Các nhà phân tích của Group-IB đã nêu chi tiết cách chương trình tự động này sử dụng bot Telegram để hỗ trợ việc tạo ra các trang web lừa đảo sẵn sàng mô phỏng các công ty trong nhiều ngành công nghiệp khác nhau, bao gồm các trang thương mại trực tuyến, các trang web phân loại và các nhà vận chuyển. Những trang web lừa đảo này được thiết kế để đánh cắp tiền, dữ liệu thanh toán và gần đây trong một số trường hợp, thông tin đăng nhập vào ngân hàng từ những người dùng internet không nghi ngờ.

Theo những phát hiện của Group-IB, có tổng cộng 251 thương hiệu độc quyền tại 79 quốc gia đã xuất hiện trên các trang web lừa đảo Classiscam từ nửa đầu năm 2021 đến nửa đầu năm 2023. Hơn nữa, các mẫu trang web lừa đảo được tạo ra cho mỗi thương hiệu có thể được cập nhật phù hợp với từng quốc gia khác nhau bằng cách chỉnh sửa ngôn ngữ và đơn vị tiền tệ trên các trang web lừa đảo. Kết quả là một thương hiệu vận chuyển cụ thể đã bị "Classiscammers" mạo danh và nhắm vào người dùng của họ tại tới 31 quốc gia.

Trong khu vực châu Á - Thái Bình Dương, Australia có số lượng thương hiệu bị "Classiscammers" nhắm đến nhiều nhất (chiếm 34,6% của tổng số trong khu vực). Các quốc gia và vùng lãnh thổ khác cũng bị ảnh hưởng nặng nề, bao gồm Ấn Độ (11,5%), Hong Kong (Trung Quốc) (10,3%), Singapore (7,7%), Sri Lanka (7,7%) và Malaysia (5,1%).

Kể từ nửa sau năm 2019, khi Group-IB Computer Emergency Response Team (CERT-GIB) phối hợp cùng đơn vị Digital Risk Protection của công ty đầu tiên xác định hoạt động của Classiscam, đã có tổng cộng 1.366 nhóm riêng biệt tận dụng mô hình này trên Telegram. Các chuyên gia của Group-IB đã kiểm tra các kênh Telegram chứa thông tin liên quan đến 393 nhóm Classiscam với hơn 38.000 thành viên hoạt động từ nửa đầu năm 2020 đến nửa đầu năm 2023. Trong giai đoạn này, số tiền mà các nhóm này chiếm đoạt được lên đến 64,5 triệu USD.

Tổng quan về Classiscam từ nửa đầu năm 2021 đến nửa đầu năm 2023

Group-IB đã chú ý đến cách các nhân tố mối đe dọa đằng sau Classiscam đã làm việc, từ khi hoạt động bắt đầu, để hình thành và mở rộng hoạt động của mô hình lừa đảo này. Từ năm 2022 trở đi, những người thực hiện Classiscam đã giới thiệu các đổi mới mới, chẳng hạn như các kế hoạch lừa đảo được thiết kế để thu thập thông tin đăng nhập của tài khoản ngân hàng trực tuyến của nạn nhân, và một số nhóm đã bắt đầu sử dụng các phần mềm đánh cắp thông tin.

Classiscam ban đầu xuất hiện tại Nga, nơi mô hình này đã được thử nghiệm và kiểm tra trước khi được triển khai trên toàn cầu. Chương trình liên kết lừa đảo dưới dạng dịch vụ đã tăng vọt về mức phổ biến vào mùa xuân năm 2020 khi dịch COVID-19 xuất hiện và số lượng làm việc từ xa cũng như mua sắm trực tuyến tăng cao sau đó.

Các chuyên gia của Group-IB đã nhận thấy cách mô hình lừa đảo đã được xuất khẩu đầu tiên đến Europe, trước khi lan rộng ra các vùng khác trên toàn cầu như khu vực châu Á - Thái Bình Dương, Mỹ và Trung Đông cùng châu Phi (MEA). Đến nửa đầu năm 2021, những người thực hiện Classiscam đã nhắm đến người dùng internet tại 30 quốc gia.

Các chuyên gia của Group-IB cũng tiết lộ rằng, đến nửa đầu năm 2023, con số này đã tăng lên thành 79 quốc gia. Trong cùng khoảng thời gian, số lượng thương hiệu bị nhắm đến trên thị trường toàn cầu đã tăng từ 38 lên 251.

Hơn 61% số tài nguyên Classiscam được phân tích bởi các chuyên gia của Group-IB, từ nửa đầu năm 2021 đến nửa đầu năm 2023, đã nhắm đến người dùng tại châu Âu. Các khu vực bị nhắm đến mạnh mẽ khác bao gồm Trung Đông, châu Phi (18,7% tài nguyên) và khu vực châu Á - Thái Bình Dương (12,2%).

Số tiền trung bình mà các nạn nhân của Classiscam trên toàn thế giới đã mất là 353 USD, tuy nhiên, người dùng tại Vương quốc Anh đã mất nhiều nhất với số tiền trung bình bị lừa đảo là 865 USD. Người dùng tại khu vực châu Á - Thái Bình Dương và Trung Đông cùng châu Phi (MEA) có khả năng ít hơn để trở thành nạn nhân của các kế hoạch Classiscam nhưng những nạn nhân tại Singapore trung bình đã mất 682 USD do lừa đảo. Ở Australia, con số này là 515 USD và ở Saudi Arabia, các kế hoạch Classiscam thành công đã khiến nạn nhân mất trung bình 525 USD.

Classiscam ban đầu được triển khai như một hoạt động lừa đảo tương đối đơn giản. Kẻ tội phạm mạng đã tạo ra các quảng cáo giả mạo trên các trang web phân loại và tận dụng các kỹ thuật kỹ năng xã hội để lừa dối người dùng vào việc "mua" hàng hóa hoặc dịch vụ được quảng cáo sai, dù bằng cách chuyển tiền trực tiếp cho kẻ lừa đảo hoặc thông qua việc trừ tiền từ thẻ ngân hàng của nạn nhân.

Phân chia theo khu vực của các mục tiêu trong các chiến dịch Classiscam từ nửa đầu năm 2021 đến nửa đầu năm 2023

Ví dụ về liên kết lừa đảo được tạo ra bởi Classiscam khi kẻ lừa đảo hành động như người mua hàng

Trong suốt hai năm qua, hoạt động của Classiscam đã trở nên ngày càng tự động hóa. Hiện nay, mô hình này sử dụng các bot và cuộc trò chuyện trên Telegram để phối hợp các hoạt động và tạo ra các trang web lừa đảo trong vài giây, nhiều nhóm cung cấp hướng dẫn dễ dàng để theo dõi và các chuyên gia sẵn sàng giúp đỡ với những câu hỏi từ người dùng khác.

Mô hình lừa đảo dưới dạng dịch vụ Classiscam.

Trong suốt năm qua, các nhà nghiên cứu của Group-IB đã thấy vai trò trong các nhóm lừa đảo trở nên chuyên môn hóa hơn trong một cấu trúc tổ chức mở rộng. Các trang web lừa đảo Classiscam hiện có thể bao gồm chức năng kiểm tra số dư mà các kẻ lừa đảo sử dụng để đánh giá mức phí họ có thể tính vào thẻ của nạn nhân và các trang đăng nhập ngân hàng giả mạo mà họ sử dụng để thu thập thông tin đăng nhập của người dùng.

Hiện tại, các chuyên gia của Group-IB đã tìm thấy 35 nhóm lừa đảo như vậy đã phân phát các liên kết đến các trang web lừa đảo bao gồm các biểu mẫu đăng nhập giả mạo cho dịch vụ ngân hàng. Tổng cộng, những kẻ lừa đảo Classiscam đã tạo ra tài nguyên giả mạo các trang đăng nhập của 63 ngân hàng tại 14 quốc gia. Trong số các ngân hàng bị nhắm đến có các ngân hàng có trụ sở tại Bỉ, Canada, Cộng hòa Czech, Pháp, Đức, Ba Lan, Singapore và Tây Ban Nha.

Ví dụ về chức năng kiểm tra số dư hiện đã được giới thiệu vào một số trang web lừa đảo Classiscam. Trong ví dụ này, nạn nhân được yêu cầu nhập số dư ngân hàng của họ như một phần của quá trình kiểm tra xác minh.

"Classiscam không cho thấy dấu hiệu giảm tốc và số lượng Classiscammers đang tiếp tục gia tăng. Trong suốt năm qua, chúng tôi đã thấy các nhóm lừa đảo áp dụng một cấu trúc tổ chức mới, mở rộng hơn, và các vai trò bên trong tổ chức đang trở nên ngày càng chuyên môn hóa. Classiscam có thể sẽ tiếp tục là một trong những hoạt động lừa đảo quy mô toàn cầu chính trong suốt năm 2023 do tính tự động hoàn toàn của mô hình này và ngưỡng kỹ thuật thấp để tham gia" - ông Afiq Sasman, Trưởng nhóm Phản ứng Khẩn cấp máy tính của Group-IB tại khu vực châu Á - Thái Bình Dương, cho biết.

Group-IB cho biết sẽ tiếp tục theo dõi các chiến dịch Classiscam toàn cầu, hợp tác cùng cảnh sát và các thương hiệu bị ảnh hưởng để hỗ trợ trong việc đánh sập những kế hoạch lừa đảo này. Các công ty mà thương hiệu và hình dáng của họ bị người lừa đảo mạo danh được khuyến nghị sử dụng các giải pháp Digital Risk Protection có thể theo dõi, xác định và loại bỏ các miền lừa đảo một cách tích cực.