Thought Leadership
Group-IB, ein Unternehmen im Bereich Cybersicherheit mit Europazentrale in Amsterdam, enthรผllt, dass die Scam-as-a-Service-Plattform Classiscam seine weltweite Kampagne bis weit in das Jahr 2023 fortsetzt. In einem neuen Blog-Beitrag erlรคutern Group-IB-Analysten, wie sich diese automatisierte Scamming-Masche Telegram-Bots bedient, um Unterstรผtzung zur Erstellung von gebrauchsfertigen Phishing-Seiten zu bieten.
Diese ahmen Unternehmen aus verschiedenen Branchen nach, darunter Online-Marktplรคtze, Kleinanzeigen-Websites und Logistikunternehmen. Sie sind zudem darauf ausgelegt, Geld, Zahlungsmitteldaten und in jรผngster Zeit teilweise auch Bank-Anmeldeinformationen von ahnungslosen Internetnutzern zu stehlen.
Vom ersten Halbjahr 2021 bis zum ersten Halbjahr 2023 wurden gemรคร den Erkenntnissen von Group-IB insgesamt 251 Einzelmarken aus 79 Lรคndern auf Classiscam-Phishing-Seiten reproduziert. Darรผber hinaus konnte man die fรผr jede Marke erstellten Phishing-Vorlagen an die Gegebenheiten verschiedener Lรคnder mittels Bearbeitung der auf der Betrugsseite angezeigten Sprache und Wรคhrung anpassen. Als Ergebnis wurde beispielsweise eine bestimmte Logistikmarke von โClassiscammernโ nachgeahmt, um Anwender aus bis zu 31 Lรคndern ins Visier zu nehmen.
Seit dem zweiten Halbjahr 2019, als das โComputer Emergency Response Teamโ (CERT-GIB) von Group-IB zusammen mit der eigenen Digital-Risk-Protection-Abteilung erstmals die Aktivitรคten von Classiscam identifizierte, wurden 1.366 separate Gruppen entdeckt, die dieses Betrugsschema auf Telegram nutzen. Die Experten von Group-IB untersuchten also Telegram-Kanรคle, die Informationen zu 393 Classiscam-Gruppen mit mehr als 38.000 Mitgliedern enthielten, die zwischen dem ersten Halbjahr 2020 und 2023 aktiv waren. Dabei stellte Group-IB fest, wie die Akteure hinter Classiscam von Beginn an daran gearbeitet haben, die Ablรคufe des Betrugsschemas zu formalisieren und auszuweiten. Ab 2022 fรผhrten die Classiscammer neue Innovationen ein, darunter Phishing-Schemata, die darauf abzielen, Anmeldedaten der Online-Bankkonten der Opfer abzufangen. Einige Gruppen haben zudem damit begonnen, Information-Stealer einzusetzen.
Im Einklang mit seiner Mission zur Bekรคmpfung der globalen Cyberkriminalitรคt wird Group-IB die aus der firmeneigenen Lรถsung fรผr den Schutz gegen digitale Risiken gewonnenen Erkenntnisse weiterhin mit Strafverfolgungsbehรถrden teilen, insbesondere in Bezug auf Classiscam. Das Hauptziel dieser Forschung ist es, die รffentlichkeit รผber die neuesten Betrugsmethoden aufzuklรคren und die Anzahl der Opfer dieser Betrugsaktivitรคten zu reduzieren.
Weltweite Verbreitung
Ursprรผnglich tauchte Classiscam in Russland auf, wo das Schema ausprobiert und getestet wurde, bevor es weltweit eingefรผhrt wurde. Das Betrugsdienst-Affiliate-Programm gewann im Frรผhjahr 2020 an Popularitรคt, als die COVID-19-Pandemie auftrat und es zu einer erhรถhten Nutzung von Remote-Arbeit und Onlineshopping kam.
Die Experten von Group-IB stellten fest, wie das Betrugsschema zuerst nach Europa exportiert wurde, bevor es andere Regionen wie die Vereinigten Staaten, die Asien-Pazifik-Region (APAC) und den Nahen Osten sowie Afrika (MEA) erreichte. Im ersten Halbjahr 2021 hatten Classiscammer Internetnutzer aus 30 Lรคndern ins Visier genommen. Die Group-IB-Experten teilen nun mit, dass diese Zahl im ersten Halbjahr 2023 auf 79 angestiegen ist. In derselben Zeitspanne hat sich zudem die Anzahl der missbrauchten Marken weltweit von 38 auf 251 erhรถht.
รber 62% der von den Experten von Group-IB analysierten Classiscam-Ressourcen, die zwischen dem ersten Semester 2021 und 2023 erstellt wurden, hatten Nutzer in Europa im Visier. Andere stark betroffene Regionen waren der Nahe Osten und Afrika (18,2 % der Ressourcen) sowie die Asien-Pazifik-Region (13%).
Auf dem europรคischen Kontinent war die Tschechische Republik (5,5% der gesamten Vorfรคlle in der Region) das Land mit der hรถchsten Anzahl an missbrauchten Marken. Ebenfalls stark betroffen sind das Vereinigte Kรถnigreich (5,5 %), die Slowakei (5%), Deutschland (4,2 %), รsterreich (3,9 %) und die Schweiz (3,7 %).
Internetnutzer in Deutschland fรผhrten 26,5 % aller in Classiscam-Chats verzeichneten Transaktionen durch โ der hรถchste Wert im Lรคndervergleich. Auf dieser Liste folgten Polen (21,9 %), Spanien (19,8 %), Italien (13,0 %) und Rumรคnien (5,5 %).
Der durchschnittliche Schaden, den Classiscam-Opfer weltweit erlitten, betrug 353 US-Dollar. Dabei verloren britische Nutzer am meisten an Classiscammer: In Groรbritannien beliefen sich die unlauteren Transaktionen im Durchschnitt auf 865 US-Dollar. รhnlich erging es Nutzern in Luxemburg (848 US-Dollar pro Transaktion), Italien (774 US-Dollar) und Dรคnemark (730 US-Dollar).
Nutzer in der APAC- und MEA-Region waren weniger anfรคllig fรผr Classiscam-Systeme, obwohl Opfer in Singapur durchschnittlich 682 US-Dollar durch den Betrug verloren. In Australien belief sich diese Zahl auf 515 US-Dollar, und in Saudi-Arabien (MEA) erlitten Opfer erfolgreicher Classiscam-Systeme durchschnittlich einen Verlust von 525 US-Dollar.
Was hat sich geรคndert?
Classiscam wurde ursprรผnglich als vergleichsweise einfacher Betrugsbetrieb gestartet. Cyberkriminelle erstellten gefรคlschte Anzeigen auf Kleinanzeigen-Websites und nutzten soziale Manipulationstechniken, um Nutzer dazu zu bringen, die falsch beworbenen Waren oder Dienstleistungen โzu kaufenโ โ sei es durch direkte รberweisung von Geld an die Betrรผger oder durch Abbuchung von Geld von der Bankkarte des Opfers.
In den letzten zwei Jahren wurde der Classiscam-Betrieb zunehmend automatisiert. Das Schema nutzt nun Telegram-Bots und -Chats, um Operationen zu koordinieren und Phishing- und Betrugsseiten in wenigen Sekunden zu erstellen. Viele der Gruppen bieten leicht verstรคndliche Anleitungen an, und Experten stehen zur Verfรผgung, um Anwenderfragen zu beantworten.
Im Laufe des letzten Jahres haben die Forscher von Group-IB beobachtet, dass die Rollen innerhalb von Betrugsgruppen mit erweiterter Hierarchie spezialisierter geworden sind. Classiscam-Phishing-Seiten kรถnnen nun eine Kontostandsprรผfung enthalten, die die Betrรผger nutzen, um festzustellen, mit wie viel sie die Karte des Opfers belasten kรถnnen. Mรถglich sind auch gefรคlschte Anmeldeseiten fรผr Banken, womit die Kriminellen die Zugangsdaten der Benutzer abfangen. Group-IB-Experten haben nun 35 solcher Scammer-Gruppen gefunden, die Links zu Phishing-Seiten verbreiten, die gefรคlschte Anmeldeformulare fรผr Bankdienstleistungen enthalten. Insgesamt haben Classiscam-Betrรผger Ressourcen erstellt, die die Anmeldeseiten von 63 Banken in 14 Lรคndern nachahmen, darunter Belgien, Kanada, die Tschechische Republik, Frankreich, Deutschland, Polen, Singapur und Spanien.
โClassiscam zeigt keine Anzeichen einer Verlangsamung, und die Rรคnge der Classiscammer wachsen weiter. Im letzten Jahr haben wir gesehen, dass Betrugsgruppen eine neue, erweiterte Hierarchie angenommen haben, und die Rollen innerhalb der Organisationen werden zunehmend spezialisiert. Aufgrund der vollstรคndigen Automatisierung des Schemas und der geringen technischen Einstiegshรผrde wird Classiscam voraussichtlich auch im Jahr 2023 eine der grรถรten globalen Betrugsoperationen bleibenโ, sagt Camill Cebulla, Sales Director Europe bei Group-IB.
Group-IB wird weiterhin globale Classiscam-Kampagnen รผberwachen und sowohl mit Strafverfolgungsbehรถrden als auch mit betroffenen Marken zusammenarbeiten, um bei den Bemรผhungen zur Bekรคmpfung dieser Betrรผgereien zu helfen. Unternehmen, deren Marke und Image von Betrรผgern missbraucht werden, wird empfohlen, Schutzlรถsungen gegen digitale Risiken einzusetzen, die Phishing-Domains aktiv รผberwachen, identifizieren und beseitigen kรถnnen.
www.group-ib.com
