• Home
  • Pressearchiv
  • Cybersicherheit
  • Classiscam 2023: Weltweite Betrugsplattform mit einem Umsatzvolumen von 64,5 Millionen US-Dollar missbraucht Marken in 35 europäischen Ländern – die Analyse von Group-IB

Classiscam 2023: Weltweite Betrugsplattform mit einem Umsatzvolumen von 64,5 Millionen US-Dollar missbraucht Marken in 35 europäischen Ländern – die Analyse von Group-IB

Zurück zu
31Aug

Amsterdam | Group-IB, ein weltweit führendes Unternehmen im Bereich Cybersicherheit mit Europazentrale in Amsterdam, enthüllt, dass die Scam-as-a-Service-Plattform Classiscam seine weltweite Kampagne bis weit in das Jahr 2023 fortsetzt. In einem neuen Blog-Beitrag erläutern Group-IB-Analysten, wie sich diese automatisierte Scamming-Masche Telegram-Bots bedient, um Unterstützung zur Erstellung von gebrauchsfertigen Phishing-Seiten zu bieten. Diese ahmen Unternehmen aus verschiedenen Branchen nach, darunter Online-Marktplätze, Kleinanzeigen-Websites und Logistikunternehmen. Sie sind zudem darauf ausgelegt, Geld, Zahlungsmitteldaten und in jüngster Zeit teilweise auch Bank-Anmeldeinformationen von ahnungslosen Internetnutzern zu stehlen.

Vom ersten Halbjahr 2021 bis zum ersten Halbjahr 2023 wurden gemäß den Erkenntnissen von Group-IB insgesamt 251 Einzelmarken aus 79 Ländern auf Classiscam-Phishing-Seiten reproduziert. Darüber hinaus konnte man die für jede Marke erstellten Phishing-Vorlagen an die Gegebenheiten verschiedener Länder mittels Bearbeitung der auf der Betrugsseite angezeigten Sprache und Währung anpassen. Als Ergebnis wurde beispielsweise eine bestimmte Logistikmarke von „Classiscammern“ nachgeahmt, um Anwender aus bis zu 31 Ländern ins Visier zu nehmen.

Seit dem zweiten Halbjahr 2019, als das „Computer Emergency Response Team“ (CERT-GIB) von Group-IB zusammen mit der eigenen Digital-Risk-Protection-Abteilung erstmals die Aktivitäten von Classiscam identifizierte, wurden 1.366 separate Gruppen entdeckt, die dieses Betrugsschema auf Telegram nutzen. Die Experten von Group-IB untersuchten also Telegram-Kanäle, die Informationen zu 393 Classiscam-Gruppen mit mehr als 38.000 Mitgliedern enthielten, die zwischen dem ersten Halbjahr 2020 und 2023 aktiv waren. Dabei stellte Group-IB fest, wie die Akteure hinter Classiscam von Beginn an daran gearbeitet haben, die Abläufe des Betrugsschemas zu formalisieren und auszuweiten. Ab 2022 führten die Classiscammer neue Innovationen ein, darunter Phishing-Schemata, die darauf abzielen, Anmeldedaten der Online-Bankkonten der Opfer abzufangen. Einige Gruppen haben zudem damit begonnen, Information-Stealer einzusetzen.

Im Einklang mit seiner Mission zur Bekämpfung der globalen Cyberkriminalität wird Group-IB die aus der firmeneigenen Lösung für den Schutz gegen digitale Risiken gewonnenen Erkenntnisse weiterhin mit Strafverfolgungsbehörden teilen, insbesondere in Bezug auf Classiscam. Das Hauptziel dieser Forschung ist es, die Öffentlichkeit über die neuesten Betrugsmethoden aufzuklären und die Anzahl der Opfer dieser Betrugsaktivitäten zu reduzieren.

Weltweite Verbreitung

Ursprünglich tauchte Classiscam in Russland auf, wo das Schema ausprobiert und getestet wurde, bevor es weltweit eingeführt wurde. Das Betrugsdienst-Affiliate-Programm gewann im Frühjahr 2020 an Popularität, als die COVID-19-Pandemie auftrat und es zu einer erhöhten Nutzung von Remote-Arbeit und Onlineshopping kam.

Die Experten von Group-IB stellten fest, wie das Betrugsschema zuerst nach Europa exportiert wurde, bevor es andere Regionen wie die Vereinigten Staaten, die Asien-Pazifik-Region (APAC) und den Nahen Osten sowie Afrika (MEA) erreichte. Im ersten Halbjahr 2021 hatten Classiscammer Internetnutzer aus 30 Ländern ins Visier genommen. Die Group-IB-Experten teilen nun mit, dass diese Zahl im ersten Halbjahr 2023 auf 79 angestiegen ist. In derselben Zeitspanne hat sich zudem die Anzahl der missbrauchten Marken weltweit von 38 auf 251 erhöht.

Abbildung 1: Classiscam-Übersicht, 1. Halbjahr 2021 bis 1. Halbjahr 2023.

Über 62% der von den Experten von Group-IB analysierten Classiscam-Ressourcen, die zwischen dem ersten Semester 2021 und 2023 erstellt wurden, hatten Nutzer in Europa im Visier. Andere stark betroffene Regionen waren der Nahe Osten und Afrika (18,2 % der Ressourcen) sowie die Asien-Pazifik-Region (13%).

Classiscam 2
Abbildung 2: Regionale Aufschlüsselung der Ziele von Classiscam-Kampagnen, 1. HJ 2021 bis 1. HJ 2023

Auf dem europäischen Kontinent war die Tschechische Republik (5,5% der gesamten Vorfälle in der Region) das Land mit der höchsten Anzahl an missbrauchten Marken. Ebenfalls stark betroffen sind das Vereinigte Königreich (5,5 %), die Slowakei (5%), Deutschland (4,2 %), Österreich (3,9 %) und die Schweiz (3,7 %).

Classiscam 3
Abbildung 3: Aufschlüsselung der EU-Länder mit der höchsten Anzahl an durch Classiscam-Kampagnen missbrauchten Marken. 1. HJ 2021 bis 1. HJ 2023.

Internetnutzer in Deutschland führten 26,5 % aller in Classiscam-Chats verzeichneten Transaktionen durch – der höchste Wert im Ländervergleich. Auf dieser Liste folgten Polen (21,9 %), Spanien (19,8 %), Italien (13,0 %) und Rumänien (5,5 %).

Der durchschnittliche Schaden, den Classiscam-Opfer weltweit erlitten, betrug 353 US-Dollar. Dabei verloren britische Nutzer am meisten an Classiscammer: In Großbritannien beliefen sich die unlauteren Transaktionen im Durchschnitt auf 865 US-Dollar. Ähnlich erging es Nutzern in Luxemburg (848 US-Dollar pro Transaktion), Italien (774 US-Dollar) und Dänemark (730 US-Dollar).

Nutzer in der APAC- und MEA-Region waren weniger anfällig für Classiscam-Systeme, obwohl Opfer in Singapur durchschnittlich 682 US-Dollar durch den Betrug verloren. In Australien belief sich diese Zahl auf 515 US-Dollar, und in Saudi-Arabien (MEA) erlitten Opfer erfolgreicher Classiscam-Systeme durchschnittlich einen Verlust von 525 US-Dollar.

Classiscam 4Abbildung 4: Aufschlüsselung der meistbetroffenen Länder per Durchschnittswert der Classiscam-Transaktionen im 1. HJ 2023.

Was hat sich geändert?

Classiscam wurde ursprünglich als vergleichsweise einfacher Betrugsbetrieb gestartet. Cyberkriminelle erstellten gefälschte Anzeigen auf Kleinanzeigen-Websites und nutzten soziale Manipulationstechniken, um Nutzer dazu zu bringen, die falsch beworbenen Waren oder Dienstleistungen „zu kaufen“ – sei es durch direkte Überweisung von Geld an die Betrüger oder durch Abbuchung von Geld von der Bankkarte des Opfers.

Classiscam 5
Abbildung 5: Beispiel für einen Phishing-Link, der von Classiscam generiert wird.

In den letzten zwei Jahren wurde der Classiscam-Betrieb zunehmend automatisiert. Das Schema nutzt nun Telegram-Bots und -Chats, um Operationen zu koordinieren und Phishing- und Betrugsseiten in wenigen Sekunden zu erstellen. Viele der Gruppen bieten leicht verständliche Anleitungen an, und Experten stehen zur Verfügung, um Anwenderfragen zu beantworten.

Classiscam 6
Abbildung 6: Funktionsweise des Scam-as-a-Service-Schemas von Classiscam in der Praxis.

Im Laufe des letzten Jahres haben die Forscher von Group-IB beobachtet, dass die Rollen innerhalb von Betrugsgruppen mit erweiterter Hierarchie spezialisierter geworden sind. Classiscam-Phishing-Seiten können nun eine Kontostandsprüfung enthalten, die die Betrüger nutzen, um festzustellen, mit wie viel sie die Karte des Opfers belasten können. Möglich sind auch gefälschte Anmeldeseiten für Banken, womit die Kriminellen die Zugangsdaten der Benutzer abfangen. Group-IB-Experten haben nun 35 solcher Scammer-Gruppen gefunden, die Links zu Phishing-Seiten verbreiten, die gefälschte Anmeldeformulare für Bankdienstleistungen enthalten. Insgesamt haben Classiscam-Betrüger Ressourcen erstellt, die die Anmeldeseiten von 63 Banken in 14 Ländern nachahmen, darunter Belgien, Kanada, die Tschechische Republik, Frankreich, Deutschland, Polen, Singapur und Spanien.

Classiscam 7
Abbildung 7: Beispiel für die neu eingeführte Kontostandsprüfung auf einigen Classiscam-Phishing-Seiten. In diesem Beispiel wird das Opfer angewiesen, seinen Kontostand im Rahmen einer Verifikationsprüfung einzugeben.

„Classiscam zeigt keine Anzeichen einer Verlangsamung, und die Ränge der Classiscammer wachsen weiter. Im letzten Jahr haben wir gesehen, dass Betrugsgruppen eine neue, erweiterte Hierarchie angenommen haben, und die Rollen innerhalb der Organisationen werden zunehmend spezialisiert. Aufgrund der vollständigen Automatisierung des Schemas und der geringen technischen Einstiegshürde wird Classiscam voraussichtlich auch im Jahr 2023 eine der größten globalen Betrugsoperationen bleiben“, sagt Camill Cebulla, Sales Director Europe bei Group-IB.

Group-IB wird weiterhin globale Classiscam-Kampagnen überwachen und sowohl mit Strafverfolgungsbehörden als auch mit betroffenen Marken zusammenarbeiten, um bei den Bemühungen zur Bekämpfung dieser Betrügereien zu helfen. Unternehmen, deren Marke und Image von Betrügern missbraucht werden, wird empfohlen, Schutzlösungen gegen digitale Risiken einzusetzen, die Phishing-Domains aktiv überwachen, identifizieren und beseitigen können.

Group-IB

Group-IB mit Hauptsitz in Singapur ist einer der führenden Anbieter von Lösungen zur Aufdeckung und Verhinderung von Cyberangriffen, zur Identifizierung von Online-Betrug, zur Untersuchung von Hightech-Verbrechen und zum Schutz von geistigem Eigentum. Die Threat-Intelligence- und Forschungszentren des Unternehmens befinden sich im Nahen Osten (Dubai), im asiatisch-pazifischen Raum (Singapur) und in Europa (Amsterdam).
Die Unified-Risk-Plattform von Group-IB ist ein Ökosystem von Lösungen, das das Bedrohungsprofil eines jeden Unternehmens identifiziert und über eine einzige Schnittstelle in Echtzeit maßgeschneiderte Abwehrmaßnahmen anbietet. Die Unified-Risk-Plattform bietet eine vollständige Abdeckung der Cyberabwehrkette. Zu den Produkten und Dienstleistungen von Group-IB, die in der Unified-Risk-Plattform zusammengefasst sind, gehören Group-IB Threat Intelligence, Managed XDR, Digital Risk Protection, Fraud Protection, Attack, Surface Management, Business Email Protection, Audit & Consulting, Education & Training, Digital Forensics & Incident Response, Managed Detection & Response und Cyber-Investigations. Das Threat-Intelligence-System von Group-IB wurde von Gartner, Forrester und IDC als eines der besten seiner Klasse bezeichnet. Group-IBs Managed XDR, das für die proaktive Suche und den Schutz gegen komplexe und bisher unbekannte Cyberbedrohungen entwickelt wurde, ist von KuppingerCole Analysts AG, der führenden europäischen Analystenagentur, als eine der marktführenden Lösungen in der Kategorie „Network Detection and Response“ anerkannt worden. Group-IB selbst ist als Product- und Innovation-Leader ausgezeichnet worden. Gartner hat die Firma als repräsentativen Anbieter im Bereich Online-Fraud-Detection für ihre Fraud Protection ausgezeichnet. Darüber hinaus erhielt Group-IB den Innovation Excellence Award von Frost & Sullivan für Digital Risk Protection (DRP). Dabei handelt es sich um eine KI-gesteuerte Plattform zur Identifizierung und Minderung digitaler Risiken und zur Abwehr von Angriffen durch Markenmissbrauch, die auf patentierte Technologien des Unternehmens fußt. Die technologische Führungsposition sowie die Forschungs- und Entwicklungskapazitäten von Group-IB basieren auf der 19-jährigen praktischen Erfahrung der Firma bei weltweiten Ermittlungen gegen die Cyberkriminalität und auf mehr als 70.000 Stunden Incident-Response. Diese wurden in deren führenden DFIR-Labor (Digital Forensics & Incident Response), in der Investigativ-Abteilung für Hightech-Kriminalität und in dem rund um die Uhr besetzten CERT-GIB gesammelt.
Group-IB ist ein aktiver Partner bei weltweiten Ermittlungen, die von internationalen Strafverfolgungsorganisationen wie Europol und Interpol geleitet werden. Group-IB ist auch Mitglied der Beratungsgruppe für Internetsicherheit des Europäischen Zentrums für Cyberkriminalität (EC3) von Europol, die gegründet wurde, um eine engere Zusammenarbeit zwischen Europol und seinen führenden Partnern außerhalb der Strafverfolgung zu fördern.
Die Erfahrung von Group-IB in den Bereichen Threat-Hunting und Cyber-Intelligence wurde in einem Ökosystem hoch entwickelter Software- und Hardware-Lösungen zur Überwachung, Identifizierung und Verhinderung von Cyberangriffen zusammengefasst. Das Unternehmen hat es sich zur Aufgabe gemacht, seine Kunden jeden Tag im Cyberspace zu schützen, indem es innovative Lösungen sowie Dienstleistungen entwickelt und einsetzt.
Weitere Informationen unter: www.group-ib.com
https://www.group-ib.com/blog
Twitter | LinkedIn |Facebook |Instagram |Telegram

Share this post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Zurück zu

Related Posts

20Sep

Stormshield mit bahnbrechender XDR-Lösung auf der it-sa 2023

Herkömmliche Sicherheitsansätze, ergo Insellösungen, die jeweils nur bestimmte Bereiche der Infrastruktur beschützen, reichen nicht mehr aus, um Cyberangriffen effektiv entgegenzutreten. Die it-sa 2023 stellt für den Hersteller die perfekte Plattform... read more

12Sep

Welche Cybersecurity für die Cloud?

Jede Diskussion über die Cloud muss öffentliche und private Clouds sowie SaaS (Software as a Service), IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) miteinbeziehen. Und jeder... read more

06Sep

Bericht: W3LL geölte Maschine – Group-IB entlarvt verdecktes BEC-Phishing-Imperium, das auf Microsoft 365 abzielt

Was den W3LL Store und seine Produkte wirklich von anderen Untergrund-Marktplätzen abhebt, ist die Tatsache, dass W3LL nicht nur einen Store geschaffen hat, sondern ein komplexes Phishing-Ökosystem mit einem vollständig... read more