L’opération « Classiscam » est constituée d’une quarantaine de groupes opérant aux États-Unis et dans plusieurs pays européens.
Une opération de cybercriminalité récemment découverte en Russie a aidé des fraudeurs aux petites annonces à voler plus de 6,5 millions de dollars à des acheteurs aux États-Unis, en Europe et dans les anciens États soviétiques.
Dans un rapport, la société de cybersécurité Group-IB s’est penchée sur cette opération, que la société a décrite comme une escroquerie dite « SCAM » (ou attaque nigériane ou fraude 419) et portant le nom de code Classiscam.
Selon le rapport, le programme Classiscam a commencé début 2019 et ne ciblait initialement que les acheteurs actifs sur les marketplaces et les sites de petites annonces russes.
Le groupe s’est étendu à d’autres pays seulement l’année dernière après avoir commencé à recruter des escrocs qui pouvaient cibler et avoir des conversations avec des clients en langue étrangère. Actuellement, Classiscam est actif dans plus d’une douzaine de pays et sur les marchés étrangers et les services de messagerie tels que Leboncoin, Allegro, OLX, FAN Courier, Sbazar, DHL et autres.
Comment fonctionne CLASSISCAM ?
Mais malgré le large ciblage, le modus operandi de Classiscam suit un modèle similaire – adapté à chaque site – et tourne autour de la publication d’annonces pour des produits inexistants sur les marchés en ligne.
« Les publicités proposent généralement des caméras, des consoles de jeux, des ordinateurs portables, des smartphones et des articles similaires à vendre à des prix délibérément bas », a déclaré aujourd’hui Group-IB.
Une fois que les utilisateurs sont intéressés et contactent le vendeur (l’escroc), l’opérateur Classiscam demande à l’acheteur de fournir des détails pour organiser la livraison du produit.
L’escroc utiliset ensuite un robot Telegram pour générer une page de phishing qui imite le site d’origine mais qui est hébergée sur un domaine similaire. L’escroc envoie le lien à l’acheteur, qui le rempli avec ses informations de paiement.
Une fois que la victime a fourni ses informations de paiement, les escrocs prennent les données et tentent de les utiliser ailleurs pour acheter d’autres produits.
Plus de 40 groupes de CLASSISCAM actifs aujourd’hui
Le groupe IB a déclaré que toute l’opération était très bien organisée, avec des « administrateurs » au sommet, suivis des « travailleurs » et des « appelants ».
Les administrateurs ont le travail le plus simple du programme, gérant les bots Telegram, créant les fausses annonces et recrutant des « travailleurs », à la fois en Russie et à l’étranger.
Les travailleurs sont les personnes qui interagissent directement avec les victimes, effectuant la plupart du travail, générant les liens de phishing individuels et s’assurant que les paiements sont effectués.
Les appelants ont la plus petite part dans le programme, agissant en tant que spécialistes du soutien et ayant des conversations avec les victimes par téléphone en cas de soupçon de quoi que ce soit ou de problèmes techniques.
Sur la base du nombre de robots Telegram qu’il a découverts, Group-IB pense que plus de 40 groupes différents utilisent actuellement les services de Classiscam.
La moitié des groupes lancent des escroqueries sur des sites russes, tandis que l’autre moitié cible des utilisateurs en Bulgarie, en République tchèque, en France, en Pologne, en Roumanie, aux États-Unis et dans les pays post-soviétiques.
Group-IB a déclaré que plus de 5000 utilisateurs (travaillant en tant qu’escrocs) étaient enregistrés dans ces 40+ chats Telegram à la fin de 2020.
La firme de sécurité estime qu’en moyenne, chacun de ces groupes gagne environ 61 000 $ / mois, tandis que l’ensemble de l’opération Classiscam rapporte environ 522 000 $ / mois au total.
« Jusqu’à présent, l’expansion de l’escroquerie en Europe est entravée par les barrières linguistiques et les difficultés à encaisser notre argent volé à l’étranger », a déclaré Dmitriy Tiunkin, chef du département Protection des risques numériques du Groupe IB, Europe. « Une fois que les escrocs auront surmonté ces barrières, Classiscam se répandra en Occident. »