Group-IB detecta la expansión de Classiscam: Operación de estafa como servicio por valor de $64.5 millones dirigida a 251 marcas en 79 países
Group-IB, un líder mundial en ciberseguridad con sede en Singapur, ha revelado sus hallazgos sobre la continua campaña a nivel mundial orquestada por la operación de estafa como servicio conocida como Classiscam, que ha persistido hasta bien entrado el 2023.
En un blog recientemente publicado, los analistas de Group-IB brindan una visión detallada sobre el mecanismo automatizado de Classiscam, que utiliza bots de Telegram para facilitar la rápida creación de páginas de phishing plenamente operativas que imitan a una amplia variedad de empresas representantes de diversos sectores, incluidos los mercados en línea, plataformas de clasificados y empresas de logística.
Estas páginas fraudulentas están meticulosamente diseñadas para obtener fondos, credenciales de pago y, más recientemente, información de inicio de sesión bancario de usuarios en línea desprevenidos.
La exhaustiva investigación de Group-IB revela que, entre la primera mitad de 2021 y la primera mitad de 2023, un total de 251 marcas distintas en 79 países diferentes fueron presentadas en las engañosas páginas de phishing asociadas a Classiscam.
Además, las plantillas de phishing diseñadas para cada marca exhiben la flexibilidad para ser adaptadas a diferentes países ajustando los elementos de idioma y moneda presentes en las páginas de estafa.
Como resultado, una marca de logística específica fue exitosamente suplantada por “Classiscammers”, apuntando a individuos en hasta 31 países.
Desde la segunda mitad de 2019, cuando el Equipo de Respuesta a Emergencias Informáticas de Group-IB (CERT-GIB) en colaboración con la unidad de Protección de Riesgos Digitales de la organización identificó por primera vez las actividades de Classiscam, se han rastreado un total de 1.366 grupos distintos que explotan este esquema hasta Telegram.
Los expertos de Group-IB examinaron minuciosamente los canales de Telegram que contenían datos relacionados con 393 grupos de Classiscam, con una membresía colectiva que superaba los 38.000 participantes, operando activamente entre la primera mitad de 2020 y la primera mitad de 2023. Durante este período, las ganancias estimadas combinadas generadas por estos grupos alcanzaron una asombrosa suma de $64.5 millones de dólares estadounidenses.
Group-IB destaca los esfuerzos concertados de los actores maliciosos detrás de Classiscam, quienes han formalizado sistemáticamente y ampliado el marco operativo de la estafa.
A partir de 2022 en adelante, los Classiscammers han introducido estrategias innovadoras, incluyendo tácticas de phishing diseñadas para comprometer las credenciales de las cuentas bancarias en línea de las víctimas, con ciertos grupos comenzando a emplear robadores de información.
Alineado con su misión fundamental de combatir el cibercrimen, Group-IB sigue comprometido en difundir sus conocimientos sobre Classiscam, derivados de la solución exclusiva de Protección de Riesgos Digitales de la organización, a las autoridades policiales pertinentes. El objetivo principal detrás de esta iniciativa de investigación es aumentar la conciencia pública acerca de las últimas metodologías fraudulentas, a la vez que se reduzca el número de personas que caen víctimas de esta elaborada estafa.
Expansión Global
Originariamente surgido en Rusia, Classiscam se sometió a rigurosas pruebas antes de su posterior expansión global. El programa de afiliados asociado a esta operación de estafa como servicio experimentó un aumento significativo en su popularidad durante la primavera de 2020, coincidiendo con el advenimiento de la pandemia de COVID-19 y el consiguiente aumento en los arreglos de trabajo remoto y las prácticas de compras en línea.
Los expertos de Group-IB observaron la gradual exportación de este esquema fraudulento, inicialmente hacia regiones europeas antes de penetrar en otros territorios internacionales, incluyendo los Estados Unidos, la región de Asia-Pacífico (APAC), así como Oriente Medio y África (MEA). Para la primera mitad de 2021, los Classiscammers habían logrado dirigirse a usuarios de Internet en 30 naciones. Avanzando hacia la primera mitad de 2023, esta amplitud geográfica se había expandido significativamente, abarcando un total de 79 países. Simultáneamente, el espectro de marcas objeto de targeting en el escenario global aumentó de 38 a 251.
Distribución Geográfica de los Objetivos
De los recursos de Classiscam examinados por los especialistas de Group-IB, diseñados e implementados entre la primera mitad de 2021 y la primera mitad de 2023, más del 62.2% estaban dirigidos a usuarios dentro del dominio europeo. Adicionalmente, Oriente Medio y África representaron el 18.2% de estos recursos, mientras que la región de Asia-Pacífico contribuyó con el 13%.
Tendencias en las Transacciones e Impacto
Entre las naciones estudiadas, los usuarios de Internet en Alemania constituyeron el 26.5% de todas las transacciones registradas en los chats de Classiscam, marcando la proporción más alta entre todas las naciones. Le siguen Polonia con un 21.9%, España con un 19.8%, Italia con un 13.0% y Rumania con un 5.5%.
La pérdida financiera promedio sufrida por las víctimas de Classiscam en todo el mundo ascendió a $353 USD. Notablemente, los usuarios del Reino Unido experimentaron la pérdida promedio más alta, con cada transacción fraudulenta promediando $865. En segundo lugar en la lista se encontraban los usuarios de Luxemburgo ($848 por transacción), Italia ($774) y Dinamarca ($730).
Evolución y Modus Operandi
Inicialmente, Classiscam comenzó como una operación de estafa relativamente sencilla. Los cibercriminales publicaban anuncios falsos en plataformas de clasificados, complementados con tácticas de ingeniería social para engañar a los usuarios y hacer que “compraran” los productos o servicios supuestamente ofrecidos. Esto implicaba transferir fondos directamente a los estafadores o debitar dinero de la tarjeta bancaria de la víctima.
A lo largo de los últimos dos años, los mecanismos de Classiscam han experimentado una notable evolución hacia una mayor automatización. El esquema actual emplea bots y canales de Telegram para agilizar las operaciones, permitiendo la creación rápida de páginas de phishing y estafa en cuestión de segundos. Muchos de estos grupos brindan instrucciones fáciles de entender, junto con orientación experta para otros usuarios. Una exposición detallada del funcionamiento del esquema de Classiscam se presenta en la Figura 5 del artículo.
Recientemente, los investigadores de Group-IB han observado la aparición de roles especializados dentro de los grupos de estafadores, lo que contribuye a una jerarquía expandida. Las páginas de phishing de Classiscam ahora incorporan características como un mecanismo de evaluación de saldo, que permite a los estafadores evaluar la cantidad potencial que pueden extraer de la tarjeta de una víctima. Además, se emplean páginas falsas de inicio de sesión bancario para obtener credenciales de usuario. Al momento de escribir este texto, Group-IB ha identificado 35 grupos de estafadores que distribuyen enlaces a páginas de phishing que presentan formularios de inicio de sesión fraudulentos para servicios bancarios.
En total, los Classiscammers han desarrollado recursos que imitan las interfaces de inicio de sesión de 63 bancos en 14 países diferentes. Entre las instituciones bancarias objetivo se encuentran bancos con sede en Bélgica, Canadá, la República Checa, Francia, Alemania, Polonia, Singapur y España.
“Classiscam no muestra signos de disminución y las filas de los Classiscammers continúan aumentando. Durante el último año, hemos observado cómo los grupos de estafadores han adoptado una nueva jerarquía ampliada, y los roles dentro de las organizaciones se están especializando cada vez más. Es muy probable que Classiscam siga siendo una de las principales operaciones de estafa globales a lo largo de 2023 debido a la automatización completa del esquema y a las bajas barreras técnicas de entrada,” comentó Vladimir Kalugin, Director de Operaciones (Protección de Riesgos Digitales) de Group-IB.
Group-IB mantiene su compromiso de monitorear de cerca las campañas de Classiscam en todo el mundo, colaborando tanto con las entidades policiales como con las marcas afectadas para contribuir activamente a los esfuerzos dirigidos a desmantelar estos intentos fraudulentos. Se recomienda a las empresas que son objeto de suplantación por parte de estafadores que aprovechen las soluciones de Protección de Riesgos Digitales capaces de vigilar, identificar y desmantelar activamente dominios de phishing.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en
NIST publica estándares de criptografía cuántica segura 2023
Dell NativeEdge 2023 permite la innovación en el borde
Taiwan-China 2023: crece la tensión por actividad cibernética del EPL
Black Hat USA 2023: expone las mayores vulnerabilidades de MacOS
🚨ChatGPT🚨Google Bard🚨158 incidentes por cada 10 000 usuarios empresariales por mes
NO TE PIERDAS EL ÚLTIMO IT CONNECT SECURE STREAM