Dentro Classiscam: Una rete di frodi russa che ruba denaro e dati di pagamento

I truffatori di lingua russa hanno preso di mira gli utenti di marketplace e annunci su larga scala. Il Computer Emergency Response Team di Group-IB (CERT-GIB) e gli specialisti di Digital Risk Protection hanno chiamato lo schema "Classiscam" dopo averlo visto per la prima volta in Russia nell'estate del 2019. Il picco di attività è stato registrato nella primavera del 2020: è stato attribuito alla pandemia di Covid-19 e al conseguente passaggio al lavoro a distanza e all'aumento degli acquisti online e dell'uso dei servizi di corriere. Nell'estate del 2020 il CERT-GIB ha eliminato 280 pagine di phishing Classiscam che offrivano falsi servizi di corriere, e a dicembre il numero era cresciuto di 10 volte, superando le 3.000 pagine.

L'indagine, durata diversi mesi, ha portato alla stesura di un rapporto sui Classiscam che dalla Russia migrano in Europa e negli Stati Uniti.

Più di 40 gruppi criminali, di cui 20 di grandi dimensioni, ora prendono di mira utenti e marchi in Bulgaria, Repubblica Ceca, Francia, Kazakistan, Kirghizia, Polonia, Romania, Ucraina, Stati Uniti e Uzbekistan. Si ritiene che tutti i gruppi criminali che ricorrono a questo schema di frode guadagnino più di 6 milioni di dollari all'anno, cifra destinata a crescere.

La storia è iniziata una sera di aprile del 2020, quando Evgeny Ivanov era in servizio al CERT-GIB. Stava esaminando le richieste e i messaggi dei clienti, molti dei quali erano reclami di utenti su un popolare servizio di consegna.

Dopo aver esaminato i reclami e le informazioni condivise dagli utenti, è emerso chiaramente ciò che tutte le risorse avevano in comune:

• Erano copie di siti web ufficiali.
• Le pagine di pagamento di vari servizi falsi erano identiche a quelle reali, tranne che per i loghi.
• Alcuni esempi di sottodomini di siti web contenevano più di una pagina di phishing.

Abbiamo deciso di indagare più a fondo sull'incidente e ci siamo imbattuti in un annuncio che cercava di reclutare membri in una truffa. Le informazioni che abbiamo trovato sono state sorprendenti anche per noi, un team di analisti che pensava di aver visto tutto. La truffa sembrava di portata estremamente ampia e gli autori sembravano abbastanza arroganti da credere di poterla fare franca.

Durante la prima parte della nostra indagine, abbiamo raccolto dettagli e documentato attentamente tutto ciò che riguardava lo schema e i suoi partecipanti: tendenze, commenti sui forum, schermate di pagamento, feedback e canali Telegram aperti. Abbiamo esaminato i profili degli amministratori e dei lavoratori sui forum e abbiamo scoperto le connessioni utilizzando lo strumento di analisi delle reti grafiche di Group-IB . I reclami degli utenti che includevano la corrispondenza con i truffatori ci hanno aiutato molto nelle indagini.

Vediamo cosa abbiamo trovato.

Parte 1. Classiscam: Fasi e descrizione

Nelle prime fasi della truffa, i truffatori hanno utilizzato un metodo relativamente semplice: hanno creato annunci esca su marketplace e annunci e hanno utilizzato tecniche di ingegneria sociale per convincere gli utenti a pagare la merce trasferendo denaro su carte bancarie. I truffatori usavano tutti i trucchi tipici: prezzi bassi, sconti, regali, tempo limitato per effettuare gli acquisti, parlando di condizioni "primo arrivato, primo servito" e altre tattiche simili. Diversi gruppi andavano e venivano, ma una cosa rimaneva costante: i truffatori ottenevano i loro soldi, mentre gli utenti non ricevevano i loro beni.

I proprietari delle piattaforme hanno risposto introducendo le "garanzie": sistemi elettronici di sicurezza per i pagamenti online, nell'ambito dei quali la piattaforma "congela" il trasferimento di denaro finché l'acquirente non riceve la merce. Il venditore avrebbe ricevuto il pagamento solo dopo che l'acquirente avesse dichiarato di non avere reclami. Inoltre, i sistemi di sicurezza della piattaforma bloccavano i link alle pagine di phishing inviate dai truffatori.

Alla fine i truffatori hanno trovato un modo per aggirare le misure di sicurezza. Hanno utilizzato strumenti automatizzati per generare pagine di phishing e hanno perfezionato il meccanismo di frode. Esaminiamo in dettaglio come funziona lo schema.

• Offerte troppo belle per essere vere

Dopo aver registrato nuovi account o utilizzato quelli compromessi sui siti web di annunci gratuiti, i truffatori pubblicano offerte troppo belle per essere vere: merci a prezzi bassi destinate a vari target. La merce "in vendita" comprende macchine fotografiche, console di gioco, computer portatili, smartphone, motoseghe, autoradio, macchine da cucire, oggetti da collezione, accessori per la pesca, bevande sportive e altro ancora.

• Contatto con le vittime

Dopo che gli utenti contattano i truffatori attraverso il sistema di chat della piattaforma online, i truffatori suggeriscono di passare a messenger come WhatsApp e Viber per discutere i dettagli dell'acquisto e della consegna.

• Preparazione dell'affare

Nella messaggeria, i truffatori chiedono alla vittima nome e cognome, indirizzo e numero di telefono, presumibilmente per compilare un modulo di consegna sul sito web del corriere.

• Pagamento tramite risorsa di phishing

Successivamente, inviano all'utente un link a una risorsa di phishing che imita perfettamente il sito ufficiale di un famoso servizio di corriere. Il link rimanda a una pagina che riporta tutti i dati forniti dalla vittima, alla quale viene chiesto di verificarli e di completare il pagamento.

• Un rimborso che non arriva mai

Alcune persone sono vittime di questa truffa due volte: vengono ingannate per richiedere un rimborso che non viene mai effettuato. Dopo qualche tempo, l'acquirente viene informato che c'è stato un incidente all'ufficio postale. I truffatori inventano varie storie: ad esempio, che un impiegato dell'ufficio postale è stato sorpreso a rubare e che la polizia ha confiscato la merce, quindi l'acquirente deve compilare una richiesta di rimborso. Naturalmente, invece di essere accreditato, l'importo viene addebitato per la seconda volta sulla carta della vittima.

• Truffa inversa

Alla fine è comparsa una nuova variante della truffa, in cui i truffatori svolgono il ruolo di acquirenti anziché di venditori.

I cosiddetti lavoratori cercano annunci di vendita di beni su siti web di annunci gratuiti. Le condizioni che un annuncio deve soddisfare includono che il venditore desideri essere contattato telefonicamente e che condivida il suo numero di telefono e che la merce sia disponibile per la consegna.

Il truffatore contatta il venditore attraverso un popolare messenger di terze parti, aggirando così il sistema di chat sicuro della piattaforma online, e chiede al venditore se la merce è ancora disponibile.

Il truffatore dichiara quindi di impegnarsi per l'acquisto e la consegna e utilizza un bot Telegram automatizzato per generare una pagina di phishing con il vero nome, la fotografia e il prezzo della merce.

La pagina di phishing è pronta in pochi minuti e può essere inviata al venditore-vittima attraverso il messenger, spiegando che tutto è stato pagato e che il venditore deve verificare tutti i dettagli. Naturalmente, per ricevere il pagamento, il venditore deve inserire i dati della propria carta di credito.

Una truffa ad ampio raggio: affitto di immobili e ride sharing

Oggi i truffatori hanno a disposizione un'ampia gamma di marchi di servizi di consegna da utilizzare per le loro truffe di phishing. Tuttavia, di recente si sono interessati anche ai siti web utilizzati per pubblicare annunci che offrono auto e ricambi per auto, elettronica, affitto di immobili e servizi di ride sharing.

Ai truffatori non interessa cosa offre una piattaforma, che si tratti di affitto di immobili o di vendita di biciclette. Ciò che interessa loro è che il sito web offra agli utenti la possibilità di comunicare internamente e di concludere affari "sicuri" all'interno del sito stesso, il che rende possibile sostituire il link finale con uno su un dominio falso ma dall'aspetto simile per completare il pagamento.

Gli stessi gruppi che hanno creato siti web falsi imitando popolari servizi di corriere sono stati coinvolti in attacchi a servizi di noleggio di proprietà. Gli attacchi ai siti web di prenotazione alberghiera sono diventati più comuni durante le vacanze estive, quando le persone potevano viaggiare solo all'interno della Russia. Dopo l'estate, i truffatori hanno spostato la loro attenzione sui servizi di affitto di immobili. Non si può escludere una concorrenza interna tra i gruppi criminali che li spinge a cercare opportunità di guadagno in nuovi modi.

Parte 2. Gruppi criminali

Il team di Group-IB ha scoperto diversi gruppi specializzati in questo tipo di frode.

Composizione di un tipico gruppo criminale:

• Admins (alias topic starter), organizzatore del gruppo o amministratore, responsabile del software e delle prestazioni del sistema di pagamento, dell'assistenza agli utenti e della distribuzione dei fondi;
• "lavoratori" o "spammer" assunti, il cui compito è quello di registrare account di un giorno su siti web di annunci gratuiti, creare annunci esca basati su modelli già pronti, comunicare con le vittime attraverso sistemi di chat e/o messenger della piattaforma e inviare link di phishing alle vittime;
• i cosiddetti "chiamatori" o "rimborsatori", che svolgono il ruolo di agenti del servizio di assistenza clienti del corriere. Dopo aver acquisito la fiducia della vittima, propongono di organizzare un rimborso, spesso utilizzando la stessa risorsa fittizia. Di conseguenza, la carta della vittima viene addebitata una seconda volta.
• Durante le indagini sui forum siamo giunti alla conclusione che esistono decine di gruppi criminali di questo tipo, tutti impegnati a espandere la propria attività e ad attirare nuove vittime.

Uno dei più grandi gruppi criminali, ad esempio, che si fa chiamare Dreamer Money Gang (DMG), assume lavoratori tramite bot Telegram e promette opportunità di formazione, i "migliori domini sul mercato" e pagamenti rapidi senza interessi nascosti. DMG guadagna circa 3.000 dollari al giorno.

Le entrate di un altro gruppo criminale sono salite alle stelle all'inizio del 2020: da 10.600 dollari (gennaio) a 47.320 dollari (febbraio) a 83.825 dollari (marzo) a 120.328 dollari (aprile).

Vi siete mai chiesti come i truffatori tengano i conti finanziari?

Tutti gli affari e le transazioni completati dai lavoratori vengono visualizzati in un bot di Telegram: l'importo, il numero di pagamento e il nome utente del lavoratore.

Uno dei chat bot contiene numerosi trasferimenti per importi che vanno da 100 a 900 dollari. Il denaro viene prima versato sul conto dell'amministratore, che poi distribuisce le entrate tra gli altri membri del gruppo.

I lavoratori di solito ricevono il 70-80% dell'importo della transazione come criptovaluta, mentre gli amministratori versano rapidamente il denaro nei loro portafogli di criptovaluta. Gli amministratori di solito trattengono circa il 20-30% delle entrate.

Le truffe che riguardano i "rimborsi" sono messe in atto dai cosiddetti "chiamanti" e "rimborsatori", che svolgono il ruolo di agenti del servizio di assistenza clienti del corriere. Dopo aver contattato la vittima per telefono o tramite messenger, si offrono di elaborare il rimborso, il che in realtà significa che la carta della vittima viene addebitata una seconda volta.

Per i loro servizi, i "chiamanti" vengono pagati o con un importo fisso o con una percentuale della somma rubata, di solito tra il 5% e il 20%. I lavoratori svolgono raramente questo ruolo perché richiede competenze specialistiche, tra cui una conoscenza approfondita delle tecniche di social engineering, una voce chiara e la capacità di rispondere rapidamente anche alle domande più inaspettate di un acquirente dubbioso.

Dopo aver analizzato i messaggi relativi ai pagamenti nelle chat bot, gli analisti di Group-IB si sono resi conto che 20 dei 40 gruppi attivi si concentrano in Europa e negli Stati Uniti. Il loro guadagno medio è di circa 60.000 dollari al mese, anche se le entrate possono variare notevolmente da gruppo a gruppo. Complessivamente, il reddito mensile totale di 40 dei gruppi criminali più attivi è stimato in almeno 522.731 dollari al mese.

Parte 3. Automazione e scalata

Oltre a ricorrere a frodi con tecniche di ingegneria sociale, i truffatori devono anche risolvere problemi tecnici. Devono: (i) registrare domini simili a quelli delle aziende di consegna e creare pagine di phishing, (ii) impedire che si verifichi l'errore 900 sui servizi di pagamento, ossia quando una banca blocca un'operazione o una carta su cui i truffatori stanno cercando di trasferire denaro, e (iii) registrare nuovi account e acquistare nuovi numeri di telefono. Inoltre, i truffatori devono reclutare nuovi lavoratori, creare nuove risorse di phishing, fornire assistenza tecnica e altro ancora.

La maggior parte di questi compiti può essere svolta utilizzando i bot di Telegram. Grazie a questi ultimi, i truffatori non hanno più bisogno di creare pagine per generare pagine di phishing, o i cosiddetti "amministratori". Tutto ciò che gli operatori devono fare ora è inserire un link al prodotto esca nel bot di chat, che poi genera un set di phishing completo: link al servizio di corriere, al pagamento e alle pagine di rimborso.

Inoltre, Telegram ha un proprio team di assistenza 24/7 e ci sono negozi online che vendono tutto ciò di cui un truffatore potrebbe aver bisogno: account su siti web pubblicitari, telefoni, portafogli elettronici, email mirate, vendita di altre truffe e molto altro ancora, persino servizi legali nel caso in cui il truffatore abbia bisogno di un avvocato.

Attualmente, più di 5.000 truffatori sono registrati in 40 delle chat più attive.

Esistono più di dieci tipi di bot Telegram che creano pagine che imitano marchi in Bulgaria, Repubblica Ceca, Francia, Polonia e Romania. Per ogni marchio e pagina, i truffatori scrivono modelli di script e istruzioni che aiutano i lavoratori principianti a iscriversi a nuove piattaforme e a comunicare con le vittime nella lingua locale.

Di conseguenza, le pagine di phishing sono migliorate in qualità e sono diventate più facili da creare, e i truffatori ricevono sempre più supporto. Tutti questi fattori hanno fatto sì che le frodi sui siti web di annunci salissero alle stelle e che un numero sempre maggiore di truffatori volesse partecipare a un'attività tanto facile quanto redditizia.

Di seguito è riportato l'esempio di uno dei chat-bot di Telegram:

I lavoratori principianti si registrano attraverso i bot di Telegram, sui forum clandestini o direttamente tramite l'amministratore (TC). Esistono chat di gruppo aperte e chiuse.

Diamo un'occhiata alle chat chiuse. Per partecipare a una truffa, è necessario seguire una procedura di reclutamento attraverso un bot Telegram, nel corso della quale al candidato vengono poste domande sulla sua esperienza in materia di truffe e in altri settori, su dove ha scoperto la truffa e se ha un profilo su qualche forum underground. L'esame dei profili sui forum clandestini viene fatto molto probabilmente per vagliare i candidati e la loro reputazione e per verificare se sono stati coinvolti in procedure di arbitrato, che i truffatori utilizzano per risolvere le controversie, come ad esempio il mancato pagamento da parte di un amministratore (TC) a un lavoratore della somma concordata per un programma Classiscam.

Dopo aver completato il processo di registrazione, i lavoratori ricevono l'accesso a tre chat: una chat informativa (dettagli sul progetto, piani, istruzioni), una chat dei lavoratori (i truffatori comunicano tra loro, condividono esperienze e discutono dei progetti) e una chat finanziaria (rapporti sui pagamenti). Vale la pena notare che le chat sui pagamenti sono disponibili pubblicamente: è probabile che vengano utilizzate a scopo pubblicitario per attirare nuovi candidati.

Vengono tenute delle statistiche sui pagamenti dei lavoratori e i più ricchi sono inclusi in un elenco pubblico dei migliori guadagnatori. Inoltre, ricevono accesso a una chat VIP per i migliori lavoratori e a script VIP (ad esempio, per lavorare negli Stati Uniti o in Europa), che non sono disponibili per i truffatori meno proficui.

Inoltre, esistono chat separate per i chiamanti in cui possono trovare istruzioni e linee guida su come parlare con le vittime.

Parte 4. Esportazione di Classiscam

Group-IB e le aziende che possiedono servizi di consegna e piattaforme pubblicitarie hanno lottato attivamente contro i truffatori, che nella primavera del 2020 hanno spinto i gruppi criminali a iniziare a migrare dalla Russia verso i Paesi della CSI e dell'Europa. Di conseguenza, i truffatori hanno iniziato a cercare nuove nicchie di mercato, come è accaduto con la comparsa di siti web di phishing che imitano servizi di affitto di immobili e di bookmaker. Lo spazio Internet russo è diventato ancora una volta un terreno di prova e ha aiutato i truffatori a espandere la loro attività criminale sulla scena internazionale.

Nel 2020 erano già stati registrati attacchi a marchi stranieri - il software per generare pagine di phishing era disponibile in comunità chiuse per truffatori con esperienza lavorativa, anche se si trattava di casi rari e isolati.

A metà febbraio 2020, sui forum ha iniziato a comparire un annuncio per bot Telegram liberamente accessibili, che prometteva la possibilità di generare moduli di phishing per la versione ucraina di OXL, un sito web di annunci gratuiti.

Nel maggio 2020 è apparsa una versione rumena del sito web di OXL accanto a quella ucraina. All'inizio di agosto, le versioni bulgara e kazaka del sito web OXL sono apparse nei bot aperti di Telegram.

I truffatori non si sono limitati a lanciare lo schema nei Paesi della CSI. Alla fine di agosto, una truffa che coinvolgeva il popolare sito web francese di annunci gratuiti Leboncoin è apparsa in bot Telegram popolari.

Poco dopo è apparsa anche la versione polacca della truffa del sito web OXL.

I marchi europei sono stati aggiunti attivamente ai bot di Telegram. A fine novembre sono apparsi moduli di phishing sul sito di e-commerce polacco Allegro e sul sito di annunci gratuiti ceco Sbazar.

Vale la pena notare che le truffe che coinvolgono marchi europei e statunitensi sono più difficili da realizzare rispetto ai Paesi della CSI. I truffatori di lingua russa incontrano problemi linguistici e difficoltà nella verifica degli account sui siti web, che richiede l'acquisto di documenti personali e numeri di telefono rubati su forum e comunità. Gli amministratori hanno difficoltà a collegare carte di credito e di debito in valuta estera ai bot di Telegram. Per questo devono assumere esperti money mules - proxy che ricevono e prelevano denaro.

Per ogni marchio, gli appassionati di truffe scrivono istruzioni e linee guida per aiutare i neofiti a iscriversi alle piattaforme straniere e a comunicare con le vittime nella loro lingua madre.

Parte 5. Come combattere i Classiscam?

I Classiscam di lingua russa stanno migrando in Europa e negli Stati Uniti per guadagnare di più e ridurre il rischio di essere scoperti. Per combattere la truffa, le aziende che offrono servizi di consegna e che possiedono siti web di annunci gratuiti devono intensificare gli sforzi e utilizzare tecnologie avanzate di protezione dai rischi digitali per individuare e sgominare rapidamente i gruppi criminali.

Raccomandazioni per i marchi

• A differenza della Russia, dove i servizi di consegna, gli annunci gratuiti e i siti web di affitto di immobili sono stati i primi a subire le conseguenze di Classiscam, la stragrande maggioranza degli utenti e degli addetti ai servizi di sicurezza delle aziende internazionali non è ancora pronta a contrastare questi schemi di frode.
• Le classiche tecniche di monitoraggio e blocco non sono più sufficienti per contrastare truffe così avanzate. È invece fondamentale identificare e bloccare le infrastrutture avversarie utilizzando sistemi di protezione dai rischi digitali basati sull'intelligenza artificiale (maggiori dettagli su: https: //www.group-ib.com/digital-risk-protection.html), i cui database si arricchiscono regolarmente di informazioni sulle infrastrutture avversarie, sulle tecniche, sulle tattiche e sui nuovi schemi di frode.
  - Utilizzare sistemi specializzati di protezione dal rischio digitale che aiutino a rilevare in modo proattivo nuovi domini falsi, pubblicità fraudolente e pagine di phishing.
  - Assicuratevi che i forum clandestini siano costantemente controllati alla ricerca di informazioni sui tentativi di utilizzare il vostro marchio per scopi illegali.
  - Analizzare gli attacchi di phishing per attribuirli a un determinato gruppo criminale, scoprire le identità dei truffatori e consegnare i responsabili alla giustizia.
• Se voi o la vostra azienda siete stati vittime di una frode, contattate immediatamente le forze dell'ordine e informate il team di assistenza tecnica del sito web dell'accaduto, condividendo tutta la corrispondenza che avete avuto con i truffatori. Potete segnalare qualsiasi frode al CERT-GIB 24/7 qui o inviando un'e-mail a response@cert-gib.com.

Raccomandazioni per gli utenti

• Prima di inserire i dati della carta di pagamento in qualsiasi modulo, controllate due volte l'URL e cercatelo su Google per vedere quando è stato creato. Se il sito ha solo un paio di mesi, è molto probabile che si tratti di una truffa o di una pagina di phishing. Fidatevi solo dei siti web ufficiali.
• I grandi sconti sull'elettronica possono essere solo questo: troppo belli per essere veri. È probabile che indichino un prodotto esca o una pagina di phishing creata dai truffatori. Fate attenzione.
• Quando utilizzate i servizi di noleggio o vendita di beni nuovi e usati, non passate ai messenger. Mantenete tutte le comunicazioni nella chat ufficiale.
• Non ordinate merci o accettate accordi che prevedano una transazione prepagata. Pagate solo dopo aver ricevuto la merce e aver verificato che tutto funzioni correttamente.

Questo articolo è stato scritto da Evgeny Ivanov, responsabile dell'unità di rilevamento e risposta del CERT-GIB e da Yakov Kravtsov, vice responsabile dei progetti speciali del team di protezione dai rischi digitali di Group-IB.

È stato pubblicato in precedenza da Group-IB (link: https://www.group-ib.com/blog/classiscam).