Tientallen cybercriminele bendes publiceren nepadvertenties op populaire online marktplaatsen om geïnteresseerde gebruikers naar frauduleuze handelssites te lokken of naar phishing-pagina's die betalingsgegevens stelen.

Sommige van de merken die door deze cybercriminelen zijn misbruikt zijn enorm populair in Europa en omvatten LeBonCoin, Allegro, OLX, Sbazar, FAN Courier, Lalafo, Kufar en DHL.

Minstens veertig cybercriminele bendes gebruiken een 'scam-as-a-service' die afhankelijk is van Telegram-bots om pagina's te leveren die populaire advertenties, marktplaatsen en bezorgdiensten nabootsen.

Beveiligingsonderzoekers bij 'Group-IB' zagen via de digitale risicoanalyse van een bedrijf in Amsterdam de oplichting voor het eerst in Rusland in de zomer van 2019. Ze noemden het 'Classiscam' en zagen het groeien van 280 oplichtingspagina's tot ongeveer 3.000 in minder dan een jaar.

Sinds de ontdekking is de blauwdruk uitgerold naar Ex-Sovjet- en Europese landen zoals Bulgarije, Frankrijk, Tsjechië, Polen en Roemenië.

Minstens 40 bendes runnen 'Classiscam' waarvan 20 Russische de meest winstgevende. Ze stelen elke maand meer dan 500.000 dollar (411.000 euro). Group-IB berekende dat de bendes die in Europese landen actief zijn een gemiddelde maandelijkse bedrag van 61.000 dollar (50.000 euro) buitmaken. Naar schatting stelen de oplichters in 2020 meer dan 6,5 miljoen dollar (5,5 miljoen euro).

Werkwijze

De oplichters publiceren advertenties op populaire marktplaatsen en advertenties die beweren verschillende producten (camera's, gameconsoles, laptops, smartphones) tegen lage prijzen aan te bieden.

Wanneer iemand die geïnteresseerd is in de deal contact met hen opneemt verplaatsen ze het gesprek naar een berichtenservice van een derde partij. Group-IB zegt dat de oplichters lokale telefoonnummers gebruiken wanneer ze met het slachtoffer praten.

"Cybercriminelen vragen slachtoffers om hun contactgegevens op te geven om zogenaamd een levering te regelen. De oplichter stuurt de koper vervolgens een URL naar een populaire nepwebsite van koeriersdiensten of een oplichtingswebsite die een advertentie nabootst of een marktplaats met een betalingsformulier. Als gevolg hiervan verkrijgt de fraudeur de betalingsgegevens" aldus Group-IB

Het is belangrijk op te merken dat de oplichters zich zowel als verkopers als kopers kunnen voordoen. Wanneer ze zich voordoen als klant, sturen ze een nep-betalingsformulier dat is verkregen van een Telegram-bot die een marktplaats nabootst. De verkoper krijgt dan een nepformulier waarin om kaartgegevens wordt gevraagd om de vermeende betaling te ontvangen.

Bot met complete Phishing-kit

Volgens Group-IB vereist 'Classiscam' geen technische kennis aangezien de Telegram-bots een complete phishing-kit bieden. De oplichter hoeft de chatbot alleen een link met het lok product te sturen.

De onderzoekers zeggen dat er meer dan 10 soorten Telegram-bots zijn voor merken in verschillende landen. Operators bieden ook scripts die beginnende oplichters helpen in te loggen op buitenlandse sites en met slachtoffers in hun lokale taal te praten.

Door de Telegram-bots te observeren konden de onderzoekers de details bekijken van de deals die door de oplichters waren gesloten. Ze ontdekten dat 'admins' tussen 20% en 30% van het gestolen geld in ontvangst namen, terwijl de criminelen die de oplichting uitvoeren de rest in hun bezit kregen.

Bij de oplichting zijn soms bellers betrokken die zich voordoen als 'specialisten in de klantenservice'. Ze krijgen de kleinste opbrengst tot 10% van het gestolen geld.

Eind 2020 had Classiscam meer dan 5.000 oplichters in dienst.

Echte merken

Group-IB probeerde rechtstreeks contact op te nemen met alle merken die werden misbruikt door de Classiscam phishing-activiteiten, maar ondanks de omvang van de oplichting kwam er geen antwoord, vertelde Dmitriy Tiunkin hoofd van Group-IB Europa.

"We doen altijd ons best om de juiste 'outreach' te houden en hopen dat onze bevindingen goed zijn ontvangen en dat hiermee rekening zal worden gehouden door de getroffen bedrijven bij het verminderen van de negatieve impact van Classicam" - Dmitriy Tiunkin

De onderzoeker vertelde ook dat ze niet op de hoogte zijn van enig politie onderzoeken naar deze diefstallen in Europa of de VS. Dit kan worden verklaard door het feit dat 'Classiscam' net is begonnen uit te breiden naar deze regio's.

De Russische autoriteiten houden de fraude echter in de gaten en hebben al oplichters gearresteerd die nepadvertenties plaatsten.