كيف يسرق المخترقون بطاقات الائتمان من مواقع الإعلانات؟

تجري حاليًا حملة جديدة لسرقة بطاقات الائتمان في سنغافورة ، حيث يتم انتزاع تفاصيل الدفع الخاصة بالبائعين على مواقع الإعلانات المبوبة من خلال خدعة تصيد معقدة.

يحاول المحتالون أيضًا تحويل الأموال مباشرة إلى حساباتهم باستخدام رموز مرور صالحة لمرة واحدة (OTPs) على النظام الأساسي الفعلي للبنك.

يعتقد محللو التهديدات في Group-IB ، الذين اكتشفوا هذه الموجة الأخيرة  في مارس 2022 ، أنها جزء من عملية عالمية تسمى “Classicscam” ، والتي  اكتشفوها في عام 2020 .

تعد سنغافورة إضافة جديدة إلى نطاق الاستهداف للعملية الإجرامية ، وهي علامة سيئة تشير إلى أن المخطط لا يزال ينمو وأن نطاقه يتوسع.

Classicscam عبارة عن نظام أساسي “احتيال كخدمة” مؤتمت بالكامل  يستهدف مستخدمي مواقع الإعلانات المبوبة  الذين يحاولون بيع أو شراء شيء مدرج في الصفحات.

يستهدف المخطط أيضًا البنوك ، وبورصات العملات المشفرة، وشركات التوصيل ، وشركات النقل ، وأنواع أخرى من مقدمي الخدمات ، مما يعكس نطاق الاستهداف الواسع.

وهي تعتمد على قنوات Telegram (90 نشطة حاليًا) للترويج والتنسيق التشغيلي، ومنذ عام 2019 عندما تم إطلاقها، تشير التقديرات إلى أنها تسببت في أضرار تزيد عن 29 مليون دولار.

وفقًا لـ Group-IB، تضم الشبكة الإجرامية حاليًا 38000 مستخدم مسجل يحصلون على حوالي 75٪ من المبالغ المسروقة، في حين يحصل مسؤولو النظام الأساسي على خصم بنسبة 25٪.

شوهدت Classicscam سابقًا في روسيا وأوروبا والولايات المتحدة ، لكنها أضافت مؤخرًا خيارًا لإنشاء مواقع تصيد تحاكي مواقع الإعلانات المبوبة السنغافورية الشهيرة. وبالتالي ، تم فتح تجمع مستهدف جديد وكبير.

لهذه الحملة بالذات، استخدمت العملية 18 مجالًا كانت بمثابة مساحة لإنشاء مواقع تصيد من خلال روبوتات Telegram.

يقترب المحتالون من بائع أحد العناصر ويعلنون عن رغبتهم في شرائه، وفي النهاية يرسلون إليهم عنوان URL لموقع التصيد الاحتيالي الذي تم إنشاؤه.

إذا نقر البائعون عليه، فسيصلون إلى موقع يبدو وكأنه جزء من بوابة الإعلانات المبوبة، مما يشير إلى اكتمال الدفع للعنصر المذكور.

يُزعم أنه يجب على البائع إدخال تفاصيل بطاقته الكاملة لتلقي الأموال الخاصة بالشراء، بما في ذلك رقم بطاقته وتاريخ انتهاء الصلاحية واسم حامل البطاقة ورمز CVV.

بعد ذلك، يتم تزويد الضحية بصفحة OTP (كلمة مرور لمرة واحدة) مزيفة، بينما تستخدمها خدمة Classicscam لتسجيل الدخول إلى المحتال على بوابة البنك الحقيقية عبر وكيل عكسي.

أخيرًا، لفصل الحسابات القيّمة عن تلك التي لديها أموال أقل، يُطلب من الضحية إدخال رصيد حسابه، على افتراض أنه خطوة تحقق.

تقول Group-IB إنها تقوم بنشاط بتتبع وحظر مواقع Classicscam، والإبلاغ عن بنيتها التحتية ، وتنبيه الخدمات المستهدفة لإبلاغ مستخدميها بالمخاطر.

ومع ذلك، على الرغم من حظر أكثر من 5000 نقطة نهاية خبيثة في السنوات الثلاث الماضية ، تواصل Classicscam الانتشار والتوسع.

علق إيليا روزنوف، رئيس فريق حماية المخاطر الرقمية في Group-IB، قائلاً: “تعتبر معالجة Classiscam أكثر تعقيدًا بكثير من معالجة أنواع الاحتيال التقليدية”.

“على عكس عمليات الاحتيال التقليدية، فإن Classiscam مؤتمتة بالكامل ويمكن توزيعها على نطاق واسع. يمكن للمحتالين إنشاء قائمة لا تنضب من الروابط أثناء التنقل.”

“لتعقيد الاكتشاف والإزالة، تعيد الصفحة الرئيسية للنطاقات المارقة دائمًا التوجيه إلى موقع الويب الرسمي لمنصة محلية مبوبة.”

يجب أن يكون مستخدمو المنصات التي تسهل المعاملات المالية على دراية بالميزات والخيارات المتوفرة قبل محاولة إجراء أي عمليات شراء أو إدخال تفاصيل حساسة.