Исследователи Group-IB в новом отчете разбирают scam-as-a-service Classiscam, доходы киберпреступников благодаря которой с момента ее появления в 2019 году достигли 64,5 мил. дол. И спустя четыре года продолжает работать.

Кампании Classiscam изначально начинались на тематических сайтах, на которых мошенники размещали фейковую рекламу и использовали методы социнженерии, чтобы убедить пользователей платить за товары переводами на банковские карты.

С тех пор кампании Classiscam стали более автоматизированными и их можно запускать на множестве других сервисов, включая маркеплейсы или каршеринговые платформы.

Большинство жертв пришлось на Европу (62,2%), за ними следуют Ближний Восток и Африка (18,2%), а также Азиатско-Тихоокеанский регион (13%). Наибольшее количество мошеннических транзакций, зарегистрированных в Classiscam, приходится на Германию, Польшу, Испанию, Италию и Румынию.

Пользователи из Великобритании потеряли в среднем наибольшую сумму денег из-за Classiscammers, поскольку средняя стоимость транзакции составила 865 долларов США. Следующими в этом списке были пользователи из Люксембурга (848 долларов за транзакцию), Италии (774 доллара) и Дании (730 долларов).

Classiscam, впервые обнаруженный в 2019 году, представляет собой обобщающий термин для операции, охватывающей 1366 различных групп в Telegram. Сначала эта деятельность была нацелена на Россию, а затем распространилась по всему миру, проникнув в 79 стран и выдав себя за 251 бренд. Массовые атаки начались во время пандемии COVID-19 в 2020 году, вызванной ростом онлайн-покупок.

Group-IB сообщила, что Classiscam — это то же самое, что и Telekopye, о котором на прошлой неделе поведала словацкая ESET, назвав ее фишинговым набором для создания поддельных страниц на основе готовых шаблонов.

Обман пользователей достигается путем перехода в чаты мессенджеров, где ссылки не блокируются. Фишинговые страницы создаются на лету с помощью ботов в Telegram.

Кампании, ориентированные на определенную группу стран, также включают поддельные страницы входа в систему для местных банков. Учетные данные собираются мошенниками для дальнейшей авторизации и перевода деньги на подконтрольные счета.

Всего Classiscammers создали ресурсы, имитирующие страницы входа 35 банков в 15 странах. Среди целевых банков были банки из Бельгии, Канады, Чехии, Франции, Германии, Польши, Сингапура и Испании.

Операторы Classiscam могут выступать как в роли покупателей, так и в роли продавцов. В первом случае злоумышленники заявляют, что оплата за товар была произведена, и обманом заставляют жертву (т.е. продавца) оплатить доставку или ввести данные своей карты для завершения проверки через фишинговую страницу.

Группы Classiscam раньше имели пирамидальную иерархию, состоящую из трех отдельных уровней: администраторы, которые отвечали за набор новых участников и создание мошеннических страниц; работники, общавшиеся с пострадавшими; и звонившие, выдававшие себя за специалистов техподдержки.

По состоянию на весну 2023 года эта пирамида расширилась, и группы Classiscam теперь содержат большее количество людей, выполняющих все более специализированные задачи.

Значительное изменение в методах работы некоторых группировок связано с использованием инфостиллеров для сбора паролей от учетных записей браузеров и передачи данных. Group-IB сообщила, что выявила 32 такие группы, которые перешли от проведения традиционных атак Classiscam к запуску воровских кампаний.

По мере того, как семьи воров становятся более надежными, многогранными и доступными, они не только снижают барьер для входа в финансово мотивированную киберпреступность, но также выступают в качестве прекурсора для ransomware, шпионажа и других задач после компрометации.

Отличный материал для экономической оценки сложного патичинга =)