skip to Main Content

Cybercrime, le truffe “Classiscam” via Telegram arrivano in Europa

di Pierguido Iezzi

Le truffe “Classiscam” via Telegram arrivano in Europa

Decine di gruppi del cybercrime stanno pubblicando falsi annunci su forum e bacheche on-line per attirare gli utenti verso siti fraudolenti o pagine di phishing al fine di sottrarre i dati delle carte di credito/debito. Fra alcuni dei marchi sfruttati attraverso questo schema criminale vi sono brand di grande successo in altri Paesi europei come LeBonCoin, Allegro, OLX, Sbazar, FAN Courier, Lalafo, Kufar, ma conosciuti anche in Italia come DHL. Almeno 40 gang di Criminal Hacker stanno sfruttando questo schema che si basa sui bot Telegram per pubblicizzare pagine che imitano in maniera speculare marketplace e corrieri impegnati nella consegna a domicilio. I ricercatori di Group-IB hanno individuato questo approccio per la prima volta in Russia, nell’estate del 2019. Tale strategia è stata inizialmente denominata Classiscam ed è cresciuta, in meno di un anno, da un numero iniziale di 280 pagine a più di 3.000 (dati aggiornati a inizio 2021). Dalla sua prima rivelazione, Classiscam si è esteso a Paesi Europei come Bulgaria, Francia, Repubblica Ceca, Polonia e Romania.

Sono almeno 40 i gruppi del cybercrime coinvolti, metà dei quali basati in Russia

Le almeno 40 bande di Criminal hacker sarebbero responsabili dell’architettura di Classiscam. 20 di queste sarebbero basate in Russia e quelle di maggiore successo arriverebbero a ricavi mensili superiori a mezzo milione di dollari. Secondo stime dettagliate, inoltre, i gruppi del cybercrime che operano nei Paesi europei realizzano un profitto medio mensile di 61.000 dollari. Il giro d’affari in tutto il 2020 legato a questo tipo di schema supererebbe i 6 milioni di dollari.

Come funziona la “Classiscam”

I truffatori pubblicano annunci sui marketplace più visitati, offrendo prodotti di vario genere (macchine fotografiche, console per videogiochi, computer, smartphone) a prezzi bassi. Quando ricevono un messaggio da un utente interessato, spostano la conversazione su un servizio di messaggistica esterno, come visto si tratta di Telegram. I numeri di telefono utilizzati dai criminali farebbero capo a utenze locali, ovvero dello stesso Paese della potenziale vittima. Come spesso avviene in una trattativa “normale” fra utenti, vengono richiesti i dettagli di spedizione e le informazioni di contatto per organizzare una presunta consegna. Il truffatore invia quindi all’acquirente un URL collegato a un sito web che imita in maniera sorprendentemente fedele quello di uno fra i corrieri più utilizzati, o in alternativa a un sito web di scamming in cui è presente un modulo di pagamento. Tramite questo form, il gruppo criminale ottiene dati sensibili come data di scadenza della carta di credito, codice di sicurezza CVV, ecc.

Un approccio a due facce e i servizi “chiavi in mano”

È importante notare come i truffatori possano raffigurarsi sia come venditori che come acquirenti. Quando si fingono clienti, inviano un modulo di pagamento falso ricavato da un bot di Telegram che imita una piattaforma di scambio. Il venditore riceve tale modulo, attraverso il quale vengono sottratti i dettagli della carta di pagamento. La tendenza recente dell’offerta e fornitura di minacce pronte all’uso è confermata da Classiscam. Infatti, in questo caso non sono richieste conoscenze tecniche, dato che i Telegram bot forniscono un kit di phishing completo. Una volta ricevuto il kit, il truffatore non dovrà fare altro che inviare al chatbot un link verso il prodotto da utilizzare come esca. Nei vari Paesi coinvolti sono attivi più di 10 tipi di bot che colpiscono diversi brand. Chi fornisce il servizio, spesso include nel “pacchetto” anche script, ovvero testi di vendita già preparati nella lingua target per convincere la vittima a completare la transazione.

Telegram Malware-as-a-Service

La struttura di questa truffa basata sui bot di Telegram è sorprendente per la sua complessità: infatti, gli amministratori incassano tra il 20% e il 30% del denaro sottratto, mentre gli affiliati che realizzano la truffa nella pratica trattengono il resto. La frode del cybercrime può assumere connotati ancora più complessi, coinvolgendo l’intervento di pseudo-addetti al supporto clienti che si mettono in contatto telefonico con la vittima per convincerla ad abboccare. Questi threat actors si piazzano gerarchicamente più in basso rispetto agli altri, dato che a loro spetta una percentuale variabile del denaro sottratto, fino a un valore massimo del 10%. Insomma, un sistema simile a quello visto con altri tipi di malware come i ransomware. Si tratta quindi di una rete commerciale molto ampia, dato che a fine 2020 si stima abbia coinvolto più di 5.000 truffatori. Gli esoperti di cybersecurity hanno cercato di contattare direttamente tutti i marchi vittima di danno d’immagine dalle operazioni di phishing di Classiscam, ma nonostante le dimensioni dell’attività criminale non c’è stata risposta.

Come difendersi dalle Classiscam e dalle minacce simili

Per proteggersi da tentativi di frode che seguono schemi simili a quello spiegato finora, consigliamo i seguenti step:

  • controllare gli URL per i dettagli del pagamento prima di fornire le informazioni, soprattutto se il link viene ricevuto attraverso un’app di messaggistica;
  • mantenere la conversazione sulla piattaforma ufficiale che funge da intermediario della transazione per rimanere protetti e avere prove in caso di tentata frode;
  • non anticipare mai il pagamento, preferendo ove possibile, metodi come il contrassegno che prevedono la transazione solo dopo aver ricevuto la merce;
  • diffidare di sconti clamorosi o prezzi incredibilmente bassi perché potrebbero essere un’esca in un più ampio schema di phishing;
  • Costante formazione attraverso servizi di Smishing Attack Simulation.

Non abbassiamo la guardia!

Back To Top