Una operación de estafas online ha robado más de 6,5 millones de dólares

Recomendados:  Crowdstrike Falcon Complete, detección y respuesta gestionada Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer

Analistas de seguridad de Group-IB han descubierto una operación de estafas online a través de anuncios de segunda mano que es responsable de haber robado más de 6,5 millones de dólares a usuarios de Estados Unidos, Europa y varias ex-repúblicas soviéticas. La operación, con origen en Rusia y bautizada como Classiscam, comenzó a principios de 2019 e inicialmente solo se dirigía a compradores activos en mercados online y portales de anuncios rusos.

En 2020, el grupo se expandió a otros países, después de que sus responsables empezaran a reclutar estafadores que pudieran dirigirse a los clientes en varios idiomas y mantener conversaciones con ellos en su lengua. Se sabe que Classiscam sigue activo en más de una docena de países, en marketplaces y servicios de mensajería internacionales como Leboncoin, Allegro, OLX, FAN Courier, Sbazar, DHL y otros similares.

El modus operandi sigue un patrón similar, aunque adaptado a cada sitio, que gira en torno a la publicación de anuncios de productos inexistentes en los mercados online. Los anuncios suelen ofrecer cámaras, videoconsolas, ordenadores portátiles, smartphones o artículos similares a precios deliberadamente bajos.

Una vez que los usuarios muestran interés y se ponen en contacto con el supuesto vendedor, los responsables de Classiscam solicitan al comprador que proporcione detalles para organizar la entrega del producto. A continuación, el estafador utiliza un bot de Telegram para generar una página de phishing que imita la marketplace original, pero que está alojada en un dominio controlado por los delincuentes. El estafador envía el enlace al comprador, que lo rellena con sus datos de pago. Y, una vez que la víctima proporciona la información bancaria, los estafadores recogen esa información y la utilizan en otras plataformas para comprar productos.

Los analistas afirman que toda la operación estaba organizada a un nivel profesional, con ‘administradores’, ‘trabajadores’ y ‘operadores’. Los administradores gestionan bots de Telegram, crean anuncios falsos y reclutan a esos trabajadores, tanto dentro de Rusia como del extranjero, que son las que interactúan directamente con las víctimas, ocupándose de la mayor parte del trabajo; generando los enlaces individuales de phishing y asegurándose de que se realizan los pagos. Los operadores, por su parte, actúan como supuestos especialistas de apoyo y manteniendo conversaciones con las víctimas por teléfono en caso de que alguna sospeche algo o tenga dudas técnicas.

Basándose en el número de bots de Telegram que han descubierto, los analistas creen que hay más de 40 grupos diferentes que utilizan actualmente los servicios de Classiscam. La mitad de ellos realizan estafas en webs rusas, mientras que la otra mitad se dirige a usuarios de Bulgaria, República Checa, Francia, Polonia, Rumanía, Estados Unidos y de otras antiguas repúblicas soviéticas.

Los expertos estiman que, de media, cada uno de estos grupos gana unos 61.000 dólares cada mes, mientras que toda la operación de Classiscam recaudaría unos 522.000 dólares mensuales. “Hasta ahora, la expansión de la estafa por Europa se ha visto obstaculizada por las barreras lingüísticas y las dificultades para convertir en efectivo el dinero robado en el extranjero”, dijo un portavoz del grupo de analistas. “Una vez que los estafadores superen estas barreras, Classiscam se extenderá por Occidente”.