Por dentro da Classiscam: Uma rede russa de fraude que rouba dinheiro e dados de pagamento

Os burlões que falam russo têm visado os utilizadores de mercados e classificados em grande escala. A Equipa de Resposta a Emergências Informáticas do Grupo BCI (CERT-GIB) e os especialistas em proteção contra riscos digitais chamaram ao esquema "Classiscam" depois de o terem observado pela primeira vez na Rússia no verão de 2019. O pico de atividade foi registado na primavera de 2020: foi atribuído à pandemia de Covid-19 e à consequente mudança para o trabalho remoto e ao aumento das compras em linha e da utilização de serviços de correio. No verão de 2020, o CERT-GIB retirou 280 páginas de phishing Classiscam que ofereciam falsos serviços de correio e, em dezembro, esse número tinha aumentado 10 vezes e ultrapassado as 3000 páginas.

A investigação, que durou vários meses, resultou no relatório sobre os Classiscammers que migraram da Rússia para a Europa e os Estados Unidos.

Mais de 40 grupos criminosos, incluindo 20 grandes grupos, visam agora utilizadores e marcas na Bulgária, República Checa, França, Cazaquistão, Quirguizistão, Polónia, Roménia, Ucrânia, Estados Unidos e Uzbequistão. Pensa-se que todos os grupos criminosos que recorrem a este esquema de fraude ganham mais de 6 milhões de dólares por ano, valor que tende a aumentar.

A história começou numa noite de abril de 2020, quando Evgeny Ivanov estava de serviço no CERT-GIB. Estava a analisar pedidos e mensagens de clientes, muitas das quais eram queixas de utilizadores sobre um serviço de entregas popular.

Depois de analisar as queixas e as informações partilhadas pelos utilizadores, tornou-se claro o que todos os recursos tinham em comum:

• Eram cópias de sítios Web oficiais.
• As páginas de pagamento de vários serviços falsos eram idênticas às verdadeiras, à exceção dos logótipos.
• Alguns exemplos de subdomínios de sítios Web continham mais do que uma página de phishing.

Decidimos investigar o incidente com mais pormenor e deparámo-nos com um anúncio que procurava recrutar membros para uma fraude. A informação que encontrámos foi surpreendente até para nós, uma equipa de analistas que pensava já ter visto tudo. O esquema parecia extremamente abrangente e os autores pareciam suficientemente arrogantes para acreditar que podiam safar-se.

Durante a primeira parte da nossa investigação, recolhemos detalhes e documentámos cuidadosamente tudo sobre o esquema e os seus participantes: tendências, comentários em fóruns, capturas de ecrã de pagamentos, feedback e canais abertos do Telegram. Examinámos os perfis dos administradores e dos trabalhadores nos fóruns e descobrimos ligações utilizando a ferramenta de análise de rede gráfica do Group-IB . As queixas dos utilizadores, que incluíam correspondência com os burlões, ajudaram muito na nossa investigação.

Vamos ver o que descobrimos.

Parte 1. Classiscam: Fases e descrição

Nas fases iniciais do esquema, os burlões utilizaram um método relativamente simples: criaram anúncios-isco em mercados e classificados e utilizaram técnicas de engenharia social para convencer os utilizadores a pagar os bens através da transferência de dinheiro para cartões bancários. Os burlões usavam todos os truques típicos: preços baixos, descontos, ofertas, tempo limitado para efetuar compras, falar de condições de chegada e outras tácticas semelhantes. Diferentes grupos surgiram e desapareceram, mas uma coisa permaneceu constante: os burlões receberam o seu dinheiro, enquanto os utilizadores não receberam os seus bens.

Os proprietários das plataformas responderam com a introdução de "garantias": sistemas electrónicos de segurança para pagamentos em linha, no âmbito dos quais a plataforma "congelava" a transferência de dinheiro até o comprador receber a mercadoria. O vendedor só receberia o pagamento depois de o comprador declarar que não tinha quaisquer queixas. Além disso, os sistemas de segurança da plataforma bloqueavam as ligações a páginas de phishing enviadas pelos burlões.

Os burlões acabaram por encontrar uma forma de contornar as medidas de segurança. Utilizaram ferramentas automatizadas para gerar páginas de phishing e aperfeiçoaram o mecanismo de fraude. Vamos examinar em pormenor como funciona o esquema.

• Ofertas demasiado boas para serem verdadeiras

Depois de registarem novas contas ou de utilizarem as contas comprometidas em sites de classificados gratuitos, os burlões publicam ofertas demasiado boas para serem verdadeiras: bens a preços baixos destinados a vários públicos-alvo. A mercadoria "à venda" inclui máquinas fotográficas, consolas de jogos, computadores portáteis, smartphones, motosserras, sistemas de som para automóveis, máquinas de costura, artigos de coleção, acessórios de pesca, bebidas desportivas, etc.

• Contacto com as vítimas

Depois de os utilizadores contactarem os burlões através do sistema de conversação da plataforma online, os burlões sugerem a utilização de messengers como o WhatsApp e o Viber para discutir os detalhes da compra e da entrega.

• Preparar o negócio

No messenger, os burlões pedem à vítima o seu nome completo, morada e número de telefone, alegadamente para preencher um formulário de entrega no site da transportadora.

• Pagamento através de recurso de phishing

Em seguida, enviam ao utilizador ligações para um recurso de phishing que imita perfeitamente o sítio Web oficial de um serviço de correio popular. A ligação conduz a uma página que mostra todos os dados fornecidos pela vítima, que é convidada a verificá-los e a concluir o pagamento.

• Um reembolso que nunca chega

Algumas pessoas são vítimas do esquema duas vezes: são enganadas e pedem um reembolso que nunca é efectuado. Passado algum tempo, o comprador é informado de que houve um incidente nos correios. Os burlões inventam várias histórias: por exemplo, que um funcionário dos correios foi apanhado a roubar e que a polícia confiscou os bens, pelo que o comprador tem de preencher um pedido de reembolso. Naturalmente, em vez de ser creditado, o montante é debitado do cartão da vítima pela segunda vez.

• Fraude inversa

Eventualmente, surgiu uma nova variante da burla, em que os burlões desempenhavam o papel de compradores e não de vendedores.

Os chamados trabalhadores procuram anúncios de venda de bens em sítios Web de classificados gratuitos. As condições que um anúncio deve preencher incluem o facto de o vendedor querer ser contactado por telefone e partilhar o seu número de telefone, e de o bem estar disponível para entrega.

O burlão contacta o vendedor através de um mensageiro popular de terceiros, contornando assim o sistema de conversação seguro da plataforma em linha, e pergunta ao vendedor se os bens ainda estão disponíveis.

O burlão afirma então comprometer-se com a compra e a entrega e utiliza um bot automatizado do Telegram para criar uma página de phishing com o nome verdadeiro, a fotografia e o preço dos produtos.

A página de phishing fica pronta em minutos e pode ser enviada para a vítima-vendedor através do messenger, explicando que tudo foi pago e que o vendedor deve verificar todos os detalhes. Naturalmente, para receber o pagamento, o vendedor deve introduzir os dados do seu cartão bancário.

Uma fraude de grande alcance: aluguer de imóveis e partilha de boleias

Atualmente, os autores de fraudes têm à sua disposição uma vasta gama de marcas de serviços de entrega para utilizar nas suas fraudes de phishing. No entanto, recentemente, também se interessaram por sítios Web utilizados para publicar anúncios de automóveis e peças de automóveis, eletrónica, aluguer de imóveis e serviços de partilha de boleias.

Os burlões não se importam com o que uma plataforma oferece, seja aluguer de imóveis ou venda de bicicletas. O que lhes interessa é que o sítio Web ofereça aos utilizadores a possibilidade de comunicarem internamente e concluírem negócios "seguros" dentro do próprio sítio, o que permite substituir a ligação final por uma de um domínio falso, mas com um som semelhante, para concluir o pagamento.

Os mesmos grupos que criaram sítios Web falsos que imitavam serviços de correio populares estiveram envolvidos em ataques a serviços de aluguer de imóveis. Os ataques a sítios Web de reserva de hotéis tornaram-se mais comuns durante as férias de verão, quando as pessoas só podiam viajar dentro da Rússia. Depois do verão, os burlões mudaram o seu foco para os serviços de aluguer de imóveis. Não podemos excluir que a concorrência interna entre grupos criminosos os motive a procurar oportunidades de ganhar dinheiro de novas formas.

Parte 2. Grupos criminosos

A equipa do Grupo-IB descobriu vários grupos especializados neste tipo de fraude.

Composição de um grupo criminoso típico:

• Administradores (também conhecidos como iniciadores de tópicos), organizadores de grupos ou administradores, que são responsáveis pelo software e pelo desempenho do sistema de pagamento, pelo apoio aos utilizadores e pela distribuição de fundos;
• "Trabalhadores" ou "spammers" contratados, cuja função é registar contas de um dia em sítios Web de classificados gratuitos, criar anúncios de isco com base em modelos prontos, comunicar com as vítimas através de sistemas de conversação em plataformas e/ou mensageiros e enviar ligações de phishing às vítimas;
• Os chamados "chamadores" ou "reembolsadores", que desempenham o papel de agentes de apoio ao cliente dos serviços de correio. Depois de ganharem a confiança da vítima, sugerem a organização de um reembolso, muitas vezes utilizando o mesmo recurso falso. Como resultado, o cartão da vítima é debitado uma segunda vez
• Durante a investigação dos fóruns, concluímos que existem dezenas de grupos criminosos deste tipo, todos eles empenhados em expandir o seu negócio e atrair novas vítimas.

Um dos maiores grupos criminosos, por exemplo, que se auto-intitula Dreamer Money Gang (DMG), contrata trabalhadores através de bots do Telegram e promete oportunidades de formação, os "melhores domínios do mercado" e pagamentos rápidos sem juros ocultos. O DMG ganha cerca de 3.000 dólares por dia.

O rendimento de outro grupo criminoso disparou no início de 2020: de 10 600 dólares (janeiro) para 47 320 dólares (fevereiro), 83 825 dólares (março) e 120 328 dólares (abril).

Já se perguntou como é que os burlões mantêm as contas financeiras?

Todos os negócios e transacções concluídos pelos trabalhadores são exibidos num bot do Telegram: o montante, o número do pagamento e o nome de utilizador do trabalhador.

Um dos chatbots contém numerosas transferências de quantias que vão de 100 a 900 dólares. O dinheiro é primeiro depositado na conta do administrador, que depois distribui o rendimento pelos restantes membros do grupo.

Os trabalhadores recebem normalmente 70-80% do montante da transação em criptomoeda, com os administradores a depositarem rapidamente o dinheiro nas suas carteiras de criptomoeda. Os administradores geralmente ficam com cerca de 20-30% do rendimento.

As burlas que envolvem "reembolsos" são levadas a cabo pelos chamados "chamadores" e "reembolsadores", que desempenham o papel de agentes de apoio ao cliente dos serviços de correio. Depois de contactarem a vítima por telefone ou por mensageiro, oferecem-se para processar o reembolso, o que na realidade significa que o cartão da vítima é debitado uma segunda vez.

Pelos seus serviços, os "chamadores" recebem um montante fixo ou uma percentagem do montante roubado, normalmente entre 5% e 20%. Os trabalhadores raramente desempenham este papel, uma vez que exige competências especializadas, incluindo um conhecimento profundo das técnicas de engenharia social, uma voz clara e a capacidade de responder rapidamente às perguntas mais inesperadas que um comprador duvidoso possa ter.

Depois de analisar mensagens relativas a pagamentos em chatbots, os analistas do Group-IB aperceberam-se de que 20 dos 40 grupos activos se concentram na Europa e nos EUA. Em média, ganham cerca de 60.000 dólares por mês, embora os rendimentos possam variar muito de grupo para grupo. Globalmente, estima-se que o rendimento mensal total de 40 dos grupos criminosos mais activos ascenda a, pelo menos, 522 731 dólares por mês.

Parte 3. Automatização e aumento de escala

Para além de recorrerem a fraudes que envolvem técnicas de engenharia social, os burlões também têm de resolver problemas técnicos. Eles devem: (i) registar domínios que soam semelhantes aos nomes de domínio das empresas de entregas e criar páginas de phishing, (ii) evitar que o erro 900 ocorra nos serviços de pagamento, ou seja, quando um banco bloqueia uma operação ou cartão para o qual os burlões estão a tentar transferir dinheiro, e (iii) inscrever-se em novas contas e comprar novos números de telefone. Além disso, os burlões têm de recrutar novos trabalhadores, criar novos recursos de phishing, prestar apoio técnico, etc.

A maioria das tarefas acima mencionadas pode ser efectuada utilizando bots do Telegram. Graças a este último, os burlões já não precisam de criar páginas para gerar páginas de phishing, ou os chamados "administradores". Tudo o que os trabalhadores precisam de fazer agora é colocar um link para o produto isco no chat bot, que depois gera um conjunto completo de phishing: links para o serviço de correio, pagamento e páginas de reembolso.

Além disso, o Telegram tem a sua própria equipa de apoio 24 horas por dia, 7 dias por semana, e há lojas online que vendem tudo o que um burlão pode precisar: contas em sites de publicidade, telefones, carteiras electrónicas, e-mails direccionados, vendas de outras fraudes e muito mais - até serviços jurídicos, caso o burlão precise de um advogado.

Atualmente, mais de 5.000 burlões estão registados em 40 dos chats mais activos.

Há mais de dez tipos de bots do Telegram que criam páginas que imitam marcas na Bulgária, República Checa, França, Polónia e Roménia. Para cada marca e página, os burlões escrevem modelos de guiões e instruções que ajudam os trabalhadores novatos a inscreverem-se em novas plataformas e a comunicarem com as vítimas na língua local.

Como resultado, as páginas de phishing melhoraram em qualidade e tornaram-se mais fáceis de criar, e os burlões recebem cada vez mais apoio. Todos os factores acima referidos fizeram com que a fraude nos sítios Web de classificados disparasse e cada vez mais burlões se querem envolver numa atividade tão fácil e lucrativa.

Abaixo está o exemplo de um dos chat-bots do Telegram:

Os trabalhadores novatos registam-se através de bots do Telegram, em fóruns clandestinos ou diretamente através do administrador (TC). Existem chats de grupo abertos e fechados.

Vejamos os chats fechados. Para se envolver numa burla, é necessário passar por um processo de recrutamento através de um bot do Telegram, no âmbito do qual são feitas perguntas ao candidato sobre a sua experiência em fraudes e outras áreas, sobre onde descobriu a burla e se tem um perfil em algum fórum clandestino. A análise dos perfis em fóruns clandestinos é feita, muito provavelmente, para avaliar os candidatos e a sua reputação e verificar se estiveram envolvidos em procedimentos de arbitragem, que os burlões utilizam para resolver litígios, como o facto de um administrador (TC) não pagar a um trabalhador a quantia acordada para um esquema Classiscam.

Depois de concluírem o processo de registo, os trabalhadores têm acesso a três chats: um chat de informações (detalhes sobre o projeto, planos, instruções), um chat de trabalhadores (os burlões comunicam entre si, partilham experiências e discutem projectos) e um chat financeiro (relatórios de pagamento). É importante notar que as conversas sobre pagamentos estão disponíveis ao público - é provável que sejam utilizadas para fins publicitários para atrair novos candidatos.

São mantidas estatísticas sobre os pagamentos dos trabalhadores e os que ganham mais são incluídos numa lista pública dos que ganham mais. Também têm acesso a um chat VIP para os trabalhadores de topo e a guiões VIP (por exemplo, para trabalhar nos Estados Unidos ou na Europa), que não estão disponíveis para os burlões menos frutuosos.

Além disso, existem chats separados para os autores das chamadas, nos quais podem encontrar instruções e directrizes sobre como falar com as vítimas.

Parte 4. Exportação do Classiscam

O Grupo-IB e as empresas que detêm serviços de entrega e plataformas de publicidade têm lutado ativamente contra os burlões, o que, na primavera de 2020, levou os grupos criminosos a começarem a migrar da Rússia para os países da CEI e da Europa. Consequentemente, os burlões começaram a procurar novos nichos de mercado, como aconteceu com o aparecimento de sítios Web de phishing que imitavam serviços de aluguer de imóveis e de casas de apostas. O espaço russo da Internet tornou-se mais uma vez um campo de testes e ajudou os burlões a expandir o seu negócio criminoso para o palco internacional.

Em 2020, já tinham sido registados ataques a marcas estrangeiras - o software para gerar páginas de phishing estava disponível em comunidades fechadas para burlões com experiência profissional, embora se tratasse de casos raros e isolados.

Em meados de fevereiro de 2020, começou a aparecer em fóruns um anúncio de bots do Telegram de acesso livre, prometendo a possibilidade de gerar formulários de phishing para a versão ucraniana do OXL, um sítio Web de classificados gratuitos.

Em maio de 2020, apareceu uma versão romena do sítio Web OXL, juntamente com a versão ucraniana. No início de agosto, as versões búlgara e cazaque do sítio Web OXL apareceram em bots abertos do Telegram.

Os burlões não se limitaram a lançar o esquema nos países da CEI. No final de agosto, uma fraude envolvendo o popular sítio francês de classificados grátis Leboncoin apareceu em bots populares do Telegram.

Pouco depois, apareceu também a versão polaca do esquema do site OXL.

As marcas europeias estavam a ser ativamente adicionadas aos bots do Telegram. No final de novembro, apareceram formulários de phishing no site polaco de comércio eletrónico Allegro e no site checo de classificados gratuitos Sbazar.

É de notar que as burlas que envolvem marcas europeias e norte-americanas são mais difíceis de levar a cabo do que nos países da CEI. Os burlões de língua russa deparam-se com problemas linguísticos e dificuldades na verificação de contas em sítios Web, o que exige a compra de documentos pessoais e números de telefone roubados em fóruns e comunidades. Os administradores têm dificuldade em associar cartões de crédito e de débito em moeda estrangeira aos bots do Telegram. Para isso, têm de contratar mulas de dinheiro experientes - proxies que recebem e levantam dinheiro.

Para cada marca, os entusiastas da burla escrevem instruções e directrizes para ajudar os novatos a inscreverem-se em plataformas estrangeiras e a comunicarem com as vítimas na sua língua materna.

Parte 5. Como combater o Classiscam?

Os Classiscammers de língua russa estão a migrar para a Europa e os EUA como forma de ganhar mais dinheiro e reduzir o risco de serem apanhados. Para combater a fraude, é necessário que as empresas que oferecem serviços de entrega e possuem sítios Web de classificados gratuitos intensifiquem os seus esforços e utilizem tecnologias avançadas de proteção contra riscos digitais, a fim de detetar e eliminar rapidamente os grupos criminosos.

Recomendações para as marcas

• Ao contrário da Rússia, onde os serviços de entrega, os classificados gratuitos e os sítios Web de arrendamento de imóveis foram os primeiros a sofrer nas mãos do Classiscam, um número esmagador de utilizadores e de funcionários dos serviços de segurança de empresas internacionais ainda não está preparado para combater estes esquemas de fraude.
• As técnicas clássicas de monitorização e bloqueio já não são suficientes para combater estas fraudes avançadas. Em vez disso, é crucial identificar e bloquear a infraestrutura adversária utilizando sistemas de proteção contra riscos digitais orientados para a IA (mais detalhes em: https: //www.group-ib.com/digital-risk-protection.html), cujas bases de dados são regularmente enriquecidas com informações sobre a infraestrutura adversária, técnicas, tácticas e novos esquemas de fraude.
  - Utilizar sistemas especializados de proteção contra riscos digitais que ajudem a detetar proactivamente novos domínios falsos, publicidade fraudulenta e páginas de phishing.
  - Assegurar que os fóruns clandestinos são continuamente analisados para detetar qualquer informação sobre tentativas de utilização da sua marca para fins ilegais.
  - Analisar os ataques de phishing para os atribuir a um determinado grupo criminoso, descobrir as identidades dos burlões e levar os autores à justiça.
• Se você ou a sua empresa tiverem sido vítimas de fraude, contacte imediatamente a polícia e informe a equipa de apoio técnico do sítio Web sobre o incidente, partilhando qualquer correspondência que tenha tido com os burlões. Pode denunciar qualquer fraude ao CERT-GIB 24/7 aqui ou enviando um e-mail para response@cert-gib.com

Recomendações para os utilizadores

• Antes de introduzir os dados do seu cartão de pagamento em qualquer formulário, verifique o URL e pesquise-o no Google para ver quando foi criado. Se o sítio tiver apenas alguns meses, é muito provável que se trate de uma fraude ou de uma página de phishing. Confie apenas em sítios Web oficiais.
• Grandes descontos em produtos electrónicos podem ser apenas isso: demasiado bons para serem verdade. É provável que indiquem um produto de isco ou uma página de phishing criada por burlões. Tenha cuidado.
• Quando utilizar serviços de aluguer ou de venda de bens novos e usados, não mude para os serviços de mensagens. Mantenha toda a sua comunicação no chat oficial.
• Não encomende bens nem aceite negócios que envolvam uma transação pré-paga. Pague apenas depois de receber os bens e de se certificar de que tudo está a funcionar corretamente.

Este artigo foi escrito por Evgeny Ivanov, Chefe da Unidade de Deteção e Resposta do CERT-GIB ,e Yakov Kravtsov, Chefe Adjunto de Projectos Especiais da equipa de Proteção contra Riscos Digitais do Grupo-IB.

Foi publicado anteriormente pelo Group-IB (link: https://www.group-ib.com/blog/classiscam)