GR
Οι ρωσόφωνοι απατεώνες έχουν βάλει στο στόχαστρο τους χρήστες των αγορών και των αγγελιών σε μαζική κλίμακα. Η Ομάδα Αντιμετώπισης Εκτάκτων Αναγκών σε Θέματα Υπολογιστών της Group-IB (CERT-GIB) και οι ειδικοί σε θέματα Προστασίας Ψηφιακών Κινδύνων ονόμασαν το σύστημα "Classiscam", αφού το είδαν για πρώτη φορά στη Ρωσία το καλοκαίρι του 2019. Η μέγιστη δραστηριότητα καταγράφηκε την άνοιξη του 2020: αποδόθηκε στην πανδημία Covid-19 και την επακόλουθη στροφή στην εξ αποστάσεως εργασία και την έξαρση των ηλεκτρονικών αγορών και της χρήσης υπηρεσιών ταχυμεταφορών. Το καλοκαίρι του 2020 η CERT-GIB κατέβασε 280 σελίδες phishing του Classiscam που προσέφεραν ψεύτικες υπηρεσίες ταχυμεταφορών, ενώ μέχρι τον Δεκέμβριο ο αριθμός αυτός είχε δεκαπλασιαστεί και ξεπέρασε τις 3.000 σελίδες.
Η έρευνα, η οποία διήρκεσε αρκετούς μήνες, κατέληξε στην έκθεση σχετικά με τους Classiscammers που μεταναστεύουν από τη Ρωσία στην Ευρώπη και τις Ηνωμένες Πολιτείες.
Περισσότερες από 40 εγκληματικές ομάδες, συμπεριλαμβανομένων 20 μεγάλων, στοχεύουν πλέον χρήστες και εμπορικά σήματα στη Βουλγαρία, την Τσεχική Δημοκρατία, τη Γαλλία, το Καζακστάν, την Κιργιζία, την Πολωνία, τη Ρουμανία, την Ουκρανία, τις Ηνωμένες Πολιτείες και το Ουζμπεκιστάν. Όλες οι εγκληματικές ομάδες που καταφεύγουν σε αυτό το σύστημα απάτης πιστεύεται ότι κερδίζουν περισσότερα από 6 εκατομμύρια δολάρια ετησίως, τα οποία είναι πιθανό να αυξηθούν.
Η ιστορία ξεκίνησε ένα βράδυ του Απριλίου του 2020, όταν ο Evgeny Ivanov είχε υπηρεσία στην CERT-GIB. Είχε περάσει από αιτήματα και μηνύματα πελατών, πολλά από τα οποία ήταν παράπονα χρηστών για μια δημοφιλή υπηρεσία παράδοσης.
Αφού εξέτασε τις καταγγελίες και τις πληροφορίες που μοιράστηκαν οι χρήστες, έγινε σαφές τι κοινό είχαν όλοι οι πόροι:
Αποφασίσαμε να ερευνήσουμε το περιστατικό με περισσότερες λεπτομέρειες και πέσαμε πάνω σε μια αγγελία που ζητούσε να στρατολογήσει μέλη σε μια απάτη. Οι πληροφορίες που βρήκαμε ήταν εκπληκτικές ακόμη και για εμάς, μια ομάδα αναλυτών που πίστευε ότι τα είχε δει όλα. Η απάτη φαινόταν εξαιρετικά εκτεταμένη και οι συντάκτες της ακούγονταν αρκετά αλαζόνες ώστε να πιστεύουν ότι θα μπορούσαν να τη γλιτώσουν.
Κατά τη διάρκεια του πρώτου μέρους της έρευνάς μας, συλλέξαμε λεπτομέρειες και καταγράψαμε προσεκτικά τα πάντα σχετικά με το σύστημα και τους συμμετέχοντες: τάσεις, σχόλια σε φόρουμ, στιγμιότυπα πληρωμών, σχόλια και ανοιχτά κανάλια Telegram. Εξετάσαμε τα προφίλ των διαχειριστών και των εργαζομένων στα φόρουμ και αποκαλύψαμε συνδέσεις χρησιμοποιώντας το εργαλείο ανάλυσης δικτύου γραφημάτων της Group-IB. Οι καταγγελίες χρηστών που περιλάμβαναν αλληλογραφία με τους απατεώνες βοήθησαν σημαντικά στην έρευνά μας.
Ας δούμε τι βρήκαμε.
Στα πρώτα στάδια της απάτης, οι απατεώνες χρησιμοποίησαν μια σχετικά απλή μέθοδο: δημιούργησαν δολωματικές διαφημίσεις σε αγορές και αγγελίες και χρησιμοποίησαν τεχνικές κοινωνικής μηχανικής για να πείσουν τους χρήστες να πληρώσουν για αγαθά μεταφέροντας χρήματα σε τραπεζικές κάρτες. Οι απατεώνες χρησιμοποίησαν όλα τα τυπικά τεχνάσματα: χαμηλές τιμές, εκπτώσεις, δώρα, περιορισμένος χρόνος για την πραγματοποίηση αγορών, μιλώντας για συνθήκες προτεραιότητας και άλλες παρόμοιες τακτικές. Διαφορετικές ομάδες έρχονταν και έφευγαν, αλλά ένα πράγμα παρέμενε σταθερό: οι απατεώνες έπαιρναν τα χρήματά τους, ενώ οι χρήστες δεν έπαιρναν τα αγαθά τους.
Οι ιδιοκτήτες των πλατφορμών αντέδρασαν εισάγοντας "εγγυήσεις": ηλεκτρονικά συστήματα ασφαλείας για τις ηλεκτρονικές πληρωμές, στο πλαίσιο των οποίων η πλατφόρμα "πάγωνε" τη μεταφορά χρημάτων μέχρι ο αγοραστής να παραλάβει τα αγαθά. Ο πωλητής θα λάμβανε την πληρωμή μόνο αφού ο αγοραστής δήλωνε ότι δεν είχε κανένα παράπονο. Επιπλέον, τα συστήματα ασφαλείας της πλατφόρμας μπλόκαραν τους συνδέσμους προς σελίδες phishing που έστελναν οι απατεώνες.
Τελικά οι απατεώνες βρήκαν τρόπο να παρακάμψουν τα μέτρα ασφαλείας. Χρησιμοποίησαν αυτοματοποιημένα εργαλεία για τη δημιουργία σελίδων phishing και τελειοποίησαν τον μηχανισμό απάτης. Ας εξετάσουμε λεπτομερώς πώς λειτουργεί το σύστημα.
Μετά την εγγραφή νέων λογαριασμών ή τη χρήση των παραβιασμένων λογαριασμών σε ιστότοπους δωρεάν αγγελιών, οι απατεώνες δημοσιεύουν προσφορές που είναι πολύ καλές για να είναι αληθινές: αγαθά σε χαμηλές τιμές που απευθύνονται σε διάφορα κοινά-στόχους. Τα εμπορεύματα που "πωλούνται" περιλαμβάνουν φωτογραφικές μηχανές, κονσόλες παιχνιδιών, φορητούς υπολογιστές, smartphones, αλυσοπρίονα, ηχοσυστήματα αυτοκινήτων, ραπτομηχανές, συλλεκτικά αντικείμενα, αξεσουάρ αλιείας, αθλητικά ποτά και πολλά άλλα.
Αφού οι χρήστες επικοινωνήσουν με τους απατεώνες μέσω του συστήματος συνομιλίας της διαδικτυακής πλατφόρμας, οι απατεώνες προτείνουν τη μετάβαση σε αγγελιοφόρους όπως το WhatsApp και το Viber για να συζητήσουν τις λεπτομέρειες της αγοράς και της παράδοσης.
Στο messenger, οι απατεώνες ζητούν από το θύμα το πλήρες όνομα, τη διεύθυνση και τον αριθμό τηλεφώνου του, δήθεν για να συμπληρώσουν μια φόρμα παράδοσης στον ιστότοπο της εταιρείας ταχυμεταφορών.
Στη συνέχεια, στέλνουν στον χρήστη συνδέσμους προς έναν πόρο phishing που μιμείται τέλεια τον επίσημο ιστότοπο μιας δημοφιλούς υπηρεσίας ταχυμεταφορών. Ο σύνδεσμος οδηγεί σε μια σελίδα που εμφανίζει όλα τα στοιχεία που παρέχει το θύμα, από το οποίο ζητείται να τα επαληθεύσει και στη συνέχεια να ολοκληρώσει την πληρωμή.
Μερικοί άνθρωποι πέφτουν δύο φορές θύματα της απάτης - εξαπατώνται ζητώντας επιστροφή χρημάτων που δεν γίνεται ποτέ. Μετά από κάποιο χρονικό διάστημα, ο αγοραστής ενημερώνεται ότι υπήρξε κάποιο περιστατικό στο ταχυδρομείο. Οι απατεώνες επινοούν διάφορες ιστορίες: για παράδειγμα, ότι ένας υπάλληλος του ταχυδρομείου συνελήφθη να κλέβει και ότι η αστυνομία κατάσχεσε τα προϊόντα, οπότε ο αγοραστής πρέπει να συμπληρώσει αίτηση επιστροφής χρημάτων. Φυσικά, αντί να πιστωθεί, το ποσό χρεώνεται για δεύτερη φορά από την κάρτα του θύματος.
Τελικά, εμφανίστηκε μια νέα παραλλαγή της απάτης στο πλαίσιο της οποίας οι απατεώνες έπαιζαν το ρόλο των αγοραστών σε αντίθεση με τους πωλητές.
Οι λεγόμενοι εργαζόμενοι αναζητούν αγγελίες πώλησης αγαθών σε ιστοσελίδες δωρεάν αγγελιών. Οι προϋποθέσεις που πρέπει να πληροί μια αγγελία περιλαμβάνουν ότι ο πωλητής επιθυμεί να επικοινωνήσει τηλεφωνικά και να μοιραστεί τον αριθμό τηλεφώνου του και ότι τα αγαθά είναι διαθέσιμα για παράδοση.
Ο απατεώνας επικοινωνεί με τον πωλητή μέσω ενός δημοφιλούς messenger τρίτου μέρους, παρακάμπτοντας έτσι το ασφαλές σύστημα συνομιλίας της διαδικτυακής πλατφόρμας, και ρωτά τον πωλητή αν τα αγαθά είναι ακόμη διαθέσιμα.
Στη συνέχεια, ο απατεώνας ισχυρίζεται ότι δεσμεύεται για την αγορά και την παράδοση και χρησιμοποιεί ένα αυτοματοποιημένο bot του Telegram για να δημιουργήσει μια σελίδα phishing με το πραγματικό όνομα, τη φωτογραφία και την τιμή των αγαθών.
Η σελίδα phishing είναι έτοιμη μέσα σε λίγα λεπτά και μπορεί να σταλεί στον πωλητή-θύμα μέσω του messenger, εξηγώντας ότι όλα έχουν πληρωθεί και ότι ο πωλητής πρέπει να επαληθεύσει όλες τις λεπτομέρειες. Φυσικά, για να λάβει την πληρωμή, ο πωλητής πρέπει στη συνέχεια να εισάγει τα στοιχεία της τραπεζικής του κάρτας.
Στις μέρες μας, οι απατεώνες έχουν στη διάθεσή τους ένα ευρύ φάσμα εμπορικών σημάτων υπηρεσιών παράδοσης για να επιλέξουν από αυτά που θα χρησιμοποιήσουν για τις απάτες phishing. Παρ' όλα αυτά, πρόσφατα άρχισαν να ενδιαφέρονται και για ιστότοπους που χρησιμοποιούνται για την ανάρτηση αγγελιών που προσφέρουν αυτοκίνητα και ανταλλακτικά αυτοκινήτων, ηλεκτρονικά είδη, ενοικιάσεις ακινήτων και υπηρεσίες κοινής χρήσης οχημάτων.
Οι απατεώνες δεν ενδιαφέρονται για το τι προσφέρει μια πλατφόρμα, είτε πρόκειται για ενοικίαση ακινήτων είτε για πώληση ποδηλάτων. Αυτό που τους ενδιαφέρει είναι ότι ο ιστότοπος προσφέρει στους χρήστες τη δυνατότητα να επικοινωνούν εσωτερικά και να συνάπτουν "ασφαλείς" συμφωνίες μέσα στον ίδιο τον ιστότοπο, γεγονός που καθιστά δυνατή την αντικατάσταση του τελικού συνδέσμου με έναν σύνδεσμο σε ένα ψεύτικο αλλά παρόμοιο ηχητικά domain για την ολοκλήρωση της πληρωμής.
Οι ίδιες ομάδες που δημιούργησαν ψεύτικους ιστότοπους που μιμούνται δημοφιλείς υπηρεσίες ταχυμεταφορών συμμετείχαν σε επιθέσεις σε υπηρεσίες ενοικίασης ακινήτων. Οι επιθέσεις σε ιστότοπους κρατήσεων ξενοδοχείων έγιναν πιο συχνές κατά τη διάρκεια των καλοκαιρινών διακοπών, όταν οι άνθρωποι μπορούσαν να ταξιδέψουν μόνο εντός της Ρωσίας. Μετά το καλοκαίρι, οι απατεώνες μετατόπισαν την προσοχή τους στις υπηρεσίες ενοικίασης ακινήτων. Δεν μπορούμε να αποκλείσουμε τον εσωτερικό ανταγωνισμό μεταξύ των εγκληματικών ομάδων που τις παρακινεί να αναζητούν ευκαιρίες για να κερδίσουν χρήματα με νέους τρόπους.
Η ομάδα Group-IB αποκάλυψε διάφορες ομάδες που ειδικεύονται σε αυτού του είδους τις απάτες.
Μια από τις μεγαλύτερες εγκληματικές ομάδες, για παράδειγμα, η οποία αυτοαποκαλείται Dreamer Money Gang (DMG), προσλαμβάνει εργαζόμενους μέσω των bots του Telegram και υπόσχεται ευκαιρίες κατάρτισης, τα "καλύτερα domains στην αγορά" και γρήγορες πληρωμές χωρίς κρυφό επιτόκιο. Η DMG βγάζει περίπου 3.000 δολάρια την ημέρα.
Το εισόδημα μιας άλλης εγκληματικής ομάδας εκτοξεύτηκε στα ύψη στις αρχές του 2020: από 10.600 δολάρια (Ιανουάριος) σε 47.320 δολάρια (Φεβρουάριος) σε 83.825 δολάρια (Μάρτιος) σε 120.328 δολάρια (Απρίλιος).
Αναρωτηθήκατε ποτέ πώς οι απατεώνες διατηρούν οικονομικούς λογαριασμούς;
Όλες οι συμφωνίες και οι συναλλαγές που ολοκληρώνονται από τους εργαζόμενους εμφανίζονται σε ένα bot του Telegram: το ποσό, ο αριθμός πληρωμής και το όνομα χρήστη του εργαζόμενου.
Ένα από τα chat bots περιέχει πολυάριθμες μεταφορές για ποσά που κυμαίνονται από 100 έως 900 δολάρια. Τα χρήματα καταβάλλονται πρώτα στον λογαριασμό του διαχειριστή, ο οποίος στη συνέχεια διανέμει το εισόδημα στα υπόλοιπα μέλη της ομάδας.
Οι εργαζόμενοι λαμβάνουν συνήθως το 70-80% του ποσού της συναλλαγής ως κρυπτονόμισμα, με τους διαχειριστές να καταβάλλουν γρήγορα τα χρήματα στο πορτοφόλι τους με κρυπτονόμισμα. Οι διαχειριστές συνήθως κρατούν περίπου το 20-30% του εισοδήματος.
Οι απάτες που αφορούν "επιστροφές χρημάτων" πραγματοποιούνται από τους λεγόμενους "καλούντες" και "επιστρέφοντες χρημάτων", οι οποίοι παίζουν το ρόλο των πρακτόρων υποστήριξης πελατών υπηρεσιών ταχυμεταφορών. Αφού επικοινωνήσουν με το θύμα μέσω τηλεφώνου ή messenger, προσφέρονται να διεκπεραιώσουν την επιστροφή χρημάτων, πράγμα που στην πραγματικότητα σημαίνει ότι η κάρτα του θύματος χρεώνεται για δεύτερη φορά.
Για τις υπηρεσίες τους, οι "τηλεφωνητές" αμείβονται είτε με ένα σταθερό ποσό είτε με ένα ποσοστό του κλεμμένου ποσού, συνήθως μεταξύ 5% και 20%. Οι εργαζόμενοι σπάνια παίζουν αυτόν τον ρόλο, καθώς απαιτεί εξειδικευμένες δεξιότητες, όπως βαθιά γνώση των τεχνικών κοινωνικής μηχανικής, καθαρή φωνή και ικανότητα να απαντούν γρήγορα ακόμη και στις πιο απροσδόκητες ερωτήσεις που μπορεί να έχει ένας αμφίβολος αγοραστής.
Μετά την ανάλυση μηνυμάτων σχετικά με πληρωμές σε chat bots, οι αναλυτές της Group-IB συνειδητοποίησαν ότι 20 από τις 40 ενεργές ομάδες που επικεντρώνονται στην Ευρώπη και τις ΗΠΑ. Βγάζουν κατά μέσο όρο περίπου 60.000 δολάρια το μήνα, αν και τα εισοδήματα μπορεί να διαφέρουν σημαντικά από ομάδα σε ομάδα. Συνολικά, το συνολικό μηνιαίο εισόδημα των 40 από τις πιο ενεργές εγκληματικές ομάδες εκτιμάται ότι ανέρχεται σε τουλάχιστον 522.731 δολάρια μηνιαίως.
Εκτός από την προσφυγή σε απάτες που περιλαμβάνουν τεχνικές κοινωνικής μηχανικής, οι απατεώνες πρέπει επίσης να επιλύουν τεχνικά προβλήματα. Πρέπει να: (i) να κατοχυρώσουν domains που ακούγονται παρόμοια με domain names εταιρειών παράδοσης και να δημιουργήσουν σελίδες phishing, (ii) να αποτρέψουν την εμφάνιση του σφάλματος 900 στις υπηρεσίες πληρωμών, δηλαδή όταν μια τράπεζα μπλοκάρει μια πράξη ή μια κάρτα στην οποία οι απατεώνες προσπαθούν να μεταφέρουν χρήματα, και (iii) να εγγραφούν σε νέους λογαριασμούς και να αγοράσουν νέους τηλεφωνικούς αριθμούς. Επιπλέον, οι απατεώνες πρέπει να προσλαμβάνουν νέους εργαζόμενους, να δημιουργούν νέους πόρους phishing, να παρέχουν τεχνική υποστήριξη και άλλα.
Οι περισσότερες από τις παραπάνω εργασίες μπορούν να γίνουν με τη χρήση bots του Telegram. Χάρη στα τελευταία, οι απατεώνες δεν χρειάζεται πλέον να δημιουργούν σελίδες για τη δημιουργία σελίδων phishing ή τους λεγόμενους "διαχειριστές". Το μόνο που χρειάζεται πλέον να κάνουν οι εργαζόμενοι είναι να ρίξουν έναν σύνδεσμο για το προϊόν δόλωμα στο bot συνομιλίας, το οποίο στη συνέχεια δημιουργεί ένα ολοκληρωμένο σύνολο phishing: συνδέσμους για την υπηρεσία ταχυμεταφοράς, τις σελίδες πληρωμής και επιστροφής χρημάτων.
Επιπλέον, το Telegram διαθέτει τη δική του ομάδα υποστήριξης 24/7 και υπάρχουν ηλεκτρονικά καταστήματα που πωλούν ό,τι μπορεί να χρειαστεί ένας απατεώνας: λογαριασμούς σε διαφημιστικούς ιστότοπους, τηλέφωνα, ηλεκτρονικά πορτοφόλια, στοχευμένες εκρήξεις ηλεκτρονικού ταχυδρομείου, πωλήσεις άλλων απατών και πολλά άλλα - ακόμη και νομικές υπηρεσίες σε περίπτωση που ο απατεώνας χρειάζεται δικηγόρο.
Επί του παρόντος, περισσότεροι από 5.000 απατεώνες είναι εγγεγραμμένοι σε 40 από τις πιο ενεργές συνομιλίες.
Υπάρχουν περισσότεροι από δέκα τύποι bots του Telegram που δημιουργούν σελίδες που μιμούνται μάρκες στη Βουλγαρία, την Τσεχική Δημοκρατία, τη Γαλλία, την Πολωνία και τη Ρουμανία. Για κάθε μάρκα και σελίδα, οι απατεώνες γράφουν πρότυπα σενάρια και οδηγίες που βοηθούν τους αρχάριους εργαζόμενους να εγγραφούν σε νέες πλατφόρμες και να επικοινωνήσουν με τα θύματα στην τοπική γλώσσα.
Ως αποτέλεσμα, οι σελίδες phishing έχουν βελτιωθεί ποιοτικά και έχουν γίνει πιο εύκολες στη δημιουργία τους, ενώ οι απατεώνες λαμβάνουν όλο και περισσότερη υποστήριξη. Όλοι οι παραπάνω παράγοντες έχουν προκαλέσει την εκτόξευση της απάτης στις ιστοσελίδες αγγελιών στα ύψη και όλο και περισσότεροι απατεώνες θέλουν να εμπλακούν σε μια τόσο εύκολη αλλά και προσοδοφόρα δραστηριότητα.
Ακολουθεί το παράδειγμα ενός από τα chat-bots του Telegram:
Οι νέοι εργαζόμενοι εγγράφονται μέσω των bots του Telegram, σε υπόγεια φόρουμ ή απευθείας μέσω του διαχειριστή (TC). Υπάρχουν ανοικτές και κλειστές ομαδικές συζητήσεις.
Ας ρίξουμε μια ματιά στις κλειστές συζητήσεις. Για να συμμετάσχει κάποιος σε μια απάτη, είναι απαραίτητο να περάσει από μια διαδικασία πρόσληψης μέσω ενός bot του Telegram, στο πλαίσιο της οποίας ο υποψήφιος υποβάλλεται σε ερωτήσεις σχετικά με την εμπειρία του σε απάτες και άλλους τομείς, σχετικά με το πού έμαθε για την απάτη και αν έχει προφίλ σε κάποιο υπόγειο φόρουμ. Η εξέταση των προφίλ σε υπόγεια φόρουμ γίνεται πιθανότατα για να ελεγχθούν οι υποψήφιοι και η φήμη τους και να ελεγχθεί αν έχουν εμπλακεί σε διαδικασίες διαιτησίας, τις οποίες χρησιμοποιούν οι απατεώνες για την επίλυση διαφορών, όπως το ότι ένας διαχειριστής (TC) δεν καταβάλλει σε έναν εργαζόμενο το συμφωνηθέν ποσό για ένα σύστημα Classiscam.
Αφού οι εργαζόμενοι ολοκληρώσουν τη διαδικασία εγγραφής, αποκτούν πρόσβαση σε τρεις συνομιλίες: μια συνομιλία πληροφοριών (λεπτομέρειες σχετικά με το έργο, σχέδια, οδηγίες), μια συνομιλία εργαζομένων (οι απατεώνες επικοινωνούν μεταξύ τους, μοιράζονται εμπειρίες και συζητούν έργα) και μια οικονομική συνομιλία (αναφορές πληρωμών). Αξίζει να σημειωθεί ότι οι συνομιλίες σχετικά με τις πληρωμές είναι δημόσια διαθέσιμες - είναι πιθανό να χρησιμοποιούνται για διαφημιστικούς σκοπούς για την προσέλκυση νέων υποψηφίων.
Τηρούνται στατιστικά στοιχεία σχετικά με τις πληρωμές των εργαζομένων και οι υψηλότερα αμειβόμενοι συμπεριλαμβάνονται σε έναν δημόσια διαθέσιμο κατάλογο με τους κορυφαίους αμειβόμενους. Έχουν επίσης πρόσβαση σε μια συνομιλία VIP για τους κορυφαίους εργαζόμενους και σε σενάρια VIP (π.χ. για εργασία στις Ηνωμένες Πολιτείες ή την Ευρώπη), τα οποία δεν είναι διαθέσιμα στους λιγότερο αποδοτικούς απατεώνες.
Επιπλέον, υπάρχουν ξεχωριστές συνομιλίες για τους καλούντες στις οποίες μπορούν να βρουν οδηγίες και κατευθυντήριες γραμμές σχετικά με το πώς να μιλούν στα θύματα.
Η Group-IB και οι εταιρείες που διαθέτουν υπηρεσίες παράδοσης και διαφημιστικές πλατφόρμες καταπολεμούν ενεργά τους απατεώνες, γεγονός που την άνοιξη του 2020 ώθησε τις εγκληματικές ομάδες να αρχίσουν να μεταναστεύουν από τη Ρωσία στις χώρες της ΚΑΚ και τις ευρωπαϊκές χώρες. Ως αποτέλεσμα, οι απατεώνες άρχισαν να αναζητούν νέες εξειδικευμένες αγορές, όπως συνέβη με την εμφάνιση ιστοσελίδων phishing που μιμούνται υπηρεσίες ενοικίασης ακινήτων και στοιχημάτων. Ο ρωσικός διαδικτυακός χώρος έγινε για άλλη μια φορά πεδίο δοκιμών και βοήθησε τους απατεώνες να επεκτείνουν τις εγκληματικές τους δραστηριότητες στη διεθνή σκηνή.
Μέχρι το 2020 είχαν ήδη καταγραφεί επιθέσεις σε ξένες μάρκες - το λογισμικό για τη δημιουργία σελίδων phishing ήταν διαθέσιμο σε κλειστές κοινότητες για απατεώνες με εργασιακή εμπειρία, αν και επρόκειτο για σπάνιες, μεμονωμένες περιπτώσεις.
Στα μέσα Φεβρουαρίου του 2020, μια αγγελία για ελεύθερα προσβάσιμα bots του Telegram άρχισε να εμφανίζεται σε φόρουμ, υποσχόμενη τη δυνατότητα δημιουργίας μορφών phishing για την ουκρανική έκδοση του OXL, ενός ιστότοπου δωρεάν αγγελιών.
Τον Μάιο του 2020, εμφανίστηκε μια ρουμανική έκδοση του ιστότοπου του OXL παράλληλα με την ουκρανική. Μέχρι τις αρχές Αυγούστου, οι βουλγαρικές και οι καζακικές εκδόσεις του ιστότοπου OXL εμφανίστηκαν σε ανοιχτά bots του Telegram.
Οι απατεώνες δεν περιορίστηκαν στην έναρξη του συστήματος στις χώρες ΚΑΚ. Στα τέλη Αυγούστου, μια απάτη που αφορούσε τη δημοφιλή γαλλική ιστοσελίδα δωρεάν αγγελιών Leboncoin εμφανίστηκε σε δημοφιλή bots του Telegram.
Αμέσως μετά, εμφανίστηκε και η πολωνική έκδοση της απάτης του ιστότοπου OXL.
Τα ευρωπαϊκά εμπορικά σήματα προστέθηκαν ενεργά στα bots του Telegram. Στα τέλη Νοεμβρίου, εμφανίστηκαν φόρμες phishing στον πολωνικό ιστότοπο ηλεκτρονικού εμπορίου Allegro και στον τσεχικό ιστότοπο δωρεάν αγγελιών Sbazar.
Αξίζει να σημειωθεί ότι οι απάτες που αφορούν ευρωπαϊκές και αμερικανικές μάρκες είναι πιο δύσκολο να πραγματοποιηθούν απ' ό,τι στις χώρες της ΚΑΚ. Οι ρωσόφωνοι απατεώνες αντιμετωπίζουν γλωσσικά προβλήματα και δυσκολίες στην επαλήθευση λογαριασμών σε ιστότοπους, η οποία απαιτεί την αγορά κλεμμένων προσωπικών εγγράφων και αριθμών τηλεφώνου σε φόρουμ και κοινότητες. Οι διαχειριστές δυσκολεύονται να συνδέσουν πιστωτικές και χρεωστικές κάρτες σε ξένο νόμισμα με τα bots του Telegram. Για το σκοπό αυτό πρέπει να προσλάβουν έμπειρους money mules - πληρεξούσιους που λαμβάνουν και αποσύρουν χρήματα.
Για κάθε μάρκα, οι λάτρεις της απάτης γράφουν οδηγίες και κατευθυντήριες γραμμές για να βοηθήσουν τους αρχάριους να εγγραφούν σε ξένες πλατφόρμες και να επικοινωνήσουν με τα θύματα στη μητρική τους γλώσσα.
Οι ρωσόφωνοι Classiscammers μεταναστεύουν στην Ευρώπη και τις ΗΠΑ ως ένας τρόπος να κερδίσουν περισσότερα χρήματα και να μειώσουν τον κίνδυνο να συλληφθούν. Η καταπολέμηση της απάτης απαιτεί από τις εταιρείες που προσφέρουν υπηρεσίες παράδοσης και διαθέτουν ιστότοπους δωρεάν αγγελιών να εντείνουν τις προσπάθειές τους και να χρησιμοποιούν προηγμένες τεχνολογίες προστασίας από ψηφιακούς κινδύνους, προκειμένου να εντοπίζουν γρήγορα και να εξουδετερώνουν εγκληματικές ομάδες.
Αυτό το άρθρο γράφτηκε από τον Evgeny Ivanov, Επικεφαλής της Μονάδας Ανίχνευσης και Απόκρισης CERT-GIB και τον Yakov Kravtsov, Αναπληρωτή Επικεφαλής Ειδικών Έργων της ομάδας Προστασίας Ψηφιακών Κινδύνων της Group-IB.
Δημοσιεύθηκε νωρίτερα από την Group-IB (σύνδεσμος: https://www.group-ib.com/blog/classiscam).
