俄罗斯黑客将诈骗攻击发展成服务形态,并大肆扩散到欧洲

近年来歹徒滥用即时通信软件Telegram进行诈骗的现象,在海外可说是时有耳闻,然而这样的攻击,如今已经朝向诈骗攻击服务化(Scam-as-a-Service)发展。俄罗斯威胁情报公司Group IB在博客发布一项研究报告,披露一起使用俄文的黑客发起的网络犯罪行动Classiscam,这些黑客协助广告诈骗的歹徒,从线上购物的买家总共骗到超过650万美元。这些受害的购物者遍及美国、欧洲,以及前苏联。

Group IB指出,他们在2020年的夏天,发现了此攻击行动出现的280个诈骗网站,并进行封锁;但不到半年的时间,该行动的诈骗网站已暴增超过10倍,该公司于12月看到3千个诈骗网站。因此Group IB认为,这些黑客先是在俄罗斯进行实验,确定攻击的方法可行才扩大攻击范围到欧美地区。

该公司最早是在2019年初观察到Classiscam攻击行动,但当时这些黑客仅有在俄罗斯线上市场与广告出没。但到了2020年,这些黑客将他们的作案工具服务化,制作成Telegram聊天机器人,替更多歹徒制作行骗所需工具。Group IB说,截至2020年底,他们看到超过40个这种聊天机器人,每个机器人为不同的诈骗组织服务,而其中有超过20个组织锁定的范围在欧洲,包含保加利亚、捷克、法国、波兰,以及罗马尼亚等;而另外20个诈骗集团则是针对俄罗斯买家下手。而且,卖家还提供翻译工具,让诈骗集团能用受害者的语言,向他们行骗。截至2020年底,Group IB看到有超过5千个用户,注册其中最受欢迎的40个Telegram机器人。

这些诈骗集团冒用欧洲知名电商和物流企业的名义行骗,包含了法国Leboncoin、波兰Allegro、智利Sbazar,以及罗马尼亚FAN Courier等购物网站,还有像是FedEx与DHL等物流企业。

根据估算,这些向欧洲国家行骗的诈骗集团,每个月平均约能得手6万1千美元,Group IB粗估Classiscam行动的所有诈骗集团,在2020年总共骗到了650万美元。

而这些诈骗集团又是如何运行的呢?它们的组织架构由上至下,总共可区分为3种阶级的职位,包含了管理员(Admin)、作业员(Worker),以及最底层的电话人员(Caller)。其中,管理员的工作主要是负责招募成员,并制作诈骗网页,再者,若是该组织在诈骗的过程遇到银行封锁银行卡交易,他们也会出手协助。管理员大约可抽成20%至30%的诈骗金额。

作业员则是扮演诈骗过程向受害人联系的角色,并且负责发送钓渔网站的网址。同时这些人员抽成诈骗所得的比例也最高,能拿到约70%至80%;而电话人员主要工作是假装是技术支持专员,诈骗所得仅能得到约5%至10%。

这些诈骗组织的作业员执行工作的方式又是如何?首先,他们借由管理员提供的Telegram机器人取得钓渔网站连接,便在欧美常见的电商平台或是广告平台上,发出诱饵广告,其内容通常是刻意以低价出售相机、电视游乐器、笔记本,以及移动电话等高单价物品。一旦有受害者上钩,他们会使用像是WhatsApp这种即时通信软件,向以为捡到便宜的买家联系,而且,为了让受害者更难发现有异,这些作业员还会使用买家当地的电话号码。

黑客利用上图Leboncoin购物商城网站的拍卖资料,向线上购物的买家行骗,而诈骗集团制作此假网站的方式,其实是通过下图的Telegram机器人产生,歹徒提供上述网站的图片与假买家居住地区等信息,该机器人便会产生假网页供诈骗人员使用。在这里我们看到机器人提供钓渔网站的域名名称是leboncoin.cf,而正牌购物网站的域名名称其实是leboncoin.fr。

而另一种形式的诈骗手法,则是作业员假冒是购物者,联系卖家并发送仿造电汇的假付款单,从而向卖家骗得商品来变现牟利。他们所使用的假付款单,同样是出自于上述的Telegram机器人。