L’analisi di Group-IB
Group-IB, un leader globale nella cybersecurity con centrale europea ad Amsterdam, rende noto che Classiscam, piattaforma di Scam-as-a-Service, sta conducendo le proprie campagne in tutto il mondo anche nel 2023. In un nuovo articolo gli analisti di Group-IB spiegano dettagliatamente come questo sistema automatizzato utilizzi bot Telegram per offrire supporto nella creazione di pagine di phishing pronte all’uso che impersonano aziende in una varietà di settori, tra cui shop online, siti di annunci e operatori logistici. Queste pagine di phishing sono progettate per derubare gli utenti, carpire i dati degli strumenti di pagamento e, recentemente in alcuni casi, le credenziali di accesso bancario di ignari utenti di Internet.
Secondo quanto scoperto da Group-IB, tra il primo semestre del 2021 e il primo semestre del 2023 ben 251 marchi sono stati impersonati su pagine di phishing Classiscam in 79 Paesi. Inoltre, i modelli di pagine di phishing creati per ciascun marchio possono essere localizzati per l’uso in diversi Paesi modificando semplicemente la lingua e la valuta presenti nelle pagine fasulle. In questo modo, ad esempio, un noto marchio della logistica è stato impersonato dai “Classiscammers” che hanno preso di mira utenti in ben 31 Paesi.
Da quando, nella seconda metà del 2019 il Team di Risposta alle Emergenze Informatiche di Group-IB (CERT-GIB) ha identificato per la prima volta insieme all’unità di Protezione contro i Rischi Digitali le attività di Classiscam, sono stati scoperti 1.366 gruppi che sfruttavano questo schema su Telegram. Esaminando i canali Telegram contenenti informazioni relative a 393 organizzazioni Classiscam con oltre 38.000 membri attivi dal primo semestre del 2020 al primo semestre del 2023, Group-IB ha notato come gli attori di minaccia dietro a Classiscam abbiano lavorato, sin dall’inizio, alla formalizzazione ed espansione delle attività di truffa. A partire dal 2022, i „Classiscammer“ hanno introdotto alcune innovazioni tra cui schemi di phishing progettati per raccogliere le credenziali di accesso ai conti bancari delle vittime oltre all’impiego di Info Stealer da parte di alcuni gruppi.
In linea con la sua missione di contrasto alla cybercriminalità globale, Group-IB continuerà a condividere con le forze dell’ordine i risultati delle analisi su Classiscam condotte con la propria soluzione proprietaria di Digital Risk Protection. L’obiettivo principale di questa ricerca è sensibilizzare l’opinione pubblica sulle ultime metodologie di truffa e ridurre il numero di vittime di queste frodi.
Diffusione globale
Classiscam è apparso inizialmente in Russia, dove lo schema è stato testato prima di essere attivato su scala globale. Il programma di affiliazione alla piattaforma di Scam-as-a-Service ha guadagnato popolarità nella primavera del 2020 con l’emergere del COVID-19 e il conseguente aumento del lavoro remoto e dello shopping online.
Gli esperti di Group-IB hanno notato che lo schema dello Scam-as-a-Service è stato dapprima esportato in Europa, per poi sbarcare in altre regioni come gli Stati Uniti, la regione Asia-Pacifico (APAC) e il Medio Oriente e l’Africa (MEA). All’inizio del primo semestre del 2021 i Classiscammer avevano preso di mira gli utenti Internet in 30 Paesi. Gli esperti di Group-IB hanno rilevato che all’inizio del primo semestre del 2023, questa cifra è salita a 79. Nel contempo il numero di marchi che hanno subito abusi sul mercato globale è aumentato da 38 a 251.
Oltre il 62% delle risorse Classiscam create tra il primo semestre del 2021 e il primo semestre del 2023 osservate dagli esperti di Group-IB, avevano come obiettivo gli utenti in Europa. Il Medio Oriente e l’Africa (con il 18,2% delle risorse) e la regione Asia-Pacifico (13%) risultano altrettanto fortemente colpite.
Nel continente Europeo il Paese con il maggior numero di marchi oggetto di abuso è stata la Repubblica Ceca (5,5% del totale europeo). Altri Paesi fortemente colpiti sono stati il Regno Unito (5,5%), la Slovacchia (5,0%), la Germania (4,2%), l’Austria (3,9%) e l’Italia (3,7% come la Svizzera).
Gli utenti Internet in Germania hanno compiuto il 26,5% di tutte le transazioni registrate nelle chat di Classiscam, il valore più alto tra tutti i Paesi. Seguono Polonia (21,9%), Spagna (19,8%), Italia (13,0%) e Romania (5,5%).
L’importo medio di cui le vittime di Classiscam sono state alleggerite a livello globale è di 353 USD per transazione, tuttavia gli utenti nel Regno Unito, dove la transazione fraudolenta media cuba 865 dollari, hanno subito danni più ingenti, seguiti dagli utenti di Lussemburgo (848 dollari per transazione), Italia (774 dollari) e Danimarca (730 dollari).
Gli utenti in APAC (Asia-Pacifico) e MEA (Medio Oriente e Africa) sono risultati meno inclini a cadere nella trappola degli schemi Classiscam, sebbene queste truffe siano costate agli utenti di Singapore in media 682 dollari. In Australia questa cifra scende a 515 dollari, e in Arabia Saudita (MEA) le truffe Classiscam di successo hanno cagionato in media danni per 525 dollari alle vittime.
Cosa c’è di nuovo?
Inizialmente Classiscam era un’operazione a scopo di truffa relativamente diretta. I cybercriminali creavano annunci fasulli su siti di annunci classificati e sfruttavano tecniche di ingegneria sociale per ingannare gli utenti e far loro “acquistare” i beni o servizi falsamente pubblicizzati. Gli utenti trasferivano quindi denaro direttamente agli imbroglioni, o questi ultimi addebitavano gli importi sulla carta della vittima.
Le operazioni Classiscam si sono avvalse di una crescente automazione negli ultimi due anni. Lo schema ora utilizza bot e chat di Telegram per coordinare le operazioni e creare pagine di phishing e truffe in pochi secondi. Molti dei gruppi offrono istruzioni facili da seguire, oltre a esperti disponibili a rispondere alle domande degli altri utenti.
Nell’ultimo anno, i ricercatori di Group-IB hanno notato che i ruoli all’interno dei gruppi di scammer si stanno specializzando all’interno di gerarchie estese. Oggi le pagine di phishing di Classiscam possono includere una verifica del saldo del conto dell’utente, che gli scammer utilizzano per valutare quanto possono addebitare sulla carta della vittima, e pagine fittizie di accesso ai servizi bancari utilizzate per carpire le credenziali degli utenti. As oggi gli esperti di Group-IB hanno individuato 35 gruppi che distribuiscono link a pagine di phishing che includono moduli fasulli di accesso ai servizi bancari. In tutto i Classiscammer hanno creato risorse che impersonano le pagine di accesso di 63 banche in 14 Paesi. Tra le banche prese di mira molte sono in Belgio, Canada, Repubblica Ceca, Francia, Germania, Polonia, Singapore e Spagna.
“Classiscam non mostra segni di rallentamento e le fila dei Classiscammer continuano a crescere. Nel corso dell’ultimo anno i gruppi di scammer hanno adottato una nuova e più ampia gerarchia, e i ruoli all’interno delle organizzazioni stanno diventando sempre più specializzati. Classiscam probabilmente rimarrà una delle principali operazioni globali di truffa durante tutto il 2023 a fronte della completa automazione dello schema e della bassa barriera tecnica di accesso”, ha dichiarato Giulio Vada, Head of Business Development Italy di Group-IB.
Group-IB continuerà a monitorare le campagne globali di Classiscam, collaborando sia con le forze dell’ordine che con i marchi interessati per contribuire agli sforzi volti a debellare queste truffe. Alle aziende il cui marchio e la cui immagine vengono imitati dagli scammer si consiglia di adottare soluzioni di Digital Risk Protection in grado di monitorare, identificare e rimuovere attivamente i domini di phishing.
