FTI

讲俄语的骗子一直在大规模地针对市场和分类信息的用户进行诈骗。国际银行集团的计算机应急小组（CERT-GIB）和数字风险保护专家于 2019 年夏季在俄罗斯首次发现了这种骗局，并将其命名为 "Classiscam"。2020 年春季出现了活动高峰：其原因是 Covid-19 大流行以及由此导致的远程工作、网上购物和使用快递服务的激增。2020 年夏季，cptmarkets外汇平台下载CERT-GIB 下线了 280 个提供虚假快递服务的 Classiscam 钓鱼网页，到 12 月，这一数字增长了 10 倍，超过了 3,000 个网页。

调查持续了几个月，最终形成了关于从俄罗斯向欧洲和美国迁移的 Classiscammers 的报告。

目前，包括 20 个大型犯罪团伙在内的 40 多个犯罪团伙以保加利亚、捷克共和国、法国、哈萨克斯坦、吉尔吉斯、波兰、罗马尼亚、乌克兰、美国和乌兹别克斯坦的用户和品牌为目标。据估计，所有采用这种欺诈手段的犯罪团伙每年都能获利 600 多万美元，而且这一数字还在不断增长。

故事开始于 2020 年 4 月的一个晚上，当时叶夫根尼-伊万诺夫正在 CERT-GIB 值班。他正在处理客户请求和信息，其中许多都是用户对一项热门快递服务的投诉。

在查看了这些投诉和用户分享的信息后，他发现所有资源都有一个共同点：

• 它们都是官方网站的复制品。
• 各种虚假服务的支付页面除了徽标外与真实服务完全相同。
• 有些网站子域包含不止一个钓鱼页面。

我们决定对这一事件进行更详细的调查，并发现了一个招募会员的骗局广告。我们发现的信息甚至让我们这个自以为见多识广的分析师团队都感到惊讶。这个骗局似乎影响极其深远，作者听起来傲慢得认为他们可以逃脱惩罚。今日汇率查询换算表

在调查的第一部分，我们收集了一些细节，并仔细记录了有关该骗局及其参与者的一切信息：趋势、论坛评论、付款截图、反馈和开放的 Telegram 频道。我们检查了论坛上管理员和工作人员的资料，并使用 Group-IB 的图网络分析工具发现了其中的联系。包括与骗子通信在内的用户投诉极大地帮助了我们的调查。

让我们看看我们发现了什么。

第 1 部分.Classiscam：阶段和描述

在骗局的早期阶段，骗子们使用了相对简单的方法：他们在市场和分类广告上制作诱饵广告，并使用社交工程技术说服用户通过向银行卡转账的方式支付货款。骗子们使用了所有典型的伎俩：低价、折扣、礼品、限时购物、谈论先到先得的条件以及其他类似的策略。不同的团伙来来去去，但有一点始终不变：骗子拿到了钱，而用户却没有拿到货。

平台所有者的对策是引入 "担保"：在线支付的电子安全系统，作为其中的一部分，平台将 "冻结 "汇款，直到买方收到货物。只有在买方声明没有任何投诉后，卖方才能收到付款。此外，平台安全系统还会阻止骗子发送的钓鱼网页链接。

最终，骗子们找到了绕过安全措施的方法。他们使用自动工具生成钓鱼网页，并对欺诈机制进行了微调。让我们来详细分析一下这个骗局是如何运作的。

• 好得不像真的优惠

骗子在免费分类信息网站上注册新账户或使用已泄露的账户后，会发布一些好得不真实的信息：针对不同目标受众的低价商品。待售 "商品包括相机、游戏机、笔记本电脑、智能手机、电锯、汽车音响系统、缝纫机、收藏品、钓鱼配件、运动饮料等。

• 与受害者联系

用户通过在线平台的聊天系统与骗子联系后，骗子会建议切换到 WhatsApp 和 Viber 等聊天工具来讨论购买和交付细节。

• 准备交易

在聊天工具中，骗子要求受害者提供全名、地址和电话号码，据称是为了填写快递网站上的送货单。

• 通过网络钓鱼资源付款

接下来，他们会向用户发送一个钓鱼资源链接，该链接完美地模仿了流行快递服务的官方网站。链接指向一个显示受害者提供的所有详细信息的页面，受害者被要求验证这些信息，然后完成支付。

• 退款从未到账

有些人两次上当受骗--他们被骗要求退款，但退款从未到账。一段时间后，买家被告知邮局发生了事故。骗子编造了各种故事：例如，邮局员工偷窃被抓，警察没收了货物，因此买家需要填写退款申请。当然，退款并没有入账，而是从受害者的卡上第二次扣款。

• 反向诈骗

最终，这种骗局出现了新的变种，骗子们扮演的是买家而不是卖家的角色。

所谓的工人在免费分类信息网站上搜索出售商品的广告。广告必须满足的条件包括卖方希望通过电话联系并提供电话号码，以及货物可以交付。

骗子通过流行的第三方信使与卖家联系，从而绕过在线平台的安全聊天系统，并询问卖家是否仍有货物。

然后，骗子声称承诺购买和发货，并使用 Telegram 自动机器人生成一个带有真实姓名、照片和货物价格的钓鱼页面。

钓鱼页面在几分钟内就可以制作完成，并可通过信使发送给受害卖家，说明一切都已支付，卖家必须核实所有细节。当然，为了收到付款，卖方必须输入银行卡信息。

范围广泛的骗局：房产租赁和拼车

如今，诈骗分子有多种快递服务品牌可供选择，用来进行网络钓鱼诈骗。不过，最近他们也开始对用于发布汽车和汽车配件、电子产品、房产租赁和共享乘车服务广告的网站感兴趣。

诈骗者并不在乎一个平台提供什么服务，无论是房产租赁还是自行车销售。他们关心的是，网站是否为用户提供了内部交流的机会，是否能在网站内达成 "安全 "交易，从而有可能将最终链接替换为一个听起来相似的虚假域名链接，以完成支付。

模仿流行快递服务创建虚假网站的团伙也参与了对房产租赁服务的攻击。暑假期间，人们只能在俄罗斯境内旅行，因此对酒店预订网站的攻击变得更加常见。暑假过后，骗子们将重点转向了房产租赁服务。我们不能排除犯罪集团之间的内部竞争促使他们寻找机会以新的方式赚钱。

第 2 部分.犯罪集团

Group-IB 小组发现了几个专门从事此类诈骗的团伙。

典型犯罪团伙的组成：

• 管理员（又称话题发起人）、群组组织者或管理员，负责支付系统的软件和性能，为用户提供支持，并分配资金；
• 雇佣的 "工人 "或 "垃圾邮件发送者"，他们的工作是在免费分类信息网站上注册一日账户，根据现成的模板制作诱饵广告，通过平台聊天系统和/或信使与受害者交流，并向受害者发送网络钓鱼链接；
• 所谓的 "来电者 "或 "退款者"，他们扮演快递服务客户支持代理的角色。在获得受害者的信任后，他们建议安排退款，通常使用相同的虚假资源。结果，受害者的银行卡被第二次扣款。
• 我们在调查论坛时发现，此类犯罪团伙有几十个，他们都在努力扩大业务，吸引新的受害者。

例如，最大的犯罪团伙之一自称为 "梦想家赚钱帮（DMG）"，通过 Telegram 机器人雇佣工人，并承诺提供培训机会、"市场上最好的域名 "以及无隐性利息的快速付款。DMG 每天的收入约为 3000 美元。

另一个犯罪团伙的收入在 2020 年初暴涨：从 10,600 美元（1 月）到 47,320 美元（2 月），再到 83,825 美元（3 月）和 120,328 美元（4 月）。

有没有想过骗子是如何保存金融账户的？

工人完成的所有交易都会显示在 Telegram 机器人中：金额、付款编号和工人的用户名。

其中一个聊天机器人包含大量转账，金额从 100 美元到 900 美元不等。这些钱首先汇入管理员的账户，然后由管理员将收入分配给群组的其他成员。

工人通常会收到交易额的 70-80% 作为加密货币，而管理员则会迅速将钱存入自己的加密货币钱包。管理员通常保留约 20-30% 的收入。

涉及 "退款 "的诈骗由所谓的 "来电者 "和 "退款者 "实施，他们扮演快递服务客户支持代理的角色。他们通过电话或信使与受害人联系后，提出办理退款，这实际上意味着受害人的银行卡被第二次扣款。

对于他们的服务，"来电者 "可以获得固定的报酬，也可以获得被盗金额的一定比例，通常在 5%到 20%之间。工人很少扮演这种角色，因为这需要专业技能，包括对社交工程技术的深入了解、清晰的声音以及快速回答疑虑重重的买家可能提出的最意想不到的问题的能力。

在分析了聊天机器人中有关支付的信息后，Group-IB 的分析师发现，40 个活跃的群组中有 20 个集中在欧洲和美国。他们的平均月收入约为 6 万美元，不过不同群组的收入可能相差很大。总体而言，40 个最活跃的犯罪团伙每月总收入估计至少为 522,731 美元。

第 3 部分.自动化和规模化

除了利用社会工程学技术进行诈骗外，骗子还必须解决技术问题。他们必须(i) 注册听起来与快递公司域名相似的域名并创建钓鱼网页，(ii) 防止支付服务出现 900 错误，即当银行阻止骗子试图转账的操作或卡时，(iii) 注册新账户并购买新电话号码。此外，骗子还必须招募新员工、创建新的网络钓鱼资源、提供技术支持等。

上述大部分任务都可以通过 Telegram 机器人完成。由于有了后者，骗子们不再需要创建网页来生成网络钓鱼页面，也不再需要所谓的 "管理员"。现在，工作人员需要做的就是在聊天机器人中植入诱饵产品的链接，然后机器人就会生成一套完整的钓鱼程序：快递服务、付款和退款页面的链接。

此外，Telegram 还拥有自己的全天候支持团队，并有在线商店出售骗子可能需要的一切：广告网站账户、手机、电子钱包、定向电子邮件群发、销售其他骗局等，甚至还有法律服务，以防骗子需要律师。

目前，有 5000 多名骗子在 40 个最活跃的聊天室注册。

在保加利亚、捷克共和国、法国、波兰和罗马尼亚，有十多种模仿品牌创建页面的 Telegram 机器人。针对每个品牌和页面，骗子都会编写模板脚本和说明，帮助新手工人注册新平台，并用当地语言与受害者交流。

因此，钓鱼网页的质量提高了，创建也变得更容易了，骗子得到的支持也越来越多。所有上述因素都导致分类信息网站上的欺诈行为急剧增加，越来越多的骗子希望参与到这种既简单又有利可图的活动中来。

下面是其中一个 Telegram 聊天机器人的示例：

新手工人可以通过 Telegram 机器人、地下论坛或直接通过管理员（TC）注册。群聊有开放式和封闭式两种。

让我们来看看封闭式聊天室。要参与骗局，必须通过 Telegram 机器人完成招聘程序，候选人会被问及在诈骗和其他领域的经验、从哪里得知骗局以及是否在任何地下论坛上有个人资料等问题。审查地下论坛上的个人资料很可能是为了筛选候选人及其声誉，并检查他们是否参与过任何仲裁程序，骗子们利用仲裁程序来解决纠纷，例如管理员（TC）未向工人支付 Classiscam 计划的约定金额。

工人完成注册程序后，可以进入三个聊天室：信息聊天室（项目详情、计划、说明）、工人聊天室（骗子相互交流、分享经验和讨论项目）和财务聊天室（付款报告）。值得注意的是，关于付款的聊天记录是公开的--很可能是用于广告目的，以吸引新的候选人。

我们会对工人的付款情况进行统计，收入最高的工人会被列入公开的高收入者名单。他们还可以访问顶级工人的 VIP 聊天室和 VIP 脚本（例如，在美国或欧洲工作），这是收入较低的骗子无法访问的。

此外，还有单独的聊天室供来电者使用，他们可以在里面找到如何与受害者交谈的说明和指南。

第四部分.导出 Classiscam

IB 集团和拥有快递服务和广告平台的公司一直在积极打击骗子，这促使犯罪团伙在 2020 年春季开始从俄罗斯向独联体和欧洲国家迁移。因此，骗子们开始寻找新的利基市场，比如出现了模仿房产租赁和博彩公司服务的钓鱼网站。俄罗斯互联网空间再次成为试验场，帮助骗子将其犯罪业务扩展到国际舞台。

到 2020 年，已经出现了针对外国品牌的攻击记录--在封闭的社区中，有工作经验的骗子可以使用生成钓鱼网页的软件，尽管这些都是罕见的孤立案例。

2020 年 2 月中旬，论坛上开始出现免费获取 Telegram 机器人的广告，承诺可以为乌克兰版免费分类网站 OXL 生成网络钓鱼表格。

2020 年 5 月，罗马尼亚版 "OXL "网站与乌克兰版网站同时出现。到 8 月初，保加利亚和哈萨克斯坦版的 OXL 网站出现在开放的 Telegram 机器人中。

骗子们并不局限于在独联体国家发起这一计划。8 月下旬，一个涉及法国流行的免费分类信息网站 Leboncoin 的骗局出现在流行的 Telegram 机器人中。

此后不久，波兰版的 OXL 网站骗局也出现了。

欧洲品牌被积极添加到 Telegram 机器人中。11 月下旬，波兰电子商务网站 Allegro 和捷克免费分类信息网站 Sbazar 上出现了钓鱼表单。

值得注意的是，与独联体国家相比，涉及欧洲和美国品牌的诈骗更难实施。讲俄语的骗子会遇到语言问题和网站账户验证困难，这就需要在论坛和社区上购买偷来的个人证件和电话号码。管理员很难将外币信用卡和借记卡与 Telegram 机器人连接起来。为此，他们不得不雇用经验丰富的 "钱骡"--负责收款和取款的代理人。

对于每个品牌，诈骗爱好者都会编写说明和指南，帮助新手注册外国平台，并用受害者的母语与他们交流。

第 5 部分.如何打击 Classiscam？

讲俄语的 Classiscam 骗子正迁移到欧洲和美国，以此赚取更多的钱并降低被抓的风险。打击这种骗局需要提供快递服务和拥有免费分类信息网站的公司加大力度，并使用先进的数字风险保护技术，以便快速发现和打掉犯罪团伙。

对品牌的建议

• 在俄罗斯，快递服务、免费分类信息和房产租赁网站最先受到 Classiscam 的攻击，与此不同的是，绝大多数用户和国际公司的安全服务人员尚未做好应对此类欺诈计划的准备。
• 传统的监控和拦截技术已不足以应对此类高级诈骗。相反，利用人工智能驱动的数字风险防护系统（更多详情请访问：https://www.group-ib.com/digital-risk-protection.html）识别和阻止对手的基础设施至关重要，这些系统的数据库会定期充实有关对手基础设施、技术、战术和新欺诈方案的信息。
  - 使用专门的数字风险防护系统，帮助主动检测新的虚假域名、欺诈性广告和网络钓鱼网页。
  - 确保对地下论坛进行持续筛查，以发现任何试图将贵公司品牌用于非法目的的信息。
  - 分析网络钓鱼攻击，以便将其归咎于特定的犯罪团伙，揭露欺诈者的身份，并将犯罪者绳之以法。
• 如果您或您的公司成为欺诈行为的受害者，请立即与警方联系，并将事件告知网站的技术支持团队，同时分享您与骗子之间的任何通信。您可以在这里向 CERT-GIB 24/7 报告任何欺诈行为，或发送电子邮件至response@cert-gib.com。

给用户的建议

• 在任何表格中输入您的支付卡详细信息之前，请仔细检查URL，并通过谷歌查看其创建时间。如果该网站只有几个月的历史，则极有可能是一个骗局或钓鱼网页。只相信官方网站。
• 电子产品的大幅折扣可能只是：好得不真实。它们很可能是骗子制作的诱饵产品或钓鱼网页。小心谨慎。
• 在使用新旧商品租赁或销售服务时，不要改用聊天工具。请在官方聊天工具上进行交流。
• 不要订购商品或同意涉及预付交易的交易。收到货物并确保一切正常后再付款。

本文由 CERT-GIB 检测和响应部门负责人 Evgeny Ivanov 和 Group-IB 数字风险保护团队特别项目副负责人 Yakov Kravtsov撰写 。

本文早先由 Group-IB 发布（链接：https://www.group-ib.com/blog/classiscam）

本文地址：https://forextrustindex.com/html/55e199943.html