Dublajlı sofistike bir hizmet olarak dolandırıcılık operasyonu klasiscam 1.5 yıldan fazla bir süre sonra şimdi Singapur’a sızdı Avrupa’ya genişleme.
Group-IB, “Meşru alıcılar gibi davranan dolandırıcılar, satıcılara listelerinden mal satın alma talebi ve nihai amacı ödeme verilerini çalmak ile yaklaşıyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
Siber güvenlik firması, operatörleri “iyi koordine edilmiş ve teknolojik olarak gelişmiş bir dolandırıcı suç ağı” olarak nitelendirdi.
Classiscam şu anlama gelir: Rusya merkezli siber suç operasyonu Bu ilk olarak 2019 yazında kaydedildi, ancak yalnızca bir yıl sonra, COVID-19 salgını sonrasında çevrimiçi alışverişteki artış nedeniyle etkinlikteki artışla aynı zamana denk geldi.
Aradı en yaygın kullanılan dolandırıcılık şeması Pandemi sırasında Classiscam, mülk kiralama, otel rezervasyonları, çevrimiçi banka havaleleri, çevrimiçi perakende satış, araç paylaşımı ve paket teslimatlarıyla ilgili pazaryerlerini ve hizmetleri kullanan kişileri hedefler.
İlk hedefler, Avrupa ve ABD’ye taşınmadan önce popüler Rus seri ilanlarının ve pazaryerlerinin kullanıcılarını içeriyordu. Bulgaristan, Çek Cumhuriyeti, Fransa, Kazakistan, Kırgızistan, Polonya, Romanya, Ukrayna, ABD ve Özbekistan.
Hileli operasyon, saldırıları gerçekleştirmek için kullanılan 169 marka ile Avrupa, Bağımsız Devletler Topluluğu (BDT) ve Orta Doğu’daki 64 ülkeyi kapsıyor. Nisan 2020’den Şubat 2022’ye kadar Classiscam’den yararlanan suçluların en az 29,5 milyon dolar yasadışı kar elde ettiği söyleniyor.
Bu kampanyayla ilgili dikkate değer olan şey, operasyonları koordine etmek ve kimlik avı ve dolandırıcılık sayfaları oluşturmak için Telegram botlarına ve sohbetlerine büyük ölçüde güvenmesidir.
Her şeyin nasıl çalıştığının özü şudur: Dolandırıcılar, popüler pazar yerlerinde ve sınıflandırılmış web sitelerinde yem reklamları yayınlar ve genellikle önemli indirimlerle oyun konsolları, dizüstü bilgisayarlar ve akıllı telefonlar sunar.
Potansiyel bir kurban, satıcıyla (yani tehdit aktörü) çevrimiçi mağaza aracılığıyla iletişime geçtiğinde, Classiscam operatörü, sahte bir ödeme sayfasına bir bağlantı göndermeden önce, WhatsApp veya Viber gibi bir üçüncü taraf mesajlaşma hizmetinde sohbete devam etmesi için hedefi aldatır. işlemi tamamlayın.
Plan, yöneticiler, çalışanlar ve arayanlardan oluşan bir hiyerarşi içerir. Yöneticiler yeni üyeler almaktan, dolandırıcılık sayfalarının oluşturulmasını otomatikleştirmekten ve yeni hesapları kaydetmekten sorumluyken, ücretsiz seri ilan web sitelerinde hesaplar oluşturan ve tuzak reklamları yerleştirenler işçilerdir.
Çalınan meblağların %70-80’ini alan işçiler, platformun sohbet sistemleri aracılığıyla kurbanlarla iletişim kurmaktan ve satın alınan mallar için ödeme yapmak için tasarlanmış kimlik avı bağlantıları göndermekten de sorumludur.
Araştırmacılar, “Çalışanlar, Classiscam dolandırıcılık planının kilit katılımcılarıdır: amaçları, kimlik avı kaynaklarına trafik çekmektir” dedi.
Kimlik avı URL’leri, yerel sınıflandırılmış web sitelerinin ödeme sayfalarını taklit eden ancak benzer etki alanlarında barındırılan Telegram botları aracılığıyla oluşturulur. Ancak bu, çalışanların yem ürünüyle olan bağlantıyı bot’a göndermesini gerektirir.
Araştırmacılar, “Meşru satıcıyla ilk temastan sonra, dolandırıcılar, satıcının teklifi hakkındaki bilgileri görüntüleyerek ve resmi sınıflandırılmış web sitesini ve URL’yi taklit ederek satıcıları karıştıran benzersiz bir kimlik avı bağlantısı oluşturur” dedi. “Dolandırıcılar ödemenin yapıldığını iddia ediyor ve kurbanı ya teslimat için ödeme yapmaya ya da ödemeyi almaya yönlendiriyor.”
Kimlik avı sayfaları, en “değerli” kartları belirlemek amacıyla kurbanın banka hesap bakiyesini kontrol etme seçeneği de içerir.
Dahası, bazı vakalar, paralarını geri almak için geri ödeme talep etmeleri için kurbanları ikinci kez arayarak kandırma girişimini içerir. Bu çağrılar, platform için teknik destek uzmanları gibi davranan yardımcı çalışanlar tarafından yapılır.
Bu senaryoda, hedefler sahte bir ödeme sayfasına götürülerek kart bilgilerinin girilmesi ve SMS ile alınan bir şifre verilerek onaylanması sağlanır. Ancak para iadesi yerine aynı tutar mağdurun kartından tekrar borçlandırılır.
Yukarıda bahsedilen çalışma şekli, bir alıcının (yani, kurbanın) bir kimlik avı ödeme bağlantısı aldığı ve parasını dolandırdığı bir satıcı dolandırıcılığı örneği olsa da, alıcı dolandırıcılıkları da mevcuttur.
Bu, bir dolandırıcının müşteri kisvesi altında meşru bir satıcıyla iletişime geçmesini ve iddiaya göre doğrulama amacıyla bir pazar yerinin kimliğine bürünerek bot tarafından oluşturulmuş bir sahte ödeme formu göndermesini gerektirir. Ancak satıcı banka kartı bilgilerini girdikten sonra ürün bedeli kadar bir tutar hesabından düşülmektedir.
Classiscammers tarafından işletilen tüm saldırı altyapısı, 18’i isimsiz bir Singapurlu sınıflandırılmış web sitesinin kullanıcılarını kandırmak için oluşturulmuş 200 alan adından oluşuyor. Ağdaki diğer siteler, Singapurlu hareketli şirketler, Avrupa, Asya ve Orta Doğu sınıflandırılmış web siteleri, bankalar, pazar yerleri, gıda ve kripto markaları ve dağıtım şirketleri olarak görünmektedir.
Group-IB’den Ilia Rozhnov siad, “Görünüşe göre Classiscam, geleneksel dolandırıcılık türleriyle mücadele etmekten çok daha karmaşıktır.” “Geleneksel dolandırıcılıkların aksine, Classiscam tam otomatiktir ve geniş çapta dağıtılabilir. Dolandırıcılar, bitmek tükenmek bilmeyen bir bağlantı listesi oluşturabilirler.”
“Tespiti ve yayından kaldırmayı karmaşıklaştırmak için, sahte alanların ana sayfası her zaman yerel bir sınıflandırılmış platformun resmi web sitesine yönlendirir.”