新加坡正在进行一项新的信用卡盗窃活动,通过精心设计的网络钓鱼技巧在分类网站上窃取卖家的付款详细信息。
诈骗者还试图使用银行实际平台上的有效一次性密码 (OTP) 将资金直接转移到他们的账户。
Group-IB 的威胁分析师在2022 年 3 月发现了最近的这一波浪潮,他们 认为这是 他们在 2020 年发现的名为“Classicscam”的全球行动的一部分。
新加坡是犯罪行动目标范围的新成员,这是一个不好的迹象,表明该计划仍在增长,其范围正在扩大。
扩大经营
Classicscam 是一个全自动的“诈骗即服务”平台, 针对 试图出售或购买页面上列出的东西的分类网站用户。
该计划还针对银行、加密货币交易所、快递公司、搬家公司和其他类型的服务提供商,反映了其广泛的目标范围。
它依靠 Telegram 频道(目前有 90 个活跃)进行推广和运营协调,自 2019 年推出以来,估计已造成超过 2900 万美元的损失。
根据 Group-IB 的数据,犯罪网络目前有 38,000 名注册用户,他们获得了大约 75% 的被盗金额,而平台管理员则获得了 25% 的分成。
新加坡在十字准线
Classicscam 以前在俄罗斯、欧洲和美国出现,但最近增加了创建模仿新加坡流行分类网站的网络钓鱼网站的选项。因此,开辟了一个新的、相当大的目标池。
对于这个特定的活动,该操作使用了 18 个域,作为通过 Telegram 机器人创建网络钓鱼站点的空间。
映射新加坡网络 (Group-IB)
诈骗者接近物品的卖家并声明有兴趣购买,最终将生成的网络钓鱼站点的 URL 发送给他们
如果卖家点击它,他们将登陆一个看起来像分类门户网站的网站,表明上述商品的付款已经完成。
假付款通知 (Group-IB)
据称,卖家必须输入完整的卡详细信息才能收到购买资金,包括卡号、到期日期、持有人姓名和 CVV 代码。
钓鱼卡表格 (Group-IB)
接下来,向受害者提供一个虚假的 OTP(一次性密码)页面,而 Classicscam 服务使用它通过反向代理在真实银行门户上登录骗子。
最后,为了将有价值的账户与持有较少资金的账户分开,受害者被要求输入他们的账户余额,这应该是一个验证步骤。
提示受害者输入他们的卡余额(Group-IB)
难以停止
Group-IB表示,他们正在积极跟踪和阻止 Classicscam 网站,报告其基础设施,并提醒目标服务以告知用户风险。
然而,尽管在过去三年中阻止了 5,000 多个恶意端点,Classicscam 仍在继续扩散和扩展。
“Classiscam 比传统类型的诈骗要复杂得多,”Group-IB 的数字风险保护团队负责人 Ilia Rozhnov 评论道。
“与传统的骗局不同,Classiscam 是完全自动化的,可以广泛分布。骗子可以即时创建取之不尽的链接列表。”
“为了使检测和删除复杂化,流氓域的主页总是重定向到本地分类平台的官方网站。”
在尝试进行任何购买或输入敏感细节之前,促进金融交易的平台用户应熟悉所提供的功能和选项。
