روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کلاهبرداری در بازار چیز جدیدی نیست. مجرمان سایبری به طور مشابهی از خریداران و فروشندگان کلاهبرداری می‌کنند. همین اواخر، شاهد گسترش گنگ‌های سایبری بوده‌ایم که در قالب مدل «کلاهبرداری به عنوان سرویس[1]» فعالیت دارند و تخصص‌شان در فریب دادن کاربران بازارهای آنلاین است؛ خصوصاً انجمن‌های اینترنتی. مجرمان تا همیشه برای سرقت داده‌های شخصی و پول دست به ابداع نقشه‌های جدید می‌زنند و بعد از طریق اتوماسیون و فروش ابزارهای فیشینگ این اطلاعات و وجوه را سریعاً به سایر اسکمرها توزیع می‌کنند. این مقاله قصد دارد بررسی کند چطور این گنگ‌های سایبری عمل کرده، چطور قربانیان را پیدا نموده و فریب داده و در نهایت نگاهی خواهد داشت به کمپینی که کارش هدف قرار دادن کاربران چندین انجمن‌ اینترنتی اروپایی است. با ما همراه باشید.

راه‌هایی برای فریب کاربران انجمن‌های اینترنتی

1.      اولین مورد زمانی است که یک کلاهبردار جعل هویت فروشنده می‌شود و پیشنهاد ارسال کالایی را به خریدار می‌دهد. زمانی که خریدار شرایط تحویل و نحوه پرداخت را جویا می‌شود، کلاهبردار (در نقش فروشنده) نام کامل، آدرس و شماره تلفن خریدار و پرداخت آنلاین را می‌خواهد. اگر قربانی موافقت کند، یک لین فیشینگ برای پرداخت هزینه سفارش برای او ارسال می‌شود (در یک پیام رسان شخص ثالث یا در یک کادر محاوره‌ای در خود برد پیام، البته اگر سایت چنین لینک‌هایی را مسدود نکند). به محض اینکه کاربر مشخصات کارت خود را در سایت جعلی وارد می‌کند، مستقیماً به سراغ کلاهبردار می رود که موجودی موجود را بدهکار می‌کند.

این نوع کلاهبرداری به عنوان کلاهبرداری 1.0 یا کلاهبرداری خریدار شناخته می‌شود، زیرا مهاجم به عنوان فروشنده ظاهر میشود تا خریدار را فریب دهد. از آنجایی که اکثر کاربران تابلوی پیام از آن آگاه هستند، منسوخ‌شده در نظر گرفته می شود. علاوه بر این، در این روش، انتظار اینکه خریدار به کالای پیشنهادی علاقه‌مند شود هم وجود دارد.

2.      از طرف دیگر، کلاهبردار می‌تواند به عنوان خریدار ظاهر شود و با متقاعد کردن فروشنده برای ارسال کالا و دریافت وجه توسط «معامله امن»، فروشنده را فریب دهد. مانند کلاهبرداری 1.0، مهاجمین یک لینک فیشینگ را از طریق یک پیام رسان شخص طرف‌سوم یا مستقیماً در صفحه پیام به فروشنده فریب خورده ارسال می‌کنند. صفحه لینک داده‌شده جزئیات کارت پرداخت را درخواست می‌کند. اگر فروشنده اینها را وارد کند، ظاهراً برای دریافت پرداخت، مهاجم تمام پول کارت را بدهکار می‌کند.

این به عنوان کلاهبرداری 2.0 یا کلاهبرداری فروشنده شناخته می شود، زیرا مهاجم فروشنده را فریب می‌دهد که خود را خریدار نشان دهد. این نوع کلاهبرداری بیشتر از اولی است، زیرا کاربران کمتری با آن آشنا هستند، بنابراین شانس یافتن قربانی بیشتر است. علاوه بر این، در کلاهبرداری 2.0، مهاجم به جای اینکه منتظر ظاهر شدن قربانی باشد، به طور فعال به دنبال قربانی می‌گردد، که این امر عملیات را سرعت می‌بخشد. در هر دو مورد، با کلیک بر روی لینک، یک سایت فیشینگ باز می‌شود - تقریباً یک نسخه مشابه از یک پلت‌فرم معاملاتی واقعی یا خدمات پرداخت با تنها یک تفاوت کوچک: تمام داده‌هایی که در آنجا وارد می‌کنید به دست مجرمان سایبری می‌افتد. اکنون برای نگاهی دقیق تر به طرح کلاهبرداری 2.0 که فروشندگان را هدف قرار می‌دهد.

چطور مهاجمین قربانیان خود را انتخاب می‌کنند؟

کلاهبرداران معیارهای مختلفی برای انتخاب قربانیان احتمالی دارند. در درجه اول آنها به سمت تبلیغاتی کشیده می شوند که فروشندگان برای تبلیغ آنها پول پرداخت کرده‌اند. چنین تبلیغاتی معمولاً در بالای نتایج جستجو ظاهر گشته و به عنوان حمایت شده علامت گذاری می‌شوند. آنها کلاهبرداران را به دو دلیل جذب می‌کنند: اول، فروشنده‌ای که برای تبلیغ پول پرداخت می‌کند، یعنی احتمالاً پول دارد و دوم، احتمالاً به دنبال فروش سریع است. علاوه بر برچسب حمایت‌شده، مهاجمان به عکس‌های موجود در آگهی نگاه می‌کنند: اگر کیفیت حرفه‌ای داشته باشند، به احتمال زیاد پیشنهاد یک فروشگاه است. کلاهبرداران علاقه‌ای به چنین تبلیغاتی ندارند. در نهایت، مهاجمین به فروشندگانی نیاز دارند که از یک پیام‌رسان طرف‌سوم استفاده کنند و مایل به ارائه شماره تلفن باشند. این اطلاعات تنها پس از برقراری تماس مشخص می‌شود.

چطور قربانی فریب می‌خورد؟

هدف اصلی، مجاب کردن قربانی برای کلیک روی لینک فیشینگ است و نیز وارد کردن جزئیات کارت. مانند هر خریدار دیگر، اسکمر سر صحبت را با سلا م واحوالپرسی و پرسش در مورد اینکه آیا هنوز پیشنهاد در جایش است یا نه شروع می‌کند. بعد از آن، عامل تهدید از فروشنده سوالات مختلفی در مورد محصول می‌پرسد؛ برای مثال اینکه شرایطش چطور است، چقدر پیش آن را خریده و چرا می‌خواهد آن را بفروشد و غیره. اسکمرهای مجرب برای جلوگیری از شک و شبهات، بیش از سه عدد سوال نمی‌پرسند. سپس مهاجم توافق می‌کند آیتم را بخرد اما می‌گوید نمی‌تواند شخصاً برش دارد و نقد پول بدهد چون فرضاً خارج از شهر است (اینجا اسکمر کمی دست به دامن خلاقیت می‌شود!) و بعد می‌پرسد آیا پرداخت امن، قابل‌قبول است یا نه.

برای منحرف کردن سؤالات احتمالی از فروشنده، کلاهبردار طرح پرداخت را به طور مفصل توضیح می‌دهد، که تقریباً به شرح زیر:

من هزینه مورد را در [نام سایت] پرداخت می‌کنم.

شما یک لینک برای دریافت پول دریافت می‌کنید.

شما لینک را دنبال کرده و مشخصات کارت خود را برای دریافت وجه وارد کنید.

پس از دریافت پول، سرویس تحویل با شما تماس خواهد گرفت تا روش ارسال دلخواه شما را تعیین کند. هزینه ارسال از قبل پرداخت خواهد شد. خدمات تحویل کالا را برای شما بسته بندی و مستند می‌کند.

اگر قربانی شروع به جدل کردن در مورد روش پرداخت کند، کلاهبردار به سادگی ناپدید می‌شود تا زمان را تلف نکند. اگر فروشنده بخواهد مذاکرات را در وب‌سایت رسمی بازار ادامه دهد، مهاجم به این نتیجه می‌رسد لو رفته و بعید است که روی لینک فیشینگ کلیک کند و بنابراین پاسخ را متوقف کرده و جستجوی قربانی جدیدی را آغاز می‌کند. با این حال، اگر قربانی روی لینک کلیکو مشخصات کارت خود را وارد کند، کلاهبرداران تمام وجوه موجود را از بین می‌برند. قیمت کالا بی ربط است: حتی اگر مبلغ درخواست شده در آگهی ناچیز باشد، مهاجمین هر آنچه را که بتوانند می‌دزدند.

صفحات فیشینگی چه شکلی هستند؟

در طرح کلاهبرداری 2.0، دو نوع اصلی از سایت فیشینگ وجود دارد: برخی بازار را با تبلیغات قربانی تقلید می‌کنند، برخی دیگر یک سرویس پرداخت امن مانند Twin.  کلاهبرداران یک نسخه تقریباً دقیق از رابط بازار تولید کرده‌اند. صفحه جعلی فقط در جزئیات جزئی با اصلی متفاوت است. به طور خاص، به جای دکمه Inserent kontaktieren  (تماس با تبلیغ کننده)، صفحه فیشینگ دکمه دریافت 150 CHF را نشان می‌دهد. با کلیک بر روی این دکمه صفحه ای با فرمی برای وارد کردن مشخصات کارت باز می‌شود. اگر لینک اصلی یک کپی از یک سرویس پرداخت ایمن را باز کند، فرم ورود اطلاعات کارت بدون تغییر مسیرهای اضافی مستقیماً در این صفحه ظاهر می‌شود.

گنگ‌های سایبری

این اواخر، کل گروه‌های اسکمرها که تخصص‌شان در انجمن‌های اینترنتی است شهرت زیادی پیدا کرده‌اند. آن‌ها هر دو نوع اسکم را تمرین کرده و متشکل هستند از ذهن‌برترهای سیاه، تیم‌های پشتیبانی و ایفاگران. ما روی چنین گنگی بررسی عمیق انجام دادیم؛ واضح‌تر بگوییم: روی گنگی که هدفش کاربران انجمن اینترنتی سوئیس است. در ادامه ساختار داخلی و سازماندهی فعالیت‌ها در چنین ساختارهایی را نشان خواهیم داد.

یک گروه مجرم سایبری ممکن است شامل نقش های زیر باشد:

•         شروع کننده موضوع  یا همان [2]TS  که موسس و مدیر اصلی تیم است.
•         کددهنده: مسئولیت تمامی اجزای فنی را بر عهده دارد: کانال های تلگرام، چت ها، ربات‌ها و غیره.
•         Refunder یا بازپرداخت‌کننده:یک کلاهبردار است که چت‌های پشتیبانی فنی در سایت های فیشینگ را مدیریت می‌کند. آنها به قربانی کمک می‌کنند تا جزئیات کارت خود را وارد کند، چیزی که هدف نهایی مهاجمین است. نام "بازپرداخت کننده" از این واقعیت ناشی می‌شود که قربانی اگر از بدهی ناراضی باشد و بخواهد بازپرداخت کند به چنین "متخصصی" هدایت می‌شود.
•         کاردر: وظیفه برداشت پول از حساب بانکی قربانی را دارد. به عنوان یک قاعده، با دریافت اطلاعات کارت، کارت‌دار یا کاردر از آن برای پرداخت کالاها، خدمات، وام‌های مختلف و غیره استفاده می‌کند. فرآیند پرداخت برای خرید با کارت شخص دیگری را کارتینگ می‌گویند.
•         انگیزه‌بخش: از کلاهبرداران حمایت اخلاقی می‌کند. وظیفه آنها این است که مطمئن شوند باند متمرکز باقی مانده و دلسرد نمی‌شود. انگیزه‌بخش پادکست‌ها و پشتیبانی را در پیام های شخصی ارائه می‌دهد - فرصتی برای بحث در مورد مشکلات، از جمله مسائل شخصی غیر مرتبط با کلاهبرداری. فقط عملیات‌های بزرگ بودجه لازم برای جذب چنین "کارمند" را دارند. محرک برای درصدی از پول دزدیده شده کار می کند.
•         بازاریاب: مسئولیت کمپین های تبلیغاتی و طراحی و ظاهر ربات‌ها و مواد همراه را بر عهده دارد - عمدتاً در پلت‌فرم های وب تاریک و کانال های تلگرام برای کلاهبرداران. برای جذب نیروی جدید به تبلیغات نیاز است.
•         کارگر کلاهبرداری است که مستقیماً قربانیان را فریب می‌دهد: تبلیغات را پیدا می‌کند، به آنها پاسخ می‌دهد، قربانی را متقاعد می‌کند که لینک فیشینگ را دنبال کند، و غیره. تفاوت کارگران با کلاهبرداران معمولی فقط در این است که برای یک گروه کار و از ابزار و پشتیبانی آن استفاده می‌کنند. به عنوان پرداخت، کارگران وجوهی را که به سرقت می‌برند، منهای کمیسیون دریافت می‌کنند. فرآیند کلاهبرداری از قربانیان کار نامیده می شود.
•         منتور: یک کارگر با تجربه است که به یک تازه وارد منصوب می‌شود.
•         مصرف کننده: زنی است که مردی را به خرید هدیه تشویق و از او پول کلاهبرداری می کند. این نقش به تمام زنانی که به گروه‌های بسته می‌پیوندند که کلاهبرداران با یکدیگر ارتباط برقرار می‌کنند پیشنهاد می‌شود.

سایر اصطلاحات کلاهبرداریِ حائر اهمیت:

•          کاربر قابل اعتمادی که قبلا فریب خورده است ماموت نامیده می‌شود.
•         به مقدار پول کارتی که قربانی اطلاعات آن را در وب سایت فیشینگ وارد کرده است، لاگ می‌گویند.
•         مبلغی که از کارت قربانی برداشت می شود، سود نامیده می‌شود.
•         گروه‌ها در گروه‌ها و کانال‌های بسته در تلگرام با هم ارتباط برقرار می‌کنند، جایی که به جستجوی کارگران جدید می‌پردازند، از ربات‌ها برای ایجاد لینک‌های فیشینگ پشتیبانی کلیک‌های روی لینک‌های ارسال‌شده را پیگیری می‌کنند و همچنین آمار مربوط به هر مورد و سود کارگران فردی و کل گروه را نگه می‌دارند. .

کلاهبرداری به عنوان یک سرویس

گنگ‌های سایبری تحت مدل Fraud-as-a-Service عمل می‌کنند که در آن مصرف کنندگان اصلی خدمات کارگران هستند. سازمان‌دهندگان خدمات کاربردی (کانال‌ها/چت‌ها/ربات‌ها در تلگرام، سایت‌های فیشینگ، پردازش پرداخت، پول‌شویی/بدهی کردن وجوه)، و همچنین حمایت اخلاقی و دستورالعمل‌های «کار» را ارائه می‌کنند. در مقابل از هر پرداختی پورسانت می گیرند.

کدام کشورها تحت الشعاع اسکم‌های انجمن اینترنتی قرار می‌گیرند؟

کلاهبرداری 1.0 و کلاهبرداری 2.0 چندین سال پیش ظاهر شدند و هر دو طرح را هنوز می‌توان در تابلوهای پیام روسی زبان یافت. اما کلاهبرداری هایی که هدف آن بخش روسی است در بین کلاهبرداران باتجربه کلاهبرداری قدیمی محسوب می‌شود، زیرا کاربران روسی به چنین طرح‌هایی متصل هستند و خطر زیادی وجود دارد که مهاجمین پیدا و دستگیر شوند. بنابراین، کلاهبرداران در حال تغییر به کشورهای دیگر هستند. گروهی که در مرکز تحقیقات ما قرار دارد، عمدتاً روی سوئیس متمرکز است. کلاهبرداران در چت خود دلیل آن را کاهش خطر گرفتار شدن و ناآشنایی نسبی کاربران سوئیسی با این نوع کلاهبرداری عنوان می‌کنند. علاوه بر این، قبل از قرار دادن تبلیغات یا پاسخ به آنها، کلاهبرداران با بازار کشور هدف و حقایق اساسی در مورد آن آشنا می‌شوند. مثلا به چه زبا‌ن‌ها و لهجه هایی در آنجا صحبت می‌شود. این برای مخاطب قرار دادن قربانی به زبان محلی است تا اعتماد را راحت‌تر جلب کند. بر اساس داده‌های سال 2023، بیش از دو سوم جمعیت سوئیس 15 ساله و بالاتر به حداقل دو زبان مسلط هستند. این باند مورد مطالعه در کانادا، اتریش، فرانسه و نروژ نیز فعالیت می‌کند.

دفترچه راهنمای کار

ما دستورالعمل هایی را که گروه به کارگران جدید می‌دهد تجزیه و تحلیل کردیم و متوجه شدیم که چگونه شروع به کار می‌کنند. اول از همه، در وب تاریک، کارگر حساب‌هایی را روی تابلوهای پیام می‌خرد، و سپس آن‌ها را برای پیدا کردن قربانی زیر و رو می‌کند. مهاجمین به جای ایجاد اکانت‌ها، آن‌ها را خریداری می‌کنند، زیرا ثبت نام در سایت ها خطرات بیشتری را به همراه دارد. با انجام این کار، کارگر یک حساب کاربری در یک پیام رسان طرف‌سوم ایجاد می‌کند. این حساب برای ارتباط با قربانی استفاده می‌شود. برخی از کاربران خود شماره‌ای را برای برقراری ارتباط از طریق مسنجر درخواست می‌کنند. در موارد دیگر، این کارگر است که آن را برای کاهش خطر ممنوعیت در بازار ارائه می دهد. برای ثبت نام از شماره تلفن های مجازی استفاده می‌شود.

گام بعدی این است که کارگر یک سرور پروکسی پیدا کند که ناشناس بودن و محرمانه بودن را فراهم کند. هنگام اتصال از طریق این، بازار آدرس IP سرور و سایر اطلاعات را می بیند که به مهاجم اجازه می دهد اطلاعات هویت خود را پنهان کند. اگر حساب بلافاصله پس از ثبت نام مسدود نشود، معمولاً پروکسی خوب در نظر گرفته می شود. به عنوان مثال، اگر یک کارگر از VPN استفاده کند، حساب‌های آنها خیلی سریع مسدود می‌شود: اتصال از طریق VPN مستلزم تغییر مکرر آدرس IP و موقعیت جغرافیایی است، به همین دلیل است که سایت ها اغلب چنین حساب‌هایی را به عنوان ربات شناسایی می‌کنند. علاوه بر دستورالعمل‌های شروع، این کتابچه راهنمای شامل الگوهایی است که توسط اعضای باتجربه باند به اشتراک گذاشته شده است. کارگر تازه‌کار می‌تواند از الگوها برای متقاعد کردن قربانی برای انجام معامله یا رفع هرگونه نگرانی در مورد روش پرداخت پیشنهادی استفاده کند.

این راهنما همچنین حاوی دستورالعمل‌هایی در مورد نحوه دور زدن محدودیت‌های اعمال شده توسط سایت‌ها است. تابلوهای پیام به طور مداوم برای تقویت امنیت داخلی به روز می‌شوند، بنابراین استفاده از عبارات سهام در برقراری ارتباط با کاربران برای کارگران به طور فزاینده ای دشوار است. به عنوان مثال، در نوامبر 2023، یک بازار محبوب پرداخت از طریق Tripartie، یک پلت‌فرم رایج برای تراکنش‌های امن در سوئیس را ممنوع کرد و شروع به مسدود کردن حساب ها برای ذکر این سیستم در چت کرد. برای دور زدن این به‌روزرسانی، کارگران عمداً نام Tripartie را اشتباه می‌نویسند. کارگران با تجربه تر از الفبای سیریلیک استفاده می‌کنند تا نام سیستم پرداخت را برای سیستم‌های امنیتی سایت ناخوانا کنند.

پول کردنِ کارت‌های سرقتی

اگر فروشنده جزئیات کارتش را وارد کند، کارگر یا کارکن داده را به کاردر می‌فرستد؛ کسی که پول را از کارت در طی بازه زمانی مشخصی برداشت می‌کند. روش‌های مختلفی برای انجام این کار وجود دارد: خرید دستگاه‌های گران، انتقال پول به کیف‌پول اینترنتی مانند پی‌پل و غیره. کاردر همچنین سعی دارد اعتبار کسب کرده یا به نام صاحب کارت وام بگیرد، یا سپرده باز کند. برای انجام این کار، از بانک‌های آنلاین استفاده می‌کنند که به احراز اس‌ام‌اسی نیاز ندارد. برخی مؤسسات ممکن است اسکن پاسپورت بخواهند که در این سناریو کاردر داده‌های پاس را که سرقت شده یا از افرادی با محل اقامت غیرثابت استفاده می کنند. گرچه این داده ربطی به دارنده کارت ندارد اما اسکمرها به این حقیقت متکی هستند که بانک‌های آنلاین همیشه چک نمی‌کنند پاسپورت و کارت به یک فرد واحد تعلق دارد یا نه.

اتوماسیون کلاهبرداری با ربات‌های تلگرام

برای ساده کردن کار کارگران، این گروه از یک ربات تلگرام فیشینگ استفاده می‌کند. این فرآیند ایجاد صفحات فیشینگ و برقراری ارتباط با قربانیان و همچنین ردیابی پیشرفت کلاهبرداران را خودکار می‌کند. صفحه اصلی ربات دارای دکمه هایی برای ایجاد لینک فیشینگ، مشاهده نمایه شخصی، دسترسی سریع به چت‌ها و کانال‌های گروه، به علاوه تنظیمات است. با کلیک بر روی دکمه ایجاد یک صفحه فیشینگ به کاربر امکان می‌دهد کشوری را انتخاب کند که یک لینک منحصر به فرد برای آن ایجاد می‌شود. سپس کارگر نام آیتم را که قربانی قصد خرید (اگر قربانی خریدار باشد) یا فروش (اگر فروشنده باشد) مشخص می‌کند.

با این داده‌ها، ربات می‌تواند یک کپی کامل از آگهی اصلی، اما در صفحه فیشینگ ایجاد کند. علاوه بر این، کارگر اطلاعات آگهی (عکس، قیمت، توضیحات و غیره) را به ربات وارد می کند تا قربانی احساس کند در صفحه اصلی است. پس از پر کردن تمام داده‌ها، ربات لینک‌های فیشینگ را به همه زبان‌ها برای کشور هدف، برای همه تابلوهای پیام موجود و برای هر دو نوع کلاهبرداری (خریدار و فروشنده) ارائه می‌کند که کارگر از بین آنها مناسب‌ترین را انتخاب می‌کند. در اینجا کلاهبردار می‌تواند از طریق ایمیل، پیام رسان یا متن به قربانی پیام دهد. اطلاعات تماس از نمایه هدف در سایت به دست می‌آید یا در یک چت خصوصی مورد استفاده قرار می‌گیرد‌. پس از یک حمله فیشینگ موفقیت آمیز، کارگر می‌تواند نمایه درون ربات خود را مشاهده کند که اطلاعات شخصی را نشان می‌دهد: شناسه، دسته، موجودی کارت، مبلغی که شخصاً کارگر و گروه به دست آورده است. همچنین داخل ربات، امکان برقراری ارتباط مستقیم با یک مربی یا منتور و کسب درآمد اضافی از طریق طرح "ارجاع به یک دوست" وجود دارد.

لینک‌های فیشینگ چه شکلی هستند؟

لینک‌های فیشینگ که این گروه با ربات تلگرام خود ایجاد می‌کند با همین الگو ساخته شده‌اند:

•         دامنه/زبان/عمل/شماره آگهی
•         دامنه اغلب حاوی نام کامل یا جزئی تابلوی پیام است که صفحه فیشینگ تقلید می‌کند، اما این یک جزء اجباری نیست.
•         اطلاعات زبان ممکن است متفاوت باشد، زیرا بستگی به کشور مقصد دارد. در مورد سوئیس، گزینه‌های زیر وجود دارد: en, it, fr, de.
•         عمل همان چیزی است که قربانی باید انجام دهد: پرداخت برای کالا یا دریافت وجه. این عنصر یکی از دو مقدار را می گیرد: پرداخت (اگر کلاهبردار به عنوان یک فروشنده ظاهر می شود) یا دریافت (اگر به عنوان یک خریدار).

لینک فیشینگ همیشه به شماره آگهی ختم می شود، درست مانند همان شماره اصلی.

آپدیت‌های بات

گنگ‌های سایبری دائماً ربات‌های تلگرام خود را اصلاح و به روز می‌کنند. آنها اطلاعات جدیدی را اضافه می‌کنند که برای کارگران مفید است و زرادخانه ابزارهای اتوماسیون کلاهبرداری را گسترش می‌دهند. در طول مشاهده ما از ربات تلگرام مورد مطالعه، اطلاعاتی در مورد درآمد گروه برای دوره های مختلف ظاهر شد: به ازای هر روز و برای کل موجودیت آن، و همچنین اطلاعاتی در مورد درآمد کارگر در هفته و ماه.

به روزرسانی بعدی اطلاعات دقیقی در مورد مربیان و حجم کاری آنها اضافه کرد. در مجموع، این گروه دارای پنج مربی است که بر بیش از 300 کارگر نظارت می‌کنند. در زمان انتشار پست، گروه کلاهبرداران در تلگرام بیش از 10000 عضو داشت. با تجربه ترین کارگران با سود بیش از 20000 یورو می توانند مربی شوند. این شامل ارسال درخواست به مربی اصلی برای بررسی می‌شود. منتورها درصدی از درآمد منتهی خود را دریافت می‌کنند. اندازه کمیسیون توسط خود مربیان تعیین شده و با تجربه بالا می‌رود. علاوه بر رابط کاربری اصلاح شده، نحوه ایجاد لینک‌ها با لیست گسترده ای از پلتفرم های هدف فیشینگ به روز شد.

بعد از کلیک روی لینک چه اتفاقی می‌افتد؟

لینک ربات به یک سایت فیشینگ اشاره می‌کند که آدرس آن ممکن است تنها یک حرف با آدرس اصلی متفاوت باشد. صفحه یک کپی کامل از آگهی اصلی شامل لوگوی سایت و نام، قیمت و توضیحات کالای مورد علاقه می‌باشد. وقتی قربانی روی لینک فیشینگ کلیک می‌کند، کارگر نوتیفی در بات در مور این فعالیت دریافت می‌کند. نوتیفیکیشن اسکمر را مجبور می‌کند بررسی کند آیا قربانی آنلاین است یا نه (یعنی آیا لینک فیشینگ را باز کرده یا نه) و در صورت لزوم چت را شروع نماید. چنین نوتیفیکیشن‌هایی ساخته شدند تا تسک‌های کارکن ساده شده و واکنش‌ها و پاسخ‌ها سرعت داده شوند.

هنگامی که قربانی جزئیات کارت را وارد می‌کند، کاردر بلافاصله از آنها استفاده می‌کند و یک اعلان در مورد دریافت پرداخت جدید به چت عمومی گروه ارسال می‌شود. پیام مبلغ دزدیده شده را مشخص می‌کند، به علاوه اطلاعاتی در مورد اینکه چه مقدار از آن به کارتدار و کارگر می‌رسد. سهم کارگر به طور خودکار به حساب مشخص شده در تنظیمات ربات واریز می‌شود. پیام ربات همچنین حاوی نام کاربری است که سود خود را به کارگر پرداخت می‌کند. دلیل این است که کلاهبرداران خودشان فریب نخورند، زیرا مواردی وجود داشته که کارگران به بهانه پرداخت پول از "همکاران" کلاهبرداری کرده‌اند یا مبلغی را درخواست دادند و آن را پس ندادند. آخر روز، اطلاعیه ای در مورد میزان کسب شده توسط کل گروه برای روز، ماه و کل دوره عملیات به چت عمومی ارسال می‌شود. گروه مورد نظر در آگست 2023 تأسیس شد. اولین سود خود را 3 روز و 17 ساعت بعد به دست آورد. در آن زمان، 2675 کارگر و رسیدهایی به ارزش 1458 دلار داشت.

سود و آمار

ما آمار فعالیت‌های گروه را برای دوره 1 تا 4 فوریه 2024 جمع‌آوری کردیم.

در چهار روز، این گروه تقریباً 11500 دلار به دست آورد. در همان زمان، از مبالغ ثبت شده، می بینیم که مهاجمین می‌توانستند بیش از 50000 دلار را تنها از کارت های سوئیس سرقت کنند. چرا نکردند؟ دلیل اصلی این است که کاردر با سیاهه های مربوط به ارزش کمتر از 330 لار کار نمی‌کند. این به احتمال زیاد به این دلیل است که کل سود دریافتی از چنین گزارش‌هایی کمتر از هزینه برداشت از آنها خواهد بود. علاوه بر این، برداشت پول از کارت دارای ریسک بالایی برای شناسایی است، بنابراین کارت‌داران فقط به کارت‌هایی علاقه‌مند هستند که مقادیر زیادی پول را در خود نگه دارند. در نهایت، برخی از قربانیان ممکن است قبل از اینکه کارت‌هایشان دست کاردر بیفتند، مسدود کنند یا داده‌های نادرستی وارد کنند، که بر تعداد کل گزارش‌ها تأثیر می‌گذارد.

با نگاهی به تعداد لاگ های دریافتی، می‌بینیم که محبوب ترین کشور سوئیس است. فرانسه دوم است. در رده سوم مشترک اتریش و کانادا قرار دارند.

از نظر تابلوهای پیام که کاربران آنها کلاهبرداری شده بودند، محبوب ترین پلتفرم‌ها در بین مهاجمین عبارتند از: Facebook، Post.ch و Tutti.ch. با این حال، لاگ های فیس بوک هیچ سودی برای کلاهبرداران به همراه نداشت. سودآورترین پلت‌فرم Anibis.ch بود که از نظر تعداد سیاهه‌ها در جایگاه چهارم قرار دارد. Post.ch در رتبه دوم و Tutti.ch در رتبه سوم قرار دارند.

راهکارهای امنیتی

اگرچه کلاهبرداری‌های پیام‌رسان خودکار و تولیدی هستند، اما می‌توانید اقدامات محافظتی انجام دهید.

•         فقط به سایت‌های رسمی اعتماد کنید. قبل از وارد کردن مشخصات کارت به هر شکلی، آدرس سایت را مطالعه کنید، مطمئن شوید که اشتباه تایپی یا کاراکتر اضافی در دامنه وجود ندارد، و بررسی کنید که چه زمانی ایجاد شده است: اگر سایت فقط چند ماه از عمرش گذشته، احتمالاً تقلبی در کار است . ایمن‌تر از همه این است که لینک‌ها را برای وارد کردن داده‌های خود دنبال نکنید، بلکه تایپ کردن URL در نوار آدرس به صورت دستی یا باز کردن آن از بوک‌مارک‌ها است.
•         هنگام خرید یا فروش کالا در تابلوهای پیام، به پیام‌رسان‌های طرف‌سوم مراجعه نکنید. تمام مکاتبات را در یک چت روی پلت‌فرم انجام دهید. چنین پلت‌فرم‌هایی معمولاً از محافظت در برابر کلاهبرداری استفاده و ارسال لینک‌های مشکوک را ممنوع می‌کنند.
•         در صورت امکان، از پیش پرداخت خودداری کنید - فقط زمانی پرداخت کنید که کالا را در شرایط خوبی دریافت کنید.
•         کدهای QR ارسال شده از منابع نامعتبر را اسکن نکنید.
•         اگر پلت‌فرم چنین گزینه‌ای ندارد، کالاها را «با تحویل» نفروشید. اگر خریدار در شهر دیگری واقع شده است، با اولویت دادن به شرکت های بزرگ و معتبر، خدمات تحویل را خودتان انتخاب کنید.

[1] Fraud-as-a-Service

[2] Topic starter

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.