În interiorul Classiscam: O rețea rusească de fraudă care fură bani și date de plată

Escrocii vorbitori de limbă rusă au vizat în masă utilizatorii de piețe și anunțuri. Echipa de intervenție în caz de urgență informatică a Group-IB (CERT-GIB) și specialiștii în protecția împotriva riscurilor digitale au denumit schema "Classiscam" după ce au fost martori pentru prima dată în Rusia în vara anului 2019. Activitatea de vârf a fost înregistrată în primăvara anului 2020: aceasta a fost atribuită pandemiei Covid-19 și trecerii rezultate la munca la distanță și creșterii numărului de cumpărături online și a utilizării serviciilor de curierat. În vara anului 2020, CERT-GIB a eliminat 280 de pagini de phishing Classiscam care ofereau servicii de curierat false, iar până în decembrie acest număr crescuse de 10 ori și depășise 3.000 de pagini.

Investigația, care a durat mai multe luni, a avut ca rezultat raportul privind migrația Classiscammers din Rusia în Europa și Statele Unite.

Mai mult de 40 de grupuri infracționale, dintre care 20 de grupuri mari, vizează în prezent utilizatori și mărci din Bulgaria, Republica Cehă, Franța, Kazahstan, Kirghizia, Polonia, România, Ucraina, Statele Unite și Uzbekistan. Se crede că toate grupurile infracționale care recurg la acest sistem de fraudă obțin peste 6 milioane de dolari pe an, sumă care este posibil să crească.

Povestea a început într-o seară de aprilie din 2020, când Evgeny Ivanov era de serviciu la CERT-GIB. El era prin cererile și mesajele clienților, dintre care multe erau plângeri ale utilizatorilor cu privire la un serviciu de livrare popular.

După ce a analizat plângerile și informațiile împărtășite de utilizatori, a devenit clar ce aveau în comun toate resursele:

• Erau copii ale unor site-uri oficiale.
• Paginile de plată de pe diverse servicii false erau identice cu cele reale, cu excepția logo-urilor.
• Unele exemple de subdomenii de site-uri web conțineau mai mult de o pagină de phishing.

Am decis să investigăm incidentul mai în detaliu și am dat peste un anunț care căuta să recruteze membri într-o înșelătorie. Informațiile pe care le-am găsit au fost surprinzătoare chiar și pentru noi, o echipă de analiști care credeau că le-au văzut pe toate. Escrocheria părea extrem de amplă, iar autorii păreau suficient de aroganți încât să creadă că pot scăpa basma curată.

În prima parte a investigației noastre, am adunat detalii și am documentat cu atenție tot ce se referea la schemă și la participanții săi: tendințe, comentarii pe forumuri, capturi de ecran de plată, feedback și canale Telegram deschise. Am examinat profilurile administratorilor și ale lucrătorilor de pe forumuri și am descoperit conexiuni cu ajutorul instrumentului de analiză a rețelelor grafice al Group-IB. Reclamațiile utilizatorilor care includeau corespondența cu escrocii ne-au ajutat foarte mult în investigația noastră.

Să ne uităm la ceea ce am găsit.

Partea 1. Classiscam: Etape și descriere

În primele etape ale înșelăciunii, escrocii au folosit o metodă relativ simplă: au creat anunțuri momeală pe piețe și pe anunțuri clasificate și au folosit tehnici de inginerie socială pentru a convinge utilizatorii să plătească pentru bunuri prin transfer de bani pe carduri bancare. Escrocii au folosit toate trucurile tipice: prețuri mici, reduceri, cadouri, timp limitat pentru a face cumpărături, vorbind despre condițiile "primul venit, primul servit" și alte tactici similare. Diferite grupuri au apărut și au dispărut, dar un lucru a rămas constant: escrocii și-au primit banii, în timp ce utilizatorii nu și-au primit bunurile.

Proprietarii de platforme au reacționat introducând "garanții": sisteme electronice de securitate pentru plățile online, în cadrul cărora platforma "îngheață" transferul de bani până când cumpărătorul primește bunurile. Vânzătorul primea plata numai după ce cumpărătorul declara că nu are nicio reclamație. În plus, sistemele de securitate ale platformei au blocat linkurile către paginile de phishing trimise de escroci.

În cele din urmă, escrocii au găsit o modalitate de a ocoli măsurile de securitate. Aceștia au folosit instrumente automate pentru a genera pagini de phishing și au pus la punct mecanismul de fraudă. Să examinăm în detaliu modul în care funcționează schema.

• Oferte prea bune pentru a fi adevărate

După ce înregistrează conturi noi sau le utilizează pe cele compromise pe site-urile de anunțuri gratuite, escrocii postează oferte prea bune pentru a fi adevărate: bunuri la prețuri mici, destinate diferitelor categorii de public țintă. Printre mărfurile "de vânzare" se numără aparate foto, console de jocuri, laptopuri, smartphone-uri, drujbe, sisteme de sonorizare auto, mașini de cusut, obiecte de colecție, accesorii de pescuit, băuturi sportive și multe altele.

• Contact cu victimele

După ce utilizatorii îi contactează pe escroci prin intermediul sistemului de chat al platformei online, escrocii sugerează trecerea la mesageri precum WhatsApp și Viber pentru a discuta detaliile achiziției și ale livrării.

• Pregătirea tranzacției

În messenger, escrocii cer victimei numele complet, adresa și numărul de telefon, pentru a completa, se presupune, un formular de livrare pe site-ul web al curierului.

• Plata prin intermediul unei resurse de phishing

În continuare, aceștia trimit utilizatorului linkuri către o resursă de phishing care imită perfect site-ul oficial al unui serviciu de curierat popular. Legătura direcționează către o pagină care prezintă toate detaliile furnizate de victimă, căreia i se cere să le verifice și apoi să finalizeze plata.

• O rambursare care nu vine niciodată

Unii oameni cad victime ale înșelăciunii de două ori - sunt păcăliți să solicite o rambursare care nu se face niciodată. După un timp, cumpărătorul este informat că a avut loc un incident la oficiul poștal. Escrocii inventează diverse povești: de exemplu, că un angajat al oficiului poștal a fost prins la furat și că poliția a confiscat bunurile, astfel încât cumpărătorul trebuie să completeze o cerere de rambursare. Bineînțeles, în loc să fie creditată, suma este debitată a doua oară de pe cardul victimei.

• Escrocherie inversă

În cele din urmă, a apărut o nouă variantă a escrocheriei în cadrul căreia escrocii jucau rolul cumpărătorilor, spre deosebire de cel al vânzătorilor.

Așa-zișii lucrători caută anunțuri de vânzare de bunuri pe site-urile de anunțuri gratuite. Printre condițiile pe care trebuie să le îndeplinească un anunț se numără dorința vânzătorului de a fi contactat telefonic și de a-și comunica numărul de telefon, iar bunurile să fie disponibile pentru livrare.

Escrocul contactează vânzătorul prin intermediul unui messenger terț popular, ocolind astfel sistemul de chat sigur al platformei online, și îl întreabă pe vânzător dacă bunurile mai sunt disponibile.

Escrocul pretinde apoi că se angajează să cumpere și să livreze și utilizează un robot automatizat Telegram pentru a genera o pagină de phishing cu numele real, fotografia și prețul bunurilor.

Pagina de phishing este gata în câteva minute și poate fi trimisă victimei-vânzător prin intermediul mesagerului, explicând că totul a fost plătit și că vânzătorul trebuie să verifice toate detaliile. Bineînțeles, pentru a primi plata, vânzătorul trebuie să introducă apoi datele cardului său bancar.

O escrocherie de amploare: închirierea de proprietăți și folosirea în comun a mașinilor

În prezent, escrocii au la dispoziție o gamă largă de mărci de servicii de livrare din care pot alege pentru a le folosi în escrocheriile de phishing. Cu toate acestea, în ultima vreme, aceștia au devenit interesați și de site-urile web utilizate pentru a posta anunțuri care oferă mașini și piese auto, electronice, închirieri de proprietăți și servicii de ride-sharing.

Escrocilor nu le pasă de ceea ce oferă o platformă, fie că este vorba de închirierea de proprietăți sau de vânzarea de biciclete. Ceea ce îi interesează este faptul că site-ul web oferă utilizatorilor posibilitatea de a comunica intern și de a încheia tranzacții "sigure" în cadrul site-ului însuși, ceea ce face posibilă înlocuirea linkului final cu unul de pe un domeniu fals, dar cu o denumire similară, pentru a finaliza plata.

Aceleași grupuri care au creat site-uri web false imitând servicii de curierat populare au fost implicate în atacuri asupra serviciilor de închiriere de proprietăți. Atacurile asupra site-urilor de rezervări hoteliere au devenit mai frecvente în timpul vacanței de vară, când oamenii au putut călători doar în Rusia. După vară, escrocii și-au mutat atenția asupra serviciilor de închiriere de proprietăți. Nu putem exclude concurența internă între grupurile infracționale, care le motivează să caute oportunități de a face bani în moduri noi.

Partea 2. Grupurile infracționale

Echipa Group-IB a descoperit mai multe grupuri specializate în acest tip de fraudă.

Componența unui grup infracțional tipic:

• Admins (aka topic starter), organizatorul grupului sau administratorul, care este responsabil pentru software-ul și performanța sistemului de plată, pentru furnizarea de asistență utilizatorilor și pentru distribuirea fondurilor;
• "lucrători" sau "spammeri" angajați, a căror sarcină este de a înregistra conturi de o zi pe site-uri de anunțuri gratuite, de a crea anunțuri momeală pe baza unor șabloane gata făcute, de a comunica cu victimele prin intermediul platformelor de chat și/sau al mesagerilor și de a trimite linkuri de phishing victimelor;
• așa-numiții "callers" sau "refunders", care joacă rolul de agenți de asistență pentru clienți ai serviciilor de curierat. După ce au dobândit încrederea victimei, aceștia sugerează organizarea unei rambursări, folosind adesea aceeași resursă falsă. Ca urmare, cardul victimei este debitat a doua oară.
• În timp ce investigam forumurile, am ajuns la concluzia că există zeci de astfel de grupări infracționale, care se străduiesc toate să își extindă afacerile și să atragă noi victime.

Una dintre cele mai mari grupări criminale, de exemplu, care se autointitulează Dreamer Money Gang (DMG), angajează lucrători prin intermediul roboților Telegram și promite oportunități de formare, "cele mai bune domenii de pe piață" și plăți rapide fără dobânzi ascunse. DMG câștigă în jur de 3.000 de dolari pe zi.

Veniturile unui alt grup infracțional au crescut vertiginos la începutul anului 2020: de la 10 600 de dolari (ianuarie) la 47 320 de dolari (februarie), la 83 825 de dolari (martie) și la 120 328 de dolari (aprilie).

V-ați întrebat vreodată cum își țin escrocii conturile financiare?

Toate afacerile și tranzacțiile încheiate de lucrători sunt afișate într-un bot Telegram: suma, numărul plății și numele de utilizator al lucrătorului.

Unul dintre roboții de chat conține numeroase transferuri pentru sume cuprinse între 100 și 900 de dolari. Banii sunt plătiți mai întâi în contul administratorului, care distribuie apoi veniturile între restul membrilor grupului.

De obicei, lucrătorii primesc 70-80% din suma tranzacției sub formă de criptomonedă, iar administratorii plătesc rapid banii în portofelele lor de criptomonedă. Administratorii păstrează, de obicei, în jur de 20-30% din venit.

Escrocheriile care implică "rambursări" sunt efectuate de așa-numiții "callers" și "refunders", care joacă rolul de agenți de asistență pentru clienți ai serviciilor de curierat. După ce contactează victima prin telefon sau prin messenger, aceștia se oferă să proceseze rambursarea, ceea ce în realitate înseamnă că cardul victimei este debitat a doua oară.

Pentru serviciile lor, "apelanții" sunt plătiți fie cu o sumă fixă, fie cu un procent din suma furată, de obicei între 5% și 20%. Lucrătorii joacă rareori acest rol, deoarece acesta necesită abilități de specialitate, inclusiv cunoștințe aprofundate ale tehnicilor de inginerie socială, o voce clară și capacitatea de a răspunde rapid chiar și la cele mai neașteptate întrebări pe care le poate avea un cumpărător îndoielnic.

După ce au analizat mesajele privind plățile în roboții de chat, analiștii Group-IB au realizat că 20 din cele 40 de grupuri active se concentrează pe Europa și SUA. Acestea câștigă în medie în jur de 60.000 de dolari pe lună, deși veniturile pot varia foarte mult de la un grup la altul. În total, se estimează că veniturile lunare totale ale celor mai active 40 de grupuri criminale se ridică la cel puțin 522.731 de dolari pe lună.

Partea a 3-a. Automatizarea și extinderea

Pe lângă faptul că recurg la fraude care implică tehnici de inginerie socială, escrocii trebuie să rezolve și probleme tehnice. Ei trebuie să: (i) să înregistreze domenii care sună similar cu numele de domenii ale companiilor de livrare și să creeze pagini de phishing, (ii) să împiedice apariția erorii 900 la serviciile de plată, adică atunci când o bancă blochează o operațiune sau un card pe care escrocii încearcă să transfere bani și (iii) să se înscrie pentru conturi noi și să cumpere numere de telefon noi. În plus, escrocii trebuie să recruteze noi lucrători, să creeze noi resurse de phishing, să ofere asistență tehnică și multe altele.

Cele mai multe dintre sarcinile de mai sus pot fi realizate cu ajutorul roboților Telegram. Datorită acestora din urmă, escrocii nu mai trebuie să creeze pagini pentru a genera pagini de phishing, sau așa-numiții "administratori". Tot ce trebuie să facă acum lucrătorii este să arunce un link către produsul momeală în robotul de chat, care generează apoi un set complet de phishing: linkuri către serviciul de curierat, pagini de plată și de rambursare.

În plus, Telegram are propria sa echipă de asistență 24/7 și există magazine online care vând tot ceea ce ar putea avea nevoie un escroc: conturi pe site-uri de publicitate, telefoane, portofele electronice, e-mailuri cu țintă precisă, vânzări de alte escrocherii și multe altele - chiar și servicii juridice, în cazul în care escrocul are nevoie de un avocat.

În prezent, peste 5.000 de escroci sunt înregistrați în 40 dintre cele mai active chat-uri.

Există mai mult de zece tipuri de roboți Telegram care creează pagini care imită mărci din Bulgaria, Republica Cehă, Franța, Polonia și România. Pentru fiecare marcă și pagină, escrocii scriu scripturi de tip șablon și instrucțiuni care îi ajută pe lucrătorii începători să se înscrie pe noi platforme și să comunice cu victimele în limba locală.

Ca urmare, paginile de phishing s-au îmbunătățit din punct de vedere calitativ și au devenit mai ușor de creat, iar escrocii primesc din ce în ce mai mult sprijin. Toți factorii de mai sus au făcut ca frauda pe site-urile de anunțuri să crească vertiginos, iar tot mai mulți escroci doresc să se implice într-o activitate atât de ușoară, dar profitabilă.

Mai jos este exemplul unuia dintre chat-bots Telegram:

Muncitorii începători se înregistrează prin intermediul roboților Telegram, pe forumurile subterane sau direct prin intermediul administratorului (TC). Există atât chat-uri de grup deschise, cât și închise.

Să ne uităm la chat-urile închise. Pentru a se implica într-o escrocherie, este necesar să se parcurgă o procedură de recrutare prin intermediul unui bot Telegram, în cadrul căreia candidatului i se pun întrebări despre experiența sa în domeniul fraudei și în alte domenii, despre locul unde a aflat despre escrocherie și dacă are un profil pe vreun forum subteran. Examinarea profilurilor de pe forumurile subterane se face, cel mai probabil, pentru a verifica candidații și reputația acestora și pentru a verifica dacă au fost implicați în vreo procedură de arbitraj, pe care escrocii o folosesc pentru a soluționa litigii, cum ar fi faptul că un administrator (TC) nu a plătit unui lucrător suma convenită pentru o schemă Classiscam.

După ce lucrătorii au finalizat procesul de înregistrare, aceștia primesc acces la trei chat-uri: un chat de informare (detalii despre proiect, planuri, instrucțiuni), un chat pentru lucrători (escrocii comunică între ei, își împărtășesc experiențele și discută despre proiecte) și un chat financiar (rapoarte de plată). Este demn de remarcat faptul că chat-urile despre plăți sunt disponibile public - este probabil ca acestea să fie folosite în scopuri publicitare pentru a atrage noi candidați.

Sunt păstrate statistici privind plățile lucrătorilor, iar cei care câștigă cel mai mult sunt incluși într-o listă publică a celor care câștigă cel mai mult. Aceștia primesc, de asemenea, acces la un chat VIP pentru lucrătorii de top și la scenarii VIP (de exemplu, pentru a lucra în Statele Unite sau în Europa), care nu sunt disponibile pentru escrocii mai puțin fructuoși.

În plus, există chat-uri separate pentru apelanți, în care aceștia pot găsi instrucțiuni și orientări despre cum să vorbească cu victimele.

Partea a 4-a. Exportul Classiscam

Group-IB și companiile care dețin servicii de livrare și platforme de publicitate au luptat activ împotriva escrocilor, ceea ce în primăvara anului 2020 a determinat grupurile criminale să înceapă să migreze din Rusia în țările CSI și europene. Drept urmare, escrocii au început să caute noi piețe de nișă, așa cum s-a întâmplat cu apariția site-urilor de phishing care imitau servicii de închiriere de proprietăți și case de pariuri. Spațiul internetului rusesc a devenit din nou un teren de testare și i-a ajutat pe escroci să își extindă afacerile infracționale pe scena internațională.

Până în 2020 se înregistraseră deja atacuri asupra unor mărci străine - software-ul pentru generarea de pagini de phishing era disponibil în comunități închise pentru escrocii cu experiență profesională, deși acestea erau cazuri rare și izolate.

La jumătatea lunii februarie 2020, pe forumuri a început să apară un anunț pentru roboți Telegram accesibili gratuit, care promitea posibilitatea de a genera formulare de phishing pentru versiunea ucraineană a OXL, un site de anunțuri gratuite.

În mai 2020, alături de versiunea ucraineană a site-ului OXL a apărut și o versiune românească a acestuia. La începutul lunii august, versiunile bulgară și kazahă ale site-ului OXL au apărut în bots Telegram deschise.

Escrocii nu s-au limitat la lansarea schemei în țările CSI. La sfârșitul lunii august, o escrocherie care implica popularul site francez de anunțuri gratuite Leboncoin a apărut în bots Telegram populare.

La scurt timp după aceea, a apărut și versiunea poloneză a escrocheriei de pe site-ul OXL.

Mărcile europene erau adăugate în mod activ la roboții Telegram. La sfârșitul lunii noiembrie, au apărut formulare de phishing pe site-ul polonez de comerț electronic Allegro și pe site-ul ceh de anunțuri gratuite Sbazar.

Este demn de remarcat faptul că escrocheriile care implică mărci europene și americane sunt mai dificil de realizat decât în țările CSI. Escrocii vorbitori de limbă rusă întâmpină probleme de limbă și dificultăți în verificarea conturilor pe site-urile web, ceea ce necesită cumpărarea de documente personale furate și numere de telefon pe forumuri și comunități. Administratorii întâmpină dificultăți în conectarea cardurilor de credit și de debit în valută străină la roboții Telegram. Pentru acest lucru, ei trebuie să angajeze "money mules" experimentați - proxy care primesc și retrag bani.

Pentru fiecare marcă, pasionații de escrocherii scriu instrucțiuni și ghiduri pentru a-i ajuta pe începători să se înscrie pe platformele străine și să comunice cu victimele în limba lor maternă.

Partea 5. Cum să lupți împotriva Classiscam?

Classiscammerii vorbitori de limbă rusă migrează în Europa și SUA ca o modalitate de a face mai mulți bani și de a reduce riscul de a fi prinși. Combaterea escrocheriei necesită ca societățile care oferă servicii de livrare și care dețin site-uri de anunțuri gratuite să își intensifice eforturile și să utilizeze tehnologii avansate de protecție împotriva riscurilor digitale pentru a detecta rapid și a doborî grupurile infracționale.

Recomandări pentru mărci

• Spre deosebire de Rusia, unde serviciile de livrare, anunțurile gratuite și site-urile de închiriere de proprietăți au fost primele care au avut de suferit de pe urma Classiscam, un număr covârșitor de utilizatori și de angajați ai serviciilor de securitate din cadrul companiilor internaționale nu sunt încă pregătiți să contracareze astfel de scheme de fraudă.
• Tehnicile clasice de monitorizare și blocare nu mai sunt suficiente pentru a contracara astfel de escrocherii avansate. În schimb, este esențial să se identifice și să se blocheze infrastructura adversă cu ajutorul sistemelor de protecție împotriva riscurilor digitale bazate pe inteligență artificială (mai multe detalii la: https: //www.group-ib.com/digital-risk-protection.html), ale căror baze de date sunt îmbogățite periodic cu informații despre infrastructura adversă, tehnici, tactici și noi scheme de fraudă.
  - Utilizați sisteme specializate de protecție împotriva riscurilor digitale care ajută la detectarea proactivă a noilor domenii false, a publicității frauduloase și a paginilor de phishing.
  - Asigurați-vă că forumurile clandestine sunt verificate în permanență pentru a detecta orice informații despre încercările de utilizare a mărcii dumneavoastră în scopuri ilegale.
  - Analizați atacurile de phishing pentru a le atribui unui anumit grup infracțional, pentru a descoperi identitățile escrocilor și pentru a-i aduce pe făptași în fața justiției.
• Dacă dvs. sau compania dvs. ați căzut victimă a unei fraude, contactați imediat poliția și informați echipa de asistență tehnică a site-ului web despre incident, împărtășind orice corespondență pe care ați avut-o cu escrocii. Puteți raporta orice fraudă la CERT-GIB 24/7 aici sau trimițând un e-mail la response@cert-gib.com.

Recomandări pentru utilizatori

• Înainte de a introduce datele cardului de plată în orice formular, verificați de două ori URL-ul și căutați-l pe Google pentru a vedea când a fost creat. Dacă site-ul este vechi de doar câteva luni, este foarte probabil să fie o escrocherie sau o pagină de phishing. Aveți încredere doar în site-urile oficiale.
• Reducerile mari la electronice pot fi doar atât: prea bune pentru a fi adevărate. Este foarte probabil să indice un produs momeală sau o pagină de phishing creată de escroci. Fiți atenți.
• Atunci când utilizați servicii de închiriere sau de vânzare de bunuri noi și folosite, nu treceți la mesagerie. Păstrați-vă toată comunicarea în chat-ul oficial.
• Nu comandați bunuri și nu acceptați oferte care implică o tranzacție preplătită. Plătiți numai după ce primiți bunurile și vă asigurați că totul funcționează corect.

Acest articol a fost scris de Evgeny Ivanov, șeful Unității de detecție și răspuns CERT-GIB și Yakov Kravtsov, șef adjunct al proiectelor speciale, echipa de protecție împotriva riscurilor digitale a Grupului-IB.

Acesta a fost publicat anterior de Group-IB (link: https://www.group-ib.com/blog/classiscam)