La firma de seguridad informática Group-IB ha descubierto una red rusa especializada en ofrecer servicios de estafa bajo la apariencia de anuncios clasificados falsos.
Servicios o bienes falsos
Este tipo de actividad, conocida como “scam-as-a-service” o estafa como servicio, implica la externalización de actividades delictivas cibernéticas, específicamente orientadas a engañar a las personas para que compren bienes o servicios que en realidad no existen.
Identificada como ‘Classiscam’, esta organización ha experimentado un crecimiento significativo durante la pandemia de COVID-19. En el transcurso de cuatro años, se ha consolidado como uno de los actores más prominentes en el actual panorama de las ciberestafas.
Su presencia se extiende globalmente, operando en 79 países y dirigiéndose a una amplia variedad de marcas, afectando a un total de 251 hasta la fecha. Según Afiq Sasman, líder del equipo de respuesta a emergencias de Group-IB en la región de Asia-Pacífico:
Este tipo de estafas siguen creciendo
“Classiscam no da señales de desaceleración, y la cantidad de ‘classiscammers’ sigue en aumento. En el último año, hemos observado cómo estos grupos estafadores han adoptado una jerarquía renovada y expandida, con roles cada vez más especializados dentro de las organizaciones.”
“Es probable que Classiscam continúe siendo una de las principales operaciones de fraude a nivel global a lo largo de 2023, gracias a la completa automatización del esquema y a la baja barrera técnica de entrada”.
De acuerdo con una investigación reciente realizada por Group-IB, Classiscam ha generado ingresos por un total de 64,5 millones de dólares desde el primer trimestre de 2020 hasta el primer trimestre de 2023. Sin embargo, la importancia de esta trama no se limita únicamente a su expansión geográfica; también destaca por su creciente sofisticación técnica.
¿Cómo funciona este engaño?
Así es como opera Classiscam: se trata de una operación de estafa como servicio que utiliza principalmente Telegram para llevar a cabo sus actividades ilícitas. El modus operandi de Classiscam se destaca por su automatización y su estructura de afiliados, y puede describirse en varios pasos:
Classiscam recluta a individuos dispuestos a participar en sus esquemas de estafa. Estos afiliados utilizan los kits de phishing proporcionados por los desarrolladores de Classiscam para crear anuncios y páginas falsas.
Uso de bots de Telegram: Estos bots, configurables para realizar tareas automatizadas, han convertido a Telegram en un terreno fértil para los estafadores. Lo que hace que Telegram sea tan atractivo para ellos son sus múltiples funcionalidades, su baja barrera técnica de entrada y la facilidad con la que pueden obtener y adquirir datos procedentes de la ciberdelincuencia.
Telegram, la mejor arma de estos hackers
Con la ayuda de los bots de Telegram, los afiliados pueden crear páginas de phishing en cuestión de segundos. Estas páginas imitan de manera convincente a sitios web legítimos de marcas conocidas, marketplaces en línea y, más recientemente, páginas de inicio de sesión bancarias.
Las plantillas de phishing diseñadas para cada marca pueden ser personalizadas para diferentes países mediante la edición del idioma y la moneda presentes en las páginas de estafa. Este enfoque aumenta la credibilidad del engaño entre las víctimas de diversas ubicaciones.
Los afiliados promocionan estos sitios falsos, generalmente a través de sitios de anuncios o incluso en redes sociales. Estos anuncios suelen ofrecer productos a precios muy atractivos para atraer a posibles víctimas.
Robo de datos mediante phishing
Cuando una posible víctima hace clic en el anuncio, es redirigida a la página de phishing. En este punto, se le solicita que proporcione información personal, datos de tarjetas de crédito o credenciales bancarias. Estos datos son recolectados por los estafadores para su uso fraudulento.
Las páginas de phishing más avanzadas realizan verificaciones de saldo para evaluar cuánto dinero pueden extraer de la cuenta bancaria de la víctima sin levantar sospechas.
Una vez que el dinero o la información son sustraídos, las ganancias se dividen entre los desarrolladores de Classiscam y los afiliados. Generalmente, los responsables y desarrolladores de Classiscam retienen un 20-30% de los ingresos, mientras que el afiliado, encargado de interactuar directamente con las víctimas, recibe el resto.
Con el tiempo, los roles dentro de los grupos de Classiscam se han vuelto más especializados y la jerarquía más compleja. Esta evolución ha permitido que la trama sea más eficiente y difícil de rastrear.