Scam as a Service Classiscam – Scam as a Service Classiscam

In einem neuen Blog-Beitrag erläutern die Analysten von Group-IB, wie diese automatisierte Betrugsmasche Telegram Bots einsetzt, um Unterstützung bei der Erstellung von fertigen Phishing-Seiten zu bieten. Diese imitieren Unternehmen aus verschiedenen Branchen, darunter Online-Marktplätze, Kleinanzeigen-Websites und Logistikunternehmen. Sie sind auch darauf ausgelegt, Geld, Zahlungsdaten und in jüngster Zeit in einigen Fällen auch Bankanmeldeinformationen von ahnungslosen Internetnutzern zu stehlen.

Von der ersten Jahreshälfte 2021 bis zur ersten Jahreshälfte 2023 wurden nach Erkenntnissen der Group-IB insgesamt 251 einzelne Marken aus 79 Ländern auf Classiscam-Phishing-Seiten nachgebildet. Darüber hinaus konnten die für jede Marke erstellten Phishing-Vorlagen an die Gegebenheiten verschiedener Länder angepasst werden, indem die auf der Betrugsseite angezeigte Sprache und Währung geändert wurde. Infolgedessen wurde beispielsweise eine bestimmte Logistikmarke von „Classiscam“ imitiert, um gezielt Nutzer in bis zu 31 Ländern anzusprechen.

Seit der zweiten Jahreshälfte 2019, als das Computer Emergency Response Team (CERT-GIB) von Group-IB in Zusammenarbeit mit der eigenen Abteilung für digitalen Risikoschutz erstmals die Aktivitäten von Classiscam identifizierte, wurden 1.366 separate Gruppen entdeckt, die dieses Betrugsschema auf Telegram nutzen. Die Experten von Group-IB untersuchten daher Telegram-Kanäle, die Informationen über 393 Classiscam-Gruppen mit mehr als 38.000 Mitgliedern enthielten, die zwischen dem ersten Halbjahr 2020 und 2023 aktiv waren. Dabei stellte Group-IB fest, wie die Akteure hinter Classiscam von Anfang an daran arbeiteten, die Abläufe des Betrugsschemas zu formalisieren und auszuweiten. Ab 2022 führte Classiscam neue Innovationen ein, darunter Phishing-Schemata, die darauf abzielten, die Zugangsdaten zu den Online-Bankkonten der Opfer abzufangen. Einige Gruppen haben auch damit begonnen, Informationsdiebe einzusetzen.

Im Einklang mit seiner Mission zur Bekämpfung der globalen Cyberkriminalität wird Group-IB die aus der firmeneigenen Lösung für den Schutz gegen digitale Risiken gewonnenen Erkenntnisse weiterhin mit Strafverfolgungsbehörden teilen, insbesondere in Bezug auf Classiscam. Das Hauptziel dieser Forschung ist es, die Öffentlichkeit über die neuesten Betrugsmethoden aufzuklären und die Anzahl der Opfer dieser Betrugsaktivitäten zu reduzieren.

Weltweite Verbreitung

Ursprünglich tauchte Classiscam in Russland auf, wo das Schema ausprobiert und getestet wurde, bevor es weltweit eingeführt wurde. Das Betrugsdienst-Affiliate-Programm gewann im Frühjahr 2020 an Popularität, als die COVID-19-Pandemie auftrat und es zu einer erhöhten Nutzung von Remote-Arbeit und Onlineshopping kam.

Die Experten von Group-IB stellten fest, wie das Betrugsschema zuerst nach Europa exportiert wurde, bevor es andere Regionen wie die Vereinigten Staaten, die Asien-Pazifik-Region (APAC) und den Nahen Osten sowie Afrika (MEA) erreichte. Im ersten Halbjahr 2021 hatten Classiscammer Internetnutzer aus 30 Ländern ins Visier genommen. Die Group-IB-Experten teilen nun mit, dass diese Zahl im ersten Halbjahr 2023 auf 79 angestiegen ist. In derselben Zeitspanne hat sich zudem die Anzahl der missbrauchten Marken weltweit von 38 auf 251 erhöht.

Der durchschnittliche Schaden, den Classiscam-Opfer weltweit erlitten, betrug 353 US-Dollar. Dabei verloren britische Nutzer am meisten an Classiscammer: In Großbritannien beliefen sich die unlauteren Transaktionen im Durchschnitt auf 865 US-Dollar. Ähnlich erging es Nutzern in Luxemburg (848 US-Dollar pro Transaktion), Italien (774 US-Dollar) und Dänemark (730 US-Dollar).

Was hat sich geändert?

Classiscam wurde ursprünglich als vergleichsweise einfacher Betrugsbetrieb gestartet. Cyberkriminelle erstellten gefälschte Anzeigen auf Kleinanzeigen-Websites und nutzten soziale Manipulationstechniken, um Nutzer dazu zu bringen, die falsch beworbenen Waren oder Dienstleistungen „zu kaufen“ – sei es durch direkte Überweisung von Geld an die Betrüger oder durch Abbuchung von Geld von der Bankkarte des Opfers.

In den letzten zwei Jahren wurde der Classiscam-Betrieb zunehmend automatisiert. Das Schema nutzt nun Telegram-Bots und -Chats, um Operationen zu koordinieren und Phishing- und Betrugsseiten in wenigen Sekunden zu erstellen. Viele der Gruppen bieten leicht verständliche Anleitungen an, und Experten stehen zur Verfügung, um Anwenderfragen zu beantworten.

Im Laufe des letzten Jahres haben die Forscher von Group-IB beobachtet, dass die Rollen innerhalb von Betrugsgruppen mit erweiterter Hierarchie spezialisierter geworden sind. Classiscam-Phishing-Seiten können nun eine Kontostandsprüfung enthalten, die die Betrüger nutzen, um festzustellen, mit wie viel sie die Karte des Opfers belasten können. Möglich sind auch gefälschte Anmeldeseiten für Banken, womit die Kriminellen die Zugangsdaten der Benutzer abfangen. Group-IB-Experten haben nun 35 solcher Scammer-Gruppen gefunden, die Links zu Phishing-Seiten verbreiten, die gefälschte Anmeldeformulare für Bankdienstleistungen enthalten. Insgesamt haben Classiscam-Betrüger Ressourcen erstellt, die die Anmeldeseiten von 63 Banken in 14 Ländern nachahmen, darunter Belgien, Kanada, die Tschechische Republik, Frankreich, Deutschland, Polen, Singapur und Spanien.

„Classiscam zeigt keine Anzeichen einer Verlangsamung, und die Ränge der Classiscammer wachsen weiter. Im letzten Jahr haben wir gesehen, dass Betrugsgruppen eine neue, erweiterte Hierarchie angenommen haben, und die Rollen innerhalb der Organisationen werden zunehmend spezialisiert. Aufgrund der vollständigen Automatisierung des Schemas und der geringen technischen Einstiegshürde wird Classiscam voraussichtlich auch im Jahr 2023 eine der größten globalen Betrugsoperationen bleiben“, sagt Camill Cebulla, Sales Director Europe bei Group-IB.

Group-IB wird weiterhin globale Classiscam-Kampagnen überwachen und sowohl mit Strafverfolgungsbehörden als auch mit betroffenen Marken zusammenarbeiten, um bei den Bemühungen zur Bekämpfung dieser Betrügereien zu helfen. Unternehmen, deren Marke und Image von Betrügern missbraucht werden, wird empfohlen, Schutzlösungen gegen digitale Risiken einzusetzen, die Phishing-Domains aktiv überwachen, identifizieren und beseitigen können.

In a new blog post, Group-IB analysts explain how this automated scam uses Telegram bots to provide assistance in creating ready-made phishing pages. These mimic companies from various industries, including online marketplaces, classifieds websites and logistics companies. They are also designed to steal money, payment details and, more recently in some cases, bank credentials from unsuspecting internet users.

From the first half of 2021 to the first half of 2023, a total of 251 individual brands from 79 countries were replicated on Classiscam phishing sites, according to Group-IB’s findings. In addition, the phishing templates created for each brand could be adapted to the circumstances of different countries by changing the language and currency displayed on the fraud page. As a result, for example, a specific logistics brand of „Classiscam“ was imitated to target users in up to 31 countries.

Since the second half of 2019, when Group-IB’s Computer Emergency Response Team (CERT-GIB) first identified Classiscam’s activities in collaboration with its own Digital Risk Protection Department, 1,366 separate groups have been discovered using this scam on Telegram. Group-IB experts therefore examined Telegram channels that contained information about 393 Classiscam groups with more than 38,000 members active between the first half of 2020 and 2023. In doing so, Group-IB found how the actors behind Classiscam worked to formalize and expand the operations of the fraud scheme from the very beginning. Beginning in 2022, Classiscam introduced new innovations, including phishing schemes aimed at intercepting victims‘ online bank account credentials. Some groups also began using information thieves.

In line with its mission to combat global cybercrime, Group-IB will continue to share intelligence gained from its proprietary digital risk protection solution with law enforcement agencies, particularly in relation to Classiscam. The main goal of this research is to educate the public about the latest fraud methods and reduce the number of victims of these fraud activities.

Worldwide distribution

Originally, Classiscam appeared in Russia, where the scheme was tried and tested before being rolled out worldwide. The fraud service affiliate scheme gained popularity in the spring of 2020, when the COVID-19 pandemic emerged and there was increased use of remote work and online shopping.

Group-IB experts noted how the fraud scheme was first exported to Europe before reaching other regions such as the United States, Asia Pacific (APAC) and the Middle East and Africa (MEA). In the first half of 2021, Classiscammers had targeted Internet users from 30 countries. Group-IB experts now inform that this number has increased to 79 in the first half of 2023. In the same period, the number of abused brands worldwide has also increased from 38 to 251.

The average damage suffered by Classiscam victims worldwide was $353. Among them, British users lost the most to Classiscammer: in the UK, unfair transactions amounted to an average of US$865. Users in Luxembourg ($848 per transaction), Italy ($774) and Denmark ($730) fared similarly.

What has changed?

Classiscam was originally launched as a comparatively simple scam operation. Cybercriminals created fake ads on classified ad websites and used social manipulation techniques to trick users into „buying“ the falsely advertised goods or services – whether by transferring money directly to the scammers or by charging money to the victim’s bank card.

Over the past two years, Classiscam operations have become increasingly automated. The scheme now uses Telegram bots and chats to coordinate operations and create phishing and scam pages in seconds. Many of the groups offer easy-to-follow instructions, and experts are available to answer user questions.

Over the past year, Group-IB researchers have observed that roles within extended-hierarchy fraud groups have become more specialized. Classiscam phishing pages may now include an account balance check, which the fraudsters use to determine how much to charge the victim’s card. Fake bank login pages are also possible, which the criminals use to intercept users‘ credentials. Group-IB experts have now found 35 such scammer groups spreading links to phishing pages containing fake banking services login forms. In total, Classiscam scammers have created resources that mimic the login pages of 63 banks in 14 countries, including Belgium, Canada, the Czech Republic, France, Germany, Poland, Singapore and Spain.

„Classiscam shows no signs of slowing down, and the ranks of Classiscammers continue to grow. Over the past year, we have seen fraud groups adopt a new, expanded hierarchy, and roles within organizations are becoming increasingly specialized. Due to the full automation of the scheme and the low technical barrier to entry, Classiscam is expected to remain one of the largest global fraud operations in 2023,“ said Camill Cebulla, Sales Director Europe at Group-IB.

Group-IB will continue to monitor global Classiscam campaigns and work with both law enforcement agencies and affected brands to help in efforts to combat these scams. Companies whose brand and image are being abused by fraudsters are advised to deploy digital risk protection solutions that can actively monitor, identify and eliminate phishing domains.