Trong một bài viết mới trên blog, các chuyên gia của Group-IB đã mô tả cách một chương trình tự động sử dụng bot Telegram để hỗ trợ việc tạo ra các trang web lừa đảo, giả mạo các công ty trong nhiều lĩnh vực khác nhau. Các lĩnh vực này bao gồm thương mại điện tử, phân phối sản phẩm và dịch vụ, cũng như ngành vận chuyển. Những trang web lừa đảo này được thiết kế để lừa đảo và chiếm đoạt tiền, thông tin thanh toán và thậm chí là thông tin đăng nhập vào tài khoản ngân hàng của các người dùng internet.

Theo các phát hiện của Group-IB, đã có tổng cộng 251 thương hiệu hàng đầu tại 79 quốc gia khác nhau xuất hiện trên các trang web lừa đảo Classiscam từ nửa đầu năm 2021 đến nửa đầu năm 2023. Đặc biệt, mỗi thương hiệu này có thể được tùy chỉnh để phù hợp với quốc gia cụ thể thông qua việc chỉnh sửa ngôn ngữ và tiền tệ trên các trang web lừa đảo. Kết quả là các "Classiscammers" đã mạo danh nhiều thương hiệu vận chuyển khác nhau và tấn công người dùng của họ trong tới 31 quốc gia.

Tại khu vực châu Á - Thái Bình Dương, Australia là quốc gia bị ảnh hưởng nhiều nhất (chiếm 34,6% trong khu vực này). Ngoài ra, các quốc gia và vùng lãnh thổ khác cũng chịu tác động đáng kể, bao gồm Ấn Độ (11,5%), Hong Kong (Trung Quốc) (10,3%), Singapore (7,7%), Sri Lanka (7,7%) và Malaysia (5,1%).

Kể từ nửa sau năm 2019, khi Group-IB Computer Emergency Response Team (CERT-GIB) cùng với Digital Risk Protection đã đầu tiên xác định hoạt động của Classiscam, đã xuất hiện tổng cộng 1.366 nhóm riêng biệt sử dụng mô hình này trên Telegram. Các chuyên gia của Group-IB đã kiểm tra các kênh Telegram liên quan đến 393 nhóm Classiscam với hơn 38.000 thành viên hoạt động từ nửa đầu năm 2020 đến nửa đầu năm 2023. Trong khoảng thời gian này, tổng số tiền mà các nhóm này đã chiếm đoạt lên đến 64,5 triệu USD.

Các chuyên gia của Group-IB đã tập trung vào những yếu tố đe dọa đứng sau mô hình Classiscam, theo dõi sự phát triển và mở rộng hoạt động của nó kể từ khi hoạt động bắt đầu. Từ năm 2022 trở đi, những người thực hiện Classiscam đã bổ sung các cải tiến mới, chẳng hạn như việc tạo ra các kế hoạch lừa đảo nhằm thu thập thông tin đăng nhập của tài khoản ngân hàng trực tuyến của nạn nhân. Một số nhóm còn sử dụng phần mềm đánh cắp thông tin.

Ban đầu, Classiscam xuất hiện tại Nga, nơi mô hình này đã trải qua giai đoạn thử nghiệm và kiểm tra trước khi lan rộng ra toàn cầu. Khi đại dịch COVID-19 bùng phát và số lượng làm việc từ xa cũng như mua sắm trực tuyến tăng cao vào mùa xuân năm 2020, các hoạt động lừa đảo liên quan đến mô hình Classiscam trở nên phổ biến hơn.

Các chuyên gia của Group-IB đã quan sát cách mô hình lừa đảo được "xuất khẩu" đầu tiên đến châu Âu trước khi lan rộng ra các vùng khác trên toàn thế giới, bao gồm khu vực châu Á - Thái Bình Dương, Mỹ và Trung Đông cùng châu Phi (MEA). Đến nửa đầu năm 2021, Classiscam đã nhắm đến người dùng internet tại 30 quốc gia.

Theo chuyên gia của Group-IB, đến nửa đầu năm 2023, số quốc gia này đã tăng lên thành 79. Trong khoảng thời gian đó, số lượng thương hiệu bị lừa đảo trên toàn cầu cũng đã tăng từ 38 lên 251.

Hơn 61% các tài nguyên Classiscam được phân tích bởi các chuyên gia của Group-IB, từ nửa đầu năm 2021 đến nửa đầu năm 2023, đã nhắm đến người dùng tại châu Âu. Các khu vực khác bị ảnh hưởng mạnh khác bao gồm Trung Đông, châu Phi (18,7% tài nguyên) và khu vực châu Á - Thái Bình Dương (12,2%).

Trung bình, số tiền mà các nạn nhân Classiscam trên toàn thế giới đã mất là 353 USD. Tuy nhiên, người dùng tại Vương quốc Anh đã chịu tổn thất nhiều nhất với số tiền trung bình mất là 865 USD. Người dùng tại khu vực châu Á - Thái Bình Dương và Trung Đông cùng châu Phi (MEA) có khả năng ít hơn để trở thành nạn nhân của các kế hoạch Classiscam. Tuy nhiên, người dùng tại Singapore trung bình đã mất 682 USD do lừa đảo. Ở Australia, con số này là 515 USD và ở Saudi Arabia, các kế hoạch Classiscam đã khiến nạn nhân mất trung bình 525 USD.

Ban đầu, Classiscam được triển khai như một hoạt động lừa đảo tương đối đơn giản. Các kẻ tội phạm mạng đã tạo ra các quảng cáo giả mạo trên các trang web phân loại và tận dụng các kỹ thuật xã hội để lừa dối người dùng vào việc "mua" hàng hóa hoặc dịch vụ bằng cách chuyển tiền trực tiếp cho kẻ lừa đảo hoặc thông qua việc trừ tiền từ thẻ ngân hàng của nạn nhân.

Trong suốt hai năm qua, hoạt động của Classiscam đã trở nên ngày càng tự động hóa. Hiện nay, mô hình này sử dụng các bot và cuộc trò chuyện trên Telegram để phối hợp các hoạt động và tạo ra các trang web lừa đảo trong vài giây, nhiều nhóm cung cấp hướng dẫn dễ dàng để theo dõi và các chuyên gia sẵn sàng giúp đỡ với những câu hỏi từ người dùng khác.

Trong suốt năm qua, các nhà nghiên cứu của Group-IB đã thấy vai trò trong các nhóm lừa đảo trở nên chuyên môn hóa hơn trong một cấu trúc tổ chức mở rộng. Các trang web lừa đảo Classiscam hiện có thể bao gồm chức năng kiểm tra số dư, mà các kẻ lừa đảo sử dụng để đánh giá mức phí họ có thể tính vào thẻ của nạn nhân, và các trang đăng nhập ngân hàng giả mạo mà họ sử dụng để thu thập thông tin đăng nhập của người dùng.

Hiện tại, các chuyên gia của Group-IB đã tìm thấy 35 nhóm lừa đảo như vậy đã phân phát các liên kết đến các trang web lừa đảo bao gồm các biểu mẫu đăng nhập giả mạo cho dịch vụ ngân hàng. Tổng cộng, những kẻ lừa đảo Classiscam đã tạo ra tài nguyên giả mạo các trang đăng nhập của 63 ngân hàng tại 14 quốc gia. Trong số các ngân hàng bị nhắm đến có các ngân hàng có trụ sở tại Bỉ, Canada, Cộng hòa Czech, Pháp, Đức, Ba Lan, Singapore và Tây Ban Nha.

"Classiscam không cho thấy dấu hiệu giảm tốc và số lượng Classiscammers đang tiếp tục gia tăng. Trong suốt năm qua, chúng tôi đã thấy các nhóm lừa đảo áp dụng một cấu trúc tổ chức mới, mở rộng hơn, và các vai trò bên trong tổ chức đang trở nên ngày càng chuyên môn hóa. Classiscam có thể sẽ tiếp tục là một trong những hoạt động lừa đảo quy mô toàn cầu chính trong suốt năm 2023 do tính tự động hoàn toàn của mô hình này và ngưỡng kỹ thuật thấp để tham gia" - ông Afiq Sasman, Trưởng nhóm Phản ứng Khẩn cấp máy tính của Group-IB tại khu vực châu Á - Thái Bình Dương, cho biết.

Group-IB cho biết sẽ tiếp tục theo dõi các chiến dịch Classiscam toàn cầu, hợp tác cùng cảnh sát và các thương hiệu bị ảnh hưởng để hỗ trợ trong việc đánh sập những kế hoạch lừa đảo này. Các công ty mà thương hiệu và hình dáng của họ bị người lừa đảo mạo danh được khuyến nghị sử dụng các giải pháp Digital Risk Protection có thể theo dõi, xác định và loại bỏ các miền lừa đảo một cách tích cực.

Nguồn: GenK