Bleeping Computer 網(wǎng)站披露，新加坡正在發(fā)生一場新的信用卡竊取活動，攻擊者通過精心設(shè)計的網(wǎng)絡(luò)釣魚伎倆，“搶奪”分類網(wǎng)站上賣家的付款信息。更糟糕的是，攻擊者還試圖利用銀行平臺上的一次性有效密碼（OTP）將資金直接轉(zhuǎn)入其賬戶上。

2022 年 3 月，Group-IB 威脅分析師發(fā)現(xiàn)新加波出現(xiàn)了一波釣魚攻擊。經(jīng)過詳細(xì)分析，他們判斷這波攻擊是 2020 年發(fā)現(xiàn)的“Classicscam”全球行動中的一部分，這表明該活動仍在增長，其范圍正在擴(kuò)大。

網(wǎng)絡(luò)攻擊活動不斷擴(kuò)大

Classicscam 是一個全自動的“詐騙即服務(wù)”平臺，一般以分類網(wǎng)站用戶（這些用戶試圖出售或購買網(wǎng)頁上所列物品）為主要攻擊目標(biāo)。除此之外，該詐騙計劃還針對銀行、加密貨幣交易所、快遞公司、搬家公司和其他類型的服務(wù)提供商，側(cè)面反映了其目標(biāo)范圍甚廣。

據(jù)悉，Classicscam 主要依靠其 Telegram 頻道（目前依舊有 90 個活躍頻道）進(jìn)行詐騙宣傳和運營協(xié)調(diào)，自 2019 年以來，估計已經(jīng)造成了超過 2900 萬美元的損失。

從 Group-IB 披露得數(shù)據(jù)來看，Classicscam 犯罪網(wǎng)絡(luò)目前約有 38000 名注冊用戶，背后運營者獲得了大約 75% 的被盜金額，平臺管理員則獲得了另外 25% 的分成。

Classicscam層次結(jié)構(gòu)圖（Group-IB）

詐騙活動開始在新加坡蔓延

Classicscam 之前在俄羅斯、歐洲和美國出現(xiàn)過，但最近研究人員發(fā)現(xiàn)其開辟了一個新的、相當(dāng)大的目標(biāo)池，通過模仿新加坡流行的分類網(wǎng)站，創(chuàng)建了網(wǎng)絡(luò)釣魚網(wǎng)站的選項。 對于這個特定目標(biāo)，攻擊者使用了 18 個域，作為通過 Telegram 創(chuàng)建網(wǎng)絡(luò)釣魚站點的空間。

繪制的新加坡網(wǎng)絡(luò)（Group-IB）

網(wǎng)絡(luò)攻擊者的套路常見但有效，通過接近出售物品的賣家，聲明有興趣購買，最終將生成的釣魚網(wǎng)站 URL 發(fā)送給他們。一旦賣家點擊鏈接，他們將登陸一個看起來像分類信息門戶一部分的網(wǎng)站，頁面顯示已完成了商品付款。

虛假的付款通知（Group-IB）

但是，賣家必須輸入“銀行卡”的詳細(xì)信息（包括卡號、到期日期、持有人姓名和 CVV 代碼等），才能收到購買資金。

釣魚卡表格 (Group-IB)

接下來，受害者會收到一個假的OTP（一次性密碼）頁面，而 Classicscam 服務(wù)則利用獲得密碼，通過反向代理，在真正的銀行門戶網(wǎng)站上登錄。最后，為了區(qū)分有價值的賬戶與資金較少的賬戶，詐騙分子還要求受害者輸入其賬戶余額。

提示受害者輸入其卡里余額（Group-IB）

Classicscam 擴(kuò)大趨勢很難被阻止

Group-IB 表示，他們正在積極跟蹤和阻止 Classicscam 網(wǎng)站，以期及時報告其基礎(chǔ)設(shè)施，并提醒目標(biāo)服務(wù)，告知用戶這一風(fēng)險。然而，盡管在過去三年中已經(jīng)阻止了 5000 多個惡意端點，仍然沒有擋住 Classiscam 擴(kuò)張的腳步。

Group-IB 的數(shù)字風(fēng)險保護(hù)團(tuán)隊負(fù)責(zé)人 Ilia Rozhnov 強(qiáng)調(diào)，Classiscam 比傳統(tǒng)類型的詐騙案要復(fù)雜得多。與傳統(tǒng)騙局不同，Classiscam 是完全自動化的，可以廣泛傳播，詐騙者可以隨心所欲地創(chuàng)建取之不盡的鏈接列表。更糟糕的是，為了使檢測和清除工作復(fù)雜化，攻擊者總是將惡意域名的主頁重定向到當(dāng)?shù)胤诸惼脚_的官方網(wǎng)站上。

最后，強(qiáng)烈建議用戶在輸入敏感信息之前，應(yīng)仔細(xì)判別，避免遭受欺詐。