Kant-en-klare phishing

Een oplichter hoeft tegenwoordig de kennis niet meer te hebben om malware te schrijven of om geavanceerde digitale fraudeplannen te bedenken. De huidige vormen van oplichting worden kant-en-klaar in de vorm van fraud-as-a-service (FaaS) aangeboden. De doorsnee oplichter hoeft alleen maar naar slachtoffers te zoeken en vervolgens hun portemonnee leeg te halen. De operator zorgt voor de rest.

Vandaag gaan we het hebben over een groep die gespecialiseerd is in oplichting via advertentiesites. We leggen uit wat kant-en-klare phishing is en hoe je jezelf er het beste tegen kunt beschermen.

Wie biedt de dienst aan?

De belangrijkste persoon van een bende is de oprichter of topicstarter. Deze persoon stuurt alle anderen aan:

• Programmeurs, die verantwoordelijk zijn voor Telegram-kanalen, -chats en -bots
• Terugbetalers, ofwel neppe ondersteuningsagenten
• Kaartfraudeurs, die geld opnemen van de bankrekening van het slachtoffer
• Werkkrachten, die advertenties zoeken, erop reageren en slachtoffers overhalen om op een phishing-link te klikken

Zo ziet de kernopstelling van bijna elke bende eruit. Zeer verfijnde bendes hebben ook marketeers, motivators en mentors. Deze voeren promotiecampagnes voor het project en bieden morele steun aan en training voor werkkrachten.

De leden van een oplichtersbende communiceren voornamelijk via privégroepen en -chats op Telegram. Het kanaal dat we onderzochten had ongeveer 15.000 leden, waarvan er slechts vijf mentor waren. Vrijwel alle anderen waren werkkrachten, slechts pionnen in dit oplichtingssysteem. Lees het onderzoeksverhaal op Securelist om meer te weten te komen over andere rollen die de leden van een oplichtersbende vervullen.

De Telegram-bot is het belangrijkste wapen van de werkkrachten

Bots helpen bendes het grootste deel van het oplichtingsproces te automatiseren. Oplichters kunnen deze bots bijvoorbeeld gebruiken om unieke, gepersonaliseerde phishing-advertenties te maken. Een Telegram-bot die we ontdekten, toont maar liefst 48 advertenties tegelijk, in vier talen, voor zes advertentiesites en in twee versies: verkopersoplichting (2.0) en kopersoplichting (1.0).

Een bot maakt links voor twee soorten oplichting tegelijk: verkopersoplichting (2.0) en kopersoplichting (1.0)

Vervolgens gebruikt een werkkracht de Telegram-bot om de links automatisch naar het e-mailadres, het account van het berichtenprogramma of de sms-inbox van het slachtoffer te sturen. Zodra er op een phishing-link wordt geklikt, geeft de bot een bericht weer met de tekst ‘Mammoth online’. Hierdoor weet de werkkracht dat de oplichting vrijwel is geslaagd: het slachtoffer heeft geen [placeholder Kaspersky Premium]bescherming[/placeholder], dus de bende staat op het punt om zijn of haar geld te stelen.

De bot vertelt de werkkracht tot in detail alles wat het slachtoffer doet

Een van de topfuncties van Telegram-bots is dat er directe meldingen worden gegeven over alles dat er gebeurt. Dus als het slachtoffer voor de truc valt en voor de ‘goederen’ of ‘levering’ betaalt, krijgt de werkkracht daar direct informatie over. De bot berekent het deel van de buit dat de werkkracht krijgt en deelt de naam van de kaartfraudeur die het geld opneemt van de rekening.

“Weer iemand om de tuin geleid!” is het nieuwe motto van werkkrachten

Dit is alles wat de werkkracht hoeft te doen, aangezien het geld automatisch op zijn account wordt bijgeschreven. Het komt echter ook vaak voor dat de oplichter door zijn eigen bendeleden wordt opgelicht.

Hoeveel geld oplichtersbendes verdienen

De werkkrachten zijn de melkkoeien van de bende: zij betalen commissies aan de leider, de mentor, de kaartfraudeur en de terugbetaler. Zulke projecten leveren ongetwijfeld een hoop geld op. De bende verdiende tussen augustus 2023 en juni 2024 namelijk meer dan twee miljoen dollar. Dat is wat de oplichters in ieder geval zeggen. Ze kunnen natuurlijk in hun interne chat elk bedrag vermelden dat ze willen om werkkrachten te motiveren, hoe overdreven het ook is.

Een slechte dag voor de oplichters, maar een goede dag voor de hele mensheid

De transactielimiet van een bank vormt een beperkende factor voor de hoeveelheid winst die een oplichtersbende kan maken. De bende waar we het over hebben opereert vanuit Zwitserland. De lokale bankiersregels verhinderen dat de oplichters in één keer meer dan 15.000 Zwitserse frank (ongeveer 16.700 Amerikaanse dollar) kunnen stelen. De werkkrachten hebben een minimaal opnamebedrag. Ze doen geen moeite voor kaarten waarvoor minder dan 300 Zwitserse frank (333 Amerikaanse dollar) op de bijbehorende rekening staat. De kosten zijn anders hoger dan de inkomsten.

Voorkomen dat je in de val loopt

Het maakt niet uit of je slachtoffer wordt van kant-en-klare phishing of ‘gewone’ phishing. Deze oplichters blijven oplichters die op allerlei manieren proberen om hun slachtoffers hun geld afhandig te maken. Deze vorm van oplichting komt steeds vaker voor omdat FaaS het werk van oplichters zo veel gemakkelijker maakt. De beschermingstips voor kant-en-klare phishing zijn hetzelfde als voor andere vormen van phishing:

• Gebruik betrouwbare beveiliging om te voorkomen dat je op een phishing-link klikt.
• Bekijk onze regels voor veilig online verkopen.
• Praat alleen met kopers en verkopers via de chats van de verkoopsites zelf. Ga niet over op apps voor om te chatten. Zo kun je voorkomen dat werkkrachten je persoonsgegevens zien.
• Betaal online alleen met virtuele kaarten met transactielimieten en zorg ervoor dat er geen grote bedragen op de daaraan gekoppelde rekeningen staan.
• Lees hoe andere vormen van oplichting werken om op de hoogte te blijven van trends.