czy użytkownik poda hasło, ale także skąd loguje się konto, na jakie urządzenie, do jakiej aplikacji, jak wygląda zachowanie po zalogowaniu i czy organizacja potrafi szybko zauważyć anomalię. Ochrona tożsamości i sesji staje się dziś równie ważna jak sama filtracja poczty.
Dobrym uzupełnieniem tego wątku jest wpis o nadużyciu powiadomień GitHub i Jira w phishingu. Pokazuje, że problem nie kończy się na fałszywej stronie logowania, bo napastnik coraz częściej wykorzystuje legalne usługi i zaufane procesy komunikacji.
Polska perspektywa jest bardzo konkretna
Ten temat nie jest odległy ani egzotyczny. CERT Polska podał, że w 2025 roku obsłużono 658 320 zgłoszeń i zarejestrowano 260 783 unikalne incydenty bezpieczeństwa. Aż 97 procent stanowiły oszustwa komputerowe, w tym phishing i inne formy wyłudzania danych lub pieniędzy.
To oznacza, że lokalnie środowiska IT są podatne przez mechanizmy, które bazują na manipulacji, podszyciu się i przejęciu zaufania użytkownika. W takim środowisku rozbicie jednego marketu nie rozwiązuje problemu, ale daje bardzo cenną lekcję: przeciwnik działa coraz bardziej procesowo, a obrona też musi być procesowa.
Warto przy tym pamiętać, że złośliwa, niebezpieczna wiadomość nie musi przyjść wyłącznie mailem. Dobrym przykładem jest smishing prowadzący do przejęcia konta Telegram, gdzie ten sam mechanizm presji i wyłudzenia przenosi się do kanału SMS.
Co organizacje powinny poprawić
1. Przestać traktować phishing jako wyłącznie problem poczty
Dzisiejsze kampanie żyją nie tylko w mailu. Funkcjonują także przez wiadomości SMS, komunikatory, fałszywe portale, legalnie wyglądające powiadomienia SaaS i cały zestaw obejść, które mają doprowadzić użytkownika do logowania w niewłaściwym miejscu albo w niewłaściwym kontekście.
2. Uczyć ludzi rozpoznawania scenariuszy, nie tylko podejrzanych linków
Nowoczesny awareness nie może kończyć się na starej lekcji o literówce w domenie. Użytkownicy muszą rozumieć, jak wygląda nadużycie zaufanego brandu, jak działają nietypowe prośby o autoryzację, co zrobić po zauważeniu dziwnego ekranu logowania i gdzie zgłosić incydent zanim zacznie żyć własnym życiem.
3. Skrócić czas reakcji po udanym kliknięciu
Wiele organizacji nadal mierzy sukces tym, że udało się zablokować większość wiadomości. To za mało. W realnym świecie część kampanii przejdzie. Dlatego przewagę daje nie tylko prewencja, ale też zdolność do szybkiego wykrycia przejęcia konta, unieważnienia sesji, sprawdzenia reguł skrzynki, blokady dalszego nadużycia i powiadomienia zespołów odpowiedzialnych za biznes.
4. Mierzyć odporność, a nie tylko aktywność szkoleniową
Zarządowi niewiele mówi informacja, że pracownicy odbyli szkolenie. Znacznie więcej mówi to, czy mniej osób daje się wciągnąć w socjotechnikę, czy wzrasta liczba poprawnych zgłoszeń, czy spada czas reakcji i czy organizacja potrafi udokumentować poprawę zachowań oraz procesów.
Dalsze działania w zakresie awareness
Rozbicie W3LLSTORE to dobra wiadomość, ale nie dlatego, że kończy phishing. Dobra wiadomość jest taka, że służby potrafią skutecznie uderzyć w infrastrukturę, operatorów i międzynarodowe zaplecze takich operacji. Zła jest taka, że sam model działania jest już dojrzały, skalowalny i atrakcyjny dla kolejnych grup.
Dlatego najważniejsza lekcja dla firm brzmi inaczej niż zwykłe uważajcie na maile. Trzeba budować odporność na przejęcie tożsamości, nadużycie sesji i manipulację użytkownikiem. Dopiero wtedy security awareness, polityki dostępu, monitoring i reakcja zaczynają działać jak jeden system, a nie zbiór osobnych inicjatyw.
Jeżeli chcesz przełożyć ten temat na praktykę w organizacji, zobacz jak PHISHLY wspiera budowę mierzalnej odporności cyfrowej przez symulacje, edukację i raportowanie zachowań użytkowników.
Najczęstsze pytania
Czy rozbicie W3LLSTORE oznacza koniec podobnych kampanii?
Nie. To ważny cios w konkretną infrastrukturę, ale sam model usługowego phishingu pozostaje żywy i może odradzać się pod innymi nazwami.
Czy samo MFA chroni dziś firmę przed takim ryzykiem?
Nie w pełni. Zestawy AiTM potrafią przechwytywać sesje lub omijać klasyczne założenia MFA, dlatego potrzebne są także polityki dostępu, monitoring sesji i szybsza reakcja po incydencie.
Dlaczego ten temat powinien interesować firmy w Polsce?
Bo phishing i inne oszustwa komputerowe pozostają dominującą kategorią incydentów również w Polsce, a skutki przejęcia konta biznesowego szybko wychodzą poza samą skrzynkę pocztową.
Źródła
- Hackread: FBI Atlanta and Indonesian National Police Take Down W3LLSTORE Phishing Marketplace— Źródło wejściowe do tematu
- FOX 5 Atlanta: FBI Atlanta takes down global $20M phishing network— Źródło operacyjne oparte na FBI Atlanta i U.S. Attorney’s Office
- Group-IB: W3LL Done: Uncovering Phishing Ecosystem Behind BEC Attacks— Techniczne i biznesowe tło ekosystemu W3LL
- IC3 2025 Annual Report— Kontekst strat i znaczenia BEC
- NASK: Raport CERT Polska za 2025 rok— Polski kontekst skali phishingu i oszustw komputerowych