Dublajlı sofistike bir hizmet olarak dolandırıcılık operasyonu klasiscam Avrupa’ya genişledikten 1,5 yıldan fazla bir süre sonra şimdi Singapur’a sızdı.
The Hacker News ile paylaşılan bir raporda Group-IB, “Meşru alıcılar gibi davranan dolandırıcılar, satıcılara listelerinden mal satın alma talebi ve nihai amacı ödeme verilerini çalmak için yaklaşıyor” dedi.
Siber güvenlik firması, operatörleri “iyi koordine edilmiş ve teknolojik olarak gelişmiş bir dolandırıcı suç ağı” olarak nitelendirdi.
Classiscam, ilk olarak 2019 yazında kaydedilen, ancak COVID-19 salgını sonrasında çevrimiçi alışverişteki artış nedeniyle etkinlikteki artışla aynı zamana denk gelen ancak bir yıl sonra gündeme gelen Rusya merkezli bir siber suç operasyonuna atıfta bulunuyor.
Pandemi sırasında en yaygın kullanılan dolandırıcılık planı olarak adlandırılan Classiscam, mülk kiralama, otel rezervasyonları, çevrimiçi banka havaleleri, çevrimiçi perakende satış, araç paylaşımı ve paket teslimatlarıyla ilgili pazarları ve hizmetleri kullanan kişileri hedef alıyor.
İlk hedefler, Avrupa ve ABD’ye taşınmadan önce popüler Rus seri ilanlarının ve pazaryerlerinin kullanıcılarını içeriyordu. Bulgaristan, Çek Cumhuriyeti, Fransa, Kazakistan, Kırgızistan, Polonya, Romanya, Ukrayna, ABD ve Özbekistan.
Hileli operasyon, saldırıları gerçekleştirmek için kullanılan 169 marka ile Avrupa, Bağımsız Devletler Topluluğu (BDT) ve Orta Doğu’daki 64 ülkeyi kapsıyor. Nisan 2020’den Şubat 2022’ye kadar Classiscam’den yararlanan suçluların en az 29,5 milyon dolar yasadışı kar elde ettiği söyleniyor.
Bu kampanyayla ilgili dikkate değer olan şey, operasyonları koordine etmek ve kimlik avı ve dolandırıcılık sayfaları oluşturmak için Telegram botlarına ve sohbetlerine büyük ölçüde güvenmesidir.
Her şeyin nasıl çalıştığının özü şudur: Dolandırıcılar, popüler pazar yerlerinde ve sınıflandırılmış web sitelerinde yem reklamları yayınlar ve genellikle önemli indirimlerle oyun konsolları, dizüstü bilgisayarlar ve akıllı telefonlar sunar.
Potansiyel bir kurban, satıcıyla (yani tehdit aktörü) çevrimiçi mağaza aracılığıyla iletişime geçtiğinde, Classiscam operatörü, sahte bir ödeme sayfasına bir bağlantı göndermeden önce, WhatsApp veya Viber gibi bir üçüncü taraf mesajlaşma hizmetinde sohbete devam etmesi için hedefi aldatır. işlemi tamamlayın.
Plan, yöneticiler, çalışanlar ve arayanlardan oluşan bir hiyerarşi içerir. Yöneticiler yeni üyeler almaktan, dolandırıcılık sayfalarının oluşturulmasını otomatikleştirmekten ve yeni hesapları kaydetmekten sorumluyken, ücretsiz seri ilan web sitelerinde hesaplar oluşturan ve tuzak reklamları yerleştirenler işçilerdir.
Çalınan meblağların %70-80’ini alan işçiler, mağdurlarla platformun sohbet sistemleri aracılığıyla iletişim kurmaktan ve satın alınan mallar için ödeme yapmak için tasarlanmış kimlik avı bağlantıları göndermekten de sorumludur.
Araştırmacılar, “Çalışanlar, Classiscam dolandırıcılık planının kilit katılımcılarıdır: amaçları, kimlik avı kaynaklarına trafik çekmektir” dedi.
Kimlik avı URL’leri, yerel sınıflandırılmış web sitelerinin ödeme sayfalarını taklit eden ancak benzer etki alanlarında barındırılan Telegram botları aracılığıyla oluşturulur. Ancak bu, çalışanların yem ürünüyle olan bağlantıyı bot’a göndermesini gerektirir.
Araştırmacılar, “Meşru satıcıyla ilk temastan sonra, dolandırıcılar, satıcının teklifi hakkındaki bilgileri görüntüleyerek ve resmi sınıflandırılmış web sitesini ve URL’yi taklit ederek satıcıları karıştıran benzersiz bir kimlik avı bağlantısı oluşturur” dedi. “Dolandırıcılar ödemenin yapıldığını iddia ediyor ve kurbanı ya teslimat için ödeme yapmaya ya da ödemeyi almaya yönlendiriyor.”
Kimlik avı sayfaları, en “değerli” kartları belirlemek amacıyla kurbanın banka hesap bakiyesini kontrol etme seçeneği de içerir.
Dahası, bazı vakalar, paralarını geri almak için geri ödeme talep etmeleri için kurbanları ikinci kez arayarak kandırma girişimini içerir. Bu çağrılar, platform için teknik destek uzmanları gibi davranan yardımcı çalışanlar tarafından yapılır.
Bu senaryoda, hedefler, kart bilgilerini girmek ve SMS yoluyla alınan bir şifreyi vererek onaylamak için sahte bir ödeme sayfasına götürülür. Ancak para iadesi yerine aynı tutar mağdurun kartından tekrar borçlandırılır.
Yukarıda bahsedilen çalışma şekli, bir alıcının (yani kurbanın) bir kimlik avı ödeme bağlantısı aldığı ve parasını dolandırdığı bir satıcı dolandırıcılığı örneği olsa da, alıcı dolandırıcılığı da mevcuttur.
Bu, bir dolandırıcının müşteri kisvesi altında yasal bir satıcıyla iletişim kurmasını ve iddiaya göre doğrulama amacıyla bir pazar yerinin kimliğine bürünerek bot tarafından oluşturulmuş bir sahte ödeme formu göndermesini gerektirir. Ancak satıcı banka kartı bilgilerini girdikten sonra ürün bedeli kadar bir tutar hesabından düşülmektedir.
Classiscammers tarafından işletilen tüm saldırı altyapısı, 18’i isimsiz bir Singapurlu sınıflandırılmış web sitesinin kullanıcılarını kandırmak için oluşturulmuş 200 alan adından oluşuyor. Ağdaki diğer siteler, Singapurlu hareketli şirketler, Avrupa, Asya ve Orta Doğu sınıflandırılmış web siteleri, bankalar, pazar yerleri, gıda ve kripto markaları ve dağıtım şirketleri olarak görünmektedir.
Group-IB’den Ilia Rozhnov siad, “Görünüşe göre Classiscam, geleneksel dolandırıcılık türleriyle mücadele etmekten çok daha karmaşıktır.” “Geleneksel dolandırıcılıkların aksine, Classiscam tam otomatiktir ve geniş çapta dağıtılabilir. Dolandırıcılar, bitmek tükenmek bilmeyen bir bağlantı listesi oluşturabilirler.”
“Tespiti ve yayından kaldırmayı karmaşıklaştırmak için, haydut etki alanlarının ana sayfası her zaman yerel bir sınıflandırılmış platformun resmi web sitesine yönlendirir.”