L'intérieur de Classiscam : Un réseau de fraude russe qui vole de l'argent et des données de paiement

Des escrocs russophones ont ciblé massivement les utilisateurs de places de marché et de petites annonces. L'équipe d'intervention en cas d'urgence informatique du Group-IB (CERT-GIB) et les spécialistes de la protection contre les risques numériques ont baptisé ce système "Classiscam" après l'avoir observé pour la première fois en Russie à l'été 2019. Un pic d'activité a été enregistré au printemps 2020 : il a été attribué à la pandémie de Covid-19 et au passage au travail à distance qui en a résulté, ainsi qu'à l'augmentation des achats en ligne et de l'utilisation des services de messagerie. Au cours de l'été 2020, le CERT-GIB a supprimé 280 pages d'hameçonnage Classiscam proposant de faux services de messagerie et, en décembre, ce nombre avait été multiplié par 10 et dépassait les 3 000 pages.

L'enquête, qui a duré plusieurs mois, a abouti au rapport sur les Classiscammers qui migrent de la Russie vers l'Europe et les États-Unis.

Plus de 40 groupes criminels, dont 20 importants, ciblent désormais des utilisateurs et des marques en Bulgarie, en République tchèque, en France, au Kazakhstan, en Kirghizie, en Pologne, en Roumanie, en Ukraine, aux États-Unis et en Ouzbékistan. L'ensemble des groupes criminels qui recourent à ce système de fraude gagnerait plus de 6 millions de dollars par an, et ce chiffre est susceptible d'augmenter.

L'histoire a commencé un soir d'avril 2020, alors qu'Evgeny Ivanov était de service au CERT-GIB. Il passait en revue les demandes et les messages des clients, dont beaucoup étaient des plaintes d'utilisateurs au sujet d'un service de livraison populaire.

Après avoir examiné les plaintes et les informations partagées par les utilisateurs, il est apparu clairement que toutes les ressources avaient un point commun :

• Il s'agissait de copies de sites web officiels.
• Les pages de paiement de divers faux services étaient identiques aux vrais, à l'exception des logos.
• Certains exemples de sous-domaines de sites web contenaient plus d'une page de phishing.

Nous avons décidé d'enquêter plus en détail sur cet incident et sommes tombés sur une annonce cherchant à recruter des membres dans le cadre d'une escroquerie. Les informations que nous avons trouvées étaient surprenantes, même pour nous, une équipe d'analystes qui pensait avoir tout vu. L'escroquerie semblait avoir une portée considérable et les auteurs semblaient suffisamment arrogants pour croire qu'ils pouvaient s'en sortir.

Au cours de la première partie de notre enquête, nous avons recueilli des détails et nous avons soigneusement documenté tout ce qui concerne le système et ses participants : tendances, commentaires sur les forums, captures d'écran de paiement, retours d'information et canaux Telegram ouverts. Nous avons examiné les profils des administrateurs et des travailleurs sur les forums et découvert des connexions à l'aide de l'outil d'analyse du réseau graphique de Group-IB. Les plaintes des utilisateurs, qui comprenaient une correspondance avec les escrocs, ont grandement contribué à notre enquête.

Voyons ce que nous avons trouvé.

Partie 1. Classiscam : Étapes et description

Au début de l'escroquerie, les fraudeurs ont utilisé une méthode relativement simple : ils ont créé des annonces-appâts sur des places de marché et des petites annonces et ont utilisé des techniques d'ingénierie sociale pour convaincre les utilisateurs de payer des biens en transférant de l'argent sur des cartes bancaires. Les escrocs utilisaient toutes les astuces habituelles : prix bas, remises, cadeaux, temps limité pour effectuer des achats, conditions "premier arrivé, premier servi" et autres tactiques similaires. Différents groupes sont apparus et ont disparu, mais une chose est restée constante : les escrocs ont obtenu leur argent, tandis que les utilisateurs n'ont pas obtenu leurs biens.

Les propriétaires de plateformes ont réagi en introduisant des "garanties" : des systèmes de sécurité électronique pour les paiements en ligne dans le cadre desquels la plateforme "gèlerait" le transfert d'argent jusqu'à ce que l'acheteur reçoive les marchandises. Le vendeur ne recevait le paiement qu'une fois que l'acheteur avait déclaré ne pas avoir de réclamations à formuler. En outre, les systèmes de sécurité de la plateforme bloquaient les liens vers les pages d'hameçonnage envoyées par les escrocs.

En fin de compte, les fraudeurs ont trouvé un moyen de contourner les mesures de sécurité. Ils ont utilisé des outils automatisés pour générer des pages de phishing et ont affiné le mécanisme de fraude. Examinons en détail le fonctionnement de ce stratagème.

• Des offres trop belles pour être vraies

Après avoir créé de nouveaux comptes ou utilisé les comptes compromis sur des sites de petites annonces gratuites, les escrocs publient des offres trop belles pour être vraies : des marchandises à bas prix destinées à divers publics cibles. Les marchandises "à vendre" comprennent des appareils photo, des consoles de jeux, des ordinateurs portables, des smartphones, des tronçonneuses, des systèmes audio pour voitures, des machines à coudre, des objets de collection, des accessoires de pêche, des boissons pour sportifs, etc.

• Contact avec les victimes

Après que les utilisateurs ont contacté les fraudeurs par l'intermédiaire du système de chat de la plateforme en ligne, les fraudeurs suggèrent de passer à des messageries comme WhatsApp et Viber pour discuter de l'achat et des détails de la livraison.

• Préparation de la transaction

Dans la messagerie, les escrocs demandent à la victime son nom complet, son adresse et son numéro de téléphone, prétendument pour remplir un formulaire de livraison sur le site web du service de messagerie.

• Paiement par le biais d'une ressource d'hameçonnage

Ensuite, ils envoient à l'utilisateur des liens vers une ressource de phishing qui imite parfaitement le site web officiel d'un service de messagerie populaire. Le lien mène à une page où figurent tous les détails fournis par la victime, qui est invitée à les vérifier et à effectuer le paiement.

• Un remboursement qui ne vient jamais

Certaines personnes sont victimes de l'escroquerie à deux reprises : elles sont amenées à demander un remboursement qui n'est jamais effectué. Au bout d'un certain temps, l'acheteur est informé qu'un incident s'est produit au bureau de poste. Les escrocs inventent diverses histoires : par exemple, un employé du bureau de poste a été surpris en train de voler et la police a confisqué les marchandises, de sorte que l'acheteur doit remplir une demande de remboursement. Bien entendu, au lieu d'être crédité, le montant est débité une seconde fois de la carte de la victime.

• L'arnaque inversée

Une nouvelle variante de l'escroquerie est apparue, dans laquelle les escrocs jouent le rôle d'acheteurs et non de vendeurs.

Les soi-disant travailleurs recherchent des annonces de vente de biens sur des sites web de petites annonces gratuites. Les conditions à remplir sont les suivantes : le vendeur souhaite être contacté par téléphone et communique son numéro de téléphone, et les marchandises sont disponibles pour la livraison.

L'escroc contacte le vendeur par l'intermédiaire d'une messagerie tierce populaire, contournant ainsi le système de chat sécurisé de la plateforme en ligne, et lui demande si les marchandises sont toujours disponibles.

L'escroc prétend ensuite s'engager à acheter et à livrer le bien et utilise un robot Telegram pour générer une page d'hameçonnage avec le vrai nom, la photo et le prix du bien.

La page d'hameçonnage est prête en quelques minutes et peut être envoyée au vendeur-victime par l'intermédiaire de la messagerie, expliquant que tout a été payé et que le vendeur doit vérifier tous les détails. Bien entendu, pour recevoir le paiement, le vendeur doit ensuite saisir les données de sa carte bancaire.

Une escroquerie de grande ampleur : location de biens immobiliers et covoiturage

Aujourd'hui, les fraudeurs disposent d'un large éventail de marques de services de livraison à utiliser pour leurs escroqueries par hameçonnage. Néanmoins, depuis peu, ils s'intéressent également aux sites web où sont publiées des annonces de voitures et de pièces détachées, d'appareils électroniques, de locations immobilières et de services de covoiturage.

Les escrocs ne se soucient pas de ce que propose une plateforme, qu'il s'agisse de location de biens immobiliers ou de vente de bicyclettes. Ce qui les intéresse, c'est que le site web offre aux utilisateurs la possibilité de communiquer en interne et de conclure des transactions "sûres" au sein même du site, ce qui permet de remplacer le lien final par un lien vers un faux domaine à l'apparence similaire pour effectuer le paiement.

Les mêmes groupes qui ont créé de faux sites web imitant des services de messagerie populaires ont été impliqués dans des attaques contre des services de location de biens immobiliers. Les attaques contre les sites de réservation d'hôtels sont devenues plus fréquentes pendant les vacances d'été, lorsque les gens ne pouvaient voyager qu'à l'intérieur de la Russie. Après l'été, les escrocs se sont concentrés sur les services de location de biens immobiliers. On ne peut exclure l'existence d'une concurrence interne entre les groupes criminels qui les incite à rechercher des possibilités de gagner de l'argent par de nouveaux moyens.

Partie 2. Groupes criminels

L'équipe du Group-IB a découvert plusieurs groupes spécialisés dans ce type de fraude.

Composition d'un groupe criminel typique :

• Admins (alias "starter"), organisateur de groupe ou administrateur, responsable du logiciel et des performances du système de paiement, de l'assistance aux utilisateurs et de la distribution des fonds ;
• Les "travailleurs" ou "spammeurs" embauchés, dont le travail consiste à enregistrer des comptes d'un jour sur des sites de petites annonces gratuites, à créer des annonces-appâts basées sur des modèles prêts à l'emploi, à communiquer avec les victimes par le biais de systèmes de chat et/ou de messageries, et à envoyer des liens d'hameçonnage aux victimes ;
• Les "callers" ou "refunders", qui jouent le rôle d'agents d'assistance à la clientèle des services de messagerie. Après avoir gagné la confiance de la victime, ils proposent d'organiser un remboursement, souvent en utilisant la même fausse ressource. La carte de la victime est alors débitée une seconde fois
• En enquêtant sur les forums, nous avons conclu qu'il existe des dizaines de groupes criminels de ce type, qui s'efforcent tous de développer leurs activités et d'attirer de nouvelles victimes.

L'un des plus grands groupes criminels, par exemple, qui se fait appeler Dreamer Money Gang (DMG), recrute des travailleurs par l'intermédiaire de bots Telegram et leur promet des possibilités de formation, les "meilleurs domaines du marché" et des paiements rapides sans intérêts cachés. DMG gagne environ 3 000 dollars par jour.

Les revenus d'un autre groupe criminel ont grimpé en flèche au début de l'année 2020 : de 10 600 dollars (janvier) à 47 320 dollars (février), 83 825 dollars (mars) et 120 328 dollars (avril).

Vous êtes-vous déjà demandé comment les fraudeurs tenaient leurs comptes financiers ?

Toutes les transactions effectuées par les travailleurs sont affichées dans un robot Telegram : le montant, le numéro de paiement et le nom d'utilisateur du travailleur.

L'un des robots de conversation contient de nombreux transferts pour des sommes allant de 100 à 900 dollars. L'argent est d'abord versé sur le compte de l'administrateur, qui répartit ensuite les revenus entre les autres membres du groupe.

Les travailleurs reçoivent généralement 70 à 80 % du montant de la transaction sous forme de crypto-monnaie, les administrateurs versant rapidement l'argent dans leurs portefeuilles de crypto-monnaie. Les administrateurs conservent généralement entre 20 et 30 % des revenus.

Les escroqueries impliquant des "remboursements" sont réalisées par des "appelants" et des "rembourseurs", qui jouent le rôle d'agents d'assistance à la clientèle des services de messagerie. Après avoir contacté la victime par téléphone ou par messagerie, ils proposent de procéder au remboursement, ce qui signifie en réalité que la carte de la victime est débitée une seconde fois.

Pour leurs services, les "appelants" sont rémunérés soit par un montant fixe, soit par un pourcentage de la somme volée, généralement compris entre 5 et 20 %. Les travailleurs jouent rarement ce rôle car il requiert des compétences spécialisées, notamment une connaissance approfondie des techniques d'ingénierie sociale, une voix claire et la capacité de répondre rapidement aux questions les plus inattendues d'un acheteur douteux.

Après avoir analysé les messages relatifs aux paiements dans les chatbots, les analystes de Group-IB ont réalisé que 20 des 40 groupes actifs se concentraient sur l'Europe et les États-Unis. Ils gagnent environ 60 000 dollars par mois en moyenne, bien que les revenus puissent varier considérablement d'un groupe à l'autre. Dans l'ensemble, le revenu mensuel total de 40 des groupes criminels les plus actifs est estimé à au moins 522 731 dollars par mois.

Troisième partie. Automatisation et mise à l'échelle

Outre le recours à des techniques d'ingénierie sociale, les escrocs doivent également résoudre des problèmes techniques. Ils doivent (i) enregistrer des domaines qui ressemblent aux noms de domaine des sociétés de livraison et créer des pages de phishing, (ii) empêcher l'erreur 900 de se produire sur les services de paiement, c'est-à-dire lorsqu'une banque bloque une opération ou une carte sur laquelle les escrocs tentent de transférer de l'argent, et (iii) ouvrir de nouveaux comptes et acheter de nouveaux numéros de téléphone. En outre, les escrocs doivent recruter de nouveaux travailleurs, créer de nouvelles ressources d'hameçonnage, fournir une assistance technique, etc.

La plupart des tâches susmentionnées peuvent être effectuées à l'aide de robots Telegram. Grâce à ces derniers, les escrocs n'ont plus besoin de créer des pages pour générer des pages d'hameçonnage, ou ce que l'on appelle des "administrateurs". Il leur suffit désormais de placer un lien vers le produit appâté dans le robot de conversation, qui génère alors un ensemble complet de pages d'hameçonnage : liens vers le service de messagerie, pages de paiement et de remboursement.

En outre, Telegram dispose de sa propre équipe d'assistance 24 heures sur 24 et 7 jours sur 7, et il existe des magasins en ligne qui vendent tout ce dont un fraudeur peut avoir besoin : des comptes sur des sites web publicitaires, des téléphones, des portefeuilles électroniques, des courriels ciblés, des ventes d'autres escroqueries, et bien plus encore - même des services juridiques au cas où l'escroc aurait besoin d'un avocat.

Actuellement, plus de 5 000 escrocs sont enregistrés dans 40 des chats les plus actifs.

Il existe plus de dix types de robots Telegram qui créent des pages imitant des marques en Bulgarie, en République tchèque, en France, en Pologne et en Roumanie. Pour chaque marque et chaque page, les escrocs rédigent des scripts et des instructions types qui aident les travailleurs débutants à s'inscrire sur de nouvelles plateformes et à communiquer avec les victimes dans la langue locale.

En conséquence, les pages d'hameçonnage se sont améliorées en qualité et sont devenues plus faciles à créer, et les escrocs reçoivent de plus en plus de soutien. Tous ces facteurs ont fait grimper en flèche la fraude sur les sites de petites annonces, et de plus en plus d'escrocs veulent participer à une activité aussi facile et lucrative.

Voici l'exemple d'un chatbot Telegram :

Les travailleurs débutants s'inscrivent par l'intermédiaire de bots Telegram, sur des forums clandestins ou directement auprès de l'administrateur (TC). Il existe des groupes de discussion ouverts et fermés.

Examinons les chats fermés. Pour participer à une escroquerie, il faut passer par une procédure de recrutement via un robot Telegram, dans le cadre de laquelle le candidat est interrogé sur son expérience en matière d'escroquerie et dans d'autres domaines, sur l'endroit où il a découvert l'existence de l'escroquerie et sur le fait qu'il possède un profil sur des forums clandestins. L'examen des profils sur les forums clandestins vise très probablement à vérifier les candidats et leur réputation et à vérifier s'ils ont été impliqués dans des procédures d'arbitrage, que les escrocs utilisent pour régler des litiges tels qu'un administrateur (TC) qui ne paie pas à un travailleur la somme convenue dans le cadre d'un projet Classiscam.

Une fois que les travailleurs ont terminé le processus d'inscription, ils ont accès à trois chats : un chat d'information (détails sur le projet, plans, instructions), un chat de travailleurs (les escrocs communiquent entre eux, partagent leurs expériences et discutent des projets) et un chat financier (rapports de paiement). Il convient de noter que les discussions sur les paiements sont accessibles au public - il est probable qu'elles soient utilisées à des fins publicitaires pour attirer de nouveaux candidats.

Des statistiques sont tenues sur les paiements des travailleurs et les plus hauts salaires sont inclus dans une liste publique des plus hauts salaires. Ils ont également accès à un chat VIP pour les meilleurs travailleurs et à des scripts VIP (par exemple, pour travailler aux États-Unis ou en Europe), qui ne sont pas accessibles aux escrocs moins fructueux.

En outre, il existe des chats distincts pour les appelants, dans lesquels ils peuvent trouver des instructions et des lignes directrices sur la manière de parler aux victimes.

Partie 4. Exporter le Classiscam

Le Group-IB et les entreprises qui possèdent des services de livraison et des plateformes publicitaires luttent activement contre les escrocs, ce qui, au printemps 2020, a incité les groupes criminels à commencer à migrer de la Russie vers les pays de la CEI et de l'Europe. En conséquence, les escrocs ont commencé à chercher de nouveaux créneaux, comme cela s'est produit avec l'apparition de sites web d'hameçonnage imitant des services de location de biens immobiliers et de bookmakers. L'espace Internet russe est redevenu un terrain d'essai et a aidé les escrocs à étendre leurs activités criminelles à l'échelle internationale.

En 2020, des attaques contre des marques étrangères avaient déjà été enregistrées - des logiciels permettant de générer des pages de phishing étaient disponibles dans des communautés fermées pour les escrocs ayant une expérience professionnelle, bien qu'il s'agisse de cas rares et isolés.

À la mi-février 2020, une annonce pour des bots Telegram librement accessibles a commencé à apparaître sur des forums, promettant la possibilité de générer des formulaires d'hameçonnage pour la version ukrainienne d'OXL, un site web de petites annonces gratuites.

En mai 2020, une version roumaine du site web d'OXL est apparue à côté de la version ukrainienne. Début août, des versions bulgare et kazakhe du site web OXL sont apparues dans des bots Telegram ouverts.

Les escrocs ne se sont pas contentés de lancer le système dans les pays de la CEI. À la fin du mois d'août, une escroquerie impliquant le populaire site français de petites annonces gratuites Leboncoin est apparue dans des bots Telegram populaires.

Peu après, la version polonaise de l'escroquerie du site web d'OXL est également apparue.

Des marques européennes ont été activement ajoutées aux bots Telegram. Fin novembre, des formulaires de phishing sont apparus sur le site polonais de commerce électronique Allegro et sur le site tchèque de petites annonces gratuites Sbazar.

Il convient de noter que les escroqueries impliquant des marques européennes et américaines sont plus difficiles à réaliser que dans les pays de la CEI. Les escrocs russophones se heurtent à des problèmes de langue et à des difficultés pour vérifier les comptes sur les sites web, ce qui nécessite l'achat de documents personnels volés et de numéros de téléphone sur les forums et les communautés. Les administrateurs ont du mal à relier les cartes de crédit et de débit en devises étrangères aux robots Telegram. Pour ce faire, ils doivent engager des "money mules" expérimentées, c'est-à-dire des mandataires qui reçoivent et retirent de l'argent.

Pour chaque marque, les adeptes de l'escroquerie rédigent des instructions et des lignes directrices pour aider les débutants à s'inscrire sur des plateformes étrangères et à communiquer avec les victimes dans leur langue maternelle.

Partie 5. Comment lutter contre les Classiscam ?

Les Classiscamers russophones migrent vers l'Europe et les États-Unis pour gagner plus d'argent et réduire le risque de se faire prendre. Pour lutter contre cette escroquerie, les entreprises qui proposent des services de livraison et possèdent des sites de petites annonces gratuites doivent redoubler d'efforts et utiliser des technologies avancées de protection contre les risques numériques afin de détecter et de démanteler rapidement les groupes criminels.

Recommandations pour les marques

• Contrairement à la Russie, où les services de livraison, les petites annonces gratuites et les sites de location de biens immobiliers ont été les premiers à être victimes de Classiscam, un très grand nombre d'utilisateurs et d'employés des services de sécurité des entreprises internationales ne sont pas encore prêts à lutter contre de tels systèmes de fraude.
• Les techniques classiques de surveillance et de blocage ne sont plus suffisantes pour contrer ces escroqueries avancées. Il est au contraire essentiel d'identifier et de bloquer les infrastructures adverses à l'aide de systèmes de protection contre les risques numériques pilotés par l'IA (pour plus de détails : https://www.group-ib.com/digital-risk-protection.html), dont les bases de données sont régulièrement enrichies d'informations sur les infrastructures adverses, les techniques, les tactiques et les nouveaux stratagèmes de fraude.
  - Utiliser des systèmes spécialisés de protection contre les risques numériques qui aident à détecter de manière proactive les nouveaux faux domaines, les publicités frauduleuses et les pages d'hameçonnage.
  - Veiller à ce que les forums clandestins soient contrôlés en permanence pour détecter toute information sur les tentatives d'utilisation de votre marque à des fins illégales.
  - Analyser les attaques de phishing afin de les attribuer à un groupe criminel donné, de découvrir l'identité des escrocs et de traduire les auteurs en justice.
• Si vous ou votre entreprise avez été victime d'une fraude, contactez immédiatement la police et informez l'équipe d'assistance technique du site web de l'incident, en lui faisant part de toute correspondance que vous avez eue avec les escrocs. Vous pouvez signaler toute fraude au CERT-GIB 24/7 ici ou en envoyant un courriel à response@cert-gib.com.

Recommandations pour les utilisateurs

• Avant de saisir les détails de votre carte de paiement dans un formulaire, vérifiez l'URL et recherchez sur Google la date de création du site. Si le site n'a que quelques mois, il est très probable qu'il s'agisse d'une escroquerie ou d'une page de phishing. Ne faites confiance qu'aux sites officiels.
• Les remises importantes sur les produits électroniques peuvent être tout simplement trop belles pour être vraies. Il est probable qu'il s'agisse d'un produit appât ou d'une page d'hameçonnage créée par des escrocs. Soyez prudent.
• Lorsque vous utilisez des services de location ou de vente de biens neufs ou d'occasion, ne passez pas par les messageries. Gardez toute votre communication dans le chat officiel.
• Ne commandez pas de biens et n'acceptez pas de contrats impliquant une transaction prépayée. Ne payez qu'après avoir reçu les biens et vérifié que tout fonctionne correctement.

Cet article a été rédigé par Evgeny Ivanov, chef de l'unité de détection et de réponse du CERT-GIB ,et Yakov Kravtsov, chef adjoint des projets spéciaux de l'équipe de protection contre les risques numériques du Group-IB.

Il a été publié précédemment par le Group-IB (lien : https://www.group-ib.com/blog/classiscam).