Group-IB, nhà cung cấp các sản phẩm và dịch vụ an ninh mạng đã phát hiện Classiscam, hoạt động lừa đảo tinh vi như một dịch vụ, đã mở rộng sang Singapore.
Hoạt động từ tháng 3.2022, những kẻ lừa đảo Classiscam nhắm mục tiêu người dùng của một trong những nền tảng được phân loại hàng đầu ở Singapore.
Những kẻ lừa đảo giả dạng người mua hợp pháp tiếp cận người bán với yêu cầu mua hàng từ danh sách của họ và mục đích cuối cùng là đánh cắp dữ liệu thanh toán. Kể từ khi Classiscam xuất hiện tại Singapore, nhóm Bảo vệ Rủi ro Kỹ thuật số (DRP) của Group-IB đã phát hiện ra tổng cộng 18 tên miền nhắm mục tiêu đến người mua trên trang web tại địa phương, tuy nhiên con số thực tế được cho là cao hơn đáng kể.
Group-IB đa chia sẻ những phát hiện về Classiscam với các thành viên của Liên minh các bên liên quan đến tội phạm mạng công-tư của Lực lượng Cảnh sát Singapore (APPACT) và trang web địa phương được đề cập. Mục tiêu chính của nghiên cứu là nâng cao nhận thức của cộng đồng về các phương pháp lừa đảo mới nhất và giảm số lượng nạn nhân.
Classiscam là gì?
Classiscam được phát hiện lần đầu bởi các nhà nghiên cứu của Group-IB vào năm 2020, là một chương trình liên kết lừa đảo hoàn toàn tự động như một dịch vụ. Nó được thiết kế để đánh cắp dữ liệu thanh toán từ người dùng của các trang rao vặt và thị trường phổ biến.
Kế hoạch này do các chuyên gia của Group-IB tiết lộ, chủ yếu dựa vào các chương trình và cuộc trò chuyện Telegram để điều phối hoạt động và tạo các trang lừa đảo. Ban đầu xuất hiện ở Nga, kế hoạch này đã di cư sang châu Âu, Mỹ và hiện đã xâm nhập vào châu Á Thái Bình Dương. Trong 3 năm qua, nhóm Bảo vệ Rủi ro Kỹ thuật số Group-IB đã chặn thành công gần 5.000 tài nguyên thuộc cơ sở hạ tầng của Classiscammers.
Hệ thống phân cấp của các nhóm Classiscam hoạt động theo hình kim tự tháp. Một nhóm quản trị viên đứng đầu và chịu trách nhiệm tuyển dụng thành viên mới, tự động tạo các trang lừa đảo, đăng ký tài khoản mới và hỗ trợ khi ngân hàng chặn thẻ của người nhận hoặc giao dịch.
Phần chia sẻ của quản trị viên là khoảng 20-30% số tiền bị đánh cắp. “Người lao động” nhận được 70-80% số tiền bị đánh cắp để liên lạc với nạn nhân và gửi cho họ các URL lừa đảo. Tất cả chi tiết về các giao dịch do người lao động thực hiện (bao gồm số tiền, số thanh toán và tên người dùng) được hiển thị trong bot Telegram.
Nhóm nhắm mục tiêu đến Singapore chỉ là một trong số rất nhiều nhóm. Kể từ năm 2019, nhóm Bảo vệ Rủi ro Kỹ thuật số Group-IB đã xác định và phân loại 380 nhóm khác nhau hoạt động theo mô hình Classiscam trong Telegram, với 90 nhóm đang hoạt động tại thời điểm thông báo này.
Hiện tại, hơn 38.000 kẻ lừa đảo đã đăng ký trong các nhóm này, gấp 7 lần so với năm 2020. Theo ước tính của Group-IB, trên toàn cầu, thiệt hại từ các hoạt động của Classiscam có thể lên tới 29,5 triệu USD. Thông tin chi tiết về báo cáo “DEMYSTIFYING CLASSISCAM” có thể xem tại đây.
Như báo chí Singapore đưa tin lần đầu vào tháng 5, những kẻ lừa đảo đóng giả là người mua hợp pháp, tiếp cận người bán trên một trang rao vặt phổ biến với yêu cầu mua hàng hóa được niêm yết. Sau khi phân tích mô hình hoạt động của kẻ lừa đảo và cơ sở hạ tầng mạng, các nhà nghiên cứu của Group-IB xác định một mô hình quen thuộc và nhận ra họ không phải đối phó với những kẻ lừa đảo một lần, mà là với một mạng lưới tội phạm lừa đảo được phối hợp tốt và có công nghệ tiên tiến.
Sử dụng thông tin tình báo lừa đảo mở rộng trên hoạt động Classiscam và công cụ Phân tích Mạng Đồ thị được cấp bằng sáng chế, Group-IB cho biết những kẻ lừa đảo đã thiết kế một công cụ tạo ra các trang web giả mạo bắt chước nền tảng chính thức của một trang web tại địa phương được sử dụng để bán và mua hàng hóa. Các liên kết giả này được tạo bằng bảng điều khiển web hoặc chương trình Telegram.
Sau khi tiếp xúc lần đầu với người bán hợp pháp, những kẻ lừa đảo tạo ra một liên kết lừa đảo duy nhất khiến người bán nhầm lẫn bằng cách hiển thị thông tin về ưu đãi của người bán và bắt chước website và URL của họ. Những kẻ lừa đảo nói việc thanh toán đã được thực hiện và dụ nạn nhân thực hiện thanh toán để giao hàng hoặc thu tiền.
Sau khi nhấp vào “Nhận tiền”, nạn nhân sẽ được chuyển hướng đến trang lừa đảo nơi thông tin đăng nhập thẻ thanh toán của họ được truy xuất.
Khi những kẻ lừa đảo nhận được chi tiết thẻ tín dụng từ nạn nhân, chúng yêu cầu xác minh OTP từ ngân hàng. Đây lại là một trang OTP giả mạo. Khi nạn nhân gửi mã OTP trên trang web giả mạo, những kẻ lừa đảo có thể chuyển tiền vào tài khoản của họ.
Ngoài ra, những kẻ lừa đảo còn kiểm tra số dư tài khoản ngân hàng của nạn nhân để xác định các thẻ “có giá trị”.
Sử dụng công cụ Phân tích Mạng Đồ thị đã được cấp bằng sáng chế của mình, các chuyên gia của Group-IB đã có thể tiết lộ nhóm các trang web được kết nối với nhau được điều hành bởi nhóm Classiscammers này.
Toàn bộ mạng lưới của tập đoàn lừa đảo này bao gồm hơn 200 tên miền, 18 tên miền trong số đó được tạo ra để đánh lừa người dùng của một trang web được phân loại ở Singapore, trong đó có 2 tên miền hoạt động kể từ ngày 19.7.2022. Tên miền mới nhất nhằm mục tiêu là người Singapore đã được tạo vào tuần thứ hai của tháng 7.
Ilia Rozhnov, người đứng đầu nhóm Bảo vệ rủi ro kỹ thuật số tại Trụ sở toàn cầu của Group-IB ở Singapore, cho biết: “Chúng không tồn tại lâu theo thiết kế. Để làm phức tạp việc phát hiện và gỡ xuống, trang chủ của các tên miền giả mạo luôn chuyển hướng đến website chính thức của một nền tảng tại địa phương. Nội dung trên các tên miền gian lận chỉ có sẵn bởi các liên kết trực tiếp, là phần phụ của các trang web này.”
Các trang web khác trong mạng mạo danh các công ty chuyển nhà của Singapore, các trang web được phân loại ở Châu Âu, Châu Á và Trung Đông, ngân hàng, thị trường, thương hiệu thực phẩm và tiền điện tử và các công ty giao hàng, điều này chứng tỏ hoạt động toàn cầu của Classiscam.
Rozhnov nói: “Classiscam phức tạp hơn nhiều so với các loại lừa đảo thông thường. Không giống như các trò gian lận thông thường, Classiscam hoàn toàn tự động và có thể được phân phối rộng rãi. Những kẻ lừa đảo có thể tạo một danh sách liên kết vô tận khi đang di chuyển.
Trong ba năm qua, chúng tôi đã chặn thành công gần 5.000 tài nguyên thuộc cơ sở hạ tầng Classiscam. Điều đó chỉ có thể thực hiện được bởi vì chúng tôi có thể xác định và loại bỏ cơ sở hạ tầng của đối thủ tạo ra các nguồn lực để hỗ trợ Classiscams với sự trợ giúp của bảo vệ rủi ro kỹ thuật số do AI điều khiển, được làm giàu với dữ liệu về cơ sở hạ tầng, kỹ thuật, chiến thuật và các kế hoạch gian lận mới của đối thủ”.
Các thương hiệu mà những kẻ lừa đảo mạo danh được khuyên tự cập nhật các phương án và kỹ thuật lừa đảo mới. Với hệ thống Phát hiện Rủi ro Kỹ thuật số chuyên biệt, họ có thể chủ động theo dõi và xác định các miền lừa đảo và quảng cáo giả mạo.
Để tránh trở thành con mồi, người dùng phải luôn kiểm tra miền của URL để xác minh xem đó có phải là trang web chính thức hay không trước khi chia sẻ bất kỳ chi tiết cá nhân và thanh toán nào. Một khuyến nghị khác là khi giao tiếp với bên kia để bán hàng hóa hoặc dịch vụ, hãy tham gia vào trò chuyện trực tuyến được thiết kế bởi các trang web chính thức.