Tính năng bot Telegram hỗ trợ tin tặc trong các chiến dịch lừa đảo dưới dạng dịch vụ

Theo một báo cáo của Group-IB (công ty tình báo mạng chuyên săn tìm mối đe dọa toàn cầu, điều tra và ngăn chặn tội phạm mạng công nghệ cao), Classiscam là một dịch vụ lừa đảo tự động được thiết kế để đánh cắp tiền và dữ liệu thanh toán.

Cụ thể, Classiscam đã sử dụng bot Telegram để hỗ trợ tạo các trang web lừa đảo. Các trang này được báo cáo là mạo danh các công ty trong nhiều ngành, bao gồm các trang thương mại điện tử trực tuyến, trang web rao vặt và các nhà vận chuyển.

Ngoài việc đánh cắp tiền và dữ liệu thanh toán, các trang web lừa đảo này còn được thiết kế để đánh cắp thông tin đăng nhập ngân hàng từ những người dùng Internet không nghi ngờ.

Đặc biệt, các mẫu trang web lừa đảo được tạo ra cho mỗi thương hiệu có thể được bản địa hóa, cập nhật phù hợp với từng quốc gia khác nhau bằng cách chỉnh sửa ngôn ngữ và đơn vị tiền tệ trên các trang web lừa đảo. Kết quả là một thương hiệu vận chuyển cụ thể đã bị những kẻ lừa đảo Classiscam mạo danh và nhắm vào người dùng của họ tại tới 31 quốc gia.

Sự bùng nổ của bot Telegram

Các bot trên Telegram là các chương trình tự động nhỏ có thể được tích hợp vào các kênh hoặc cuộc trò chuyện Telegram, cho phép bất kỳ người dùng nào tương tác và thực hiện một chức năng cụ thể. Các bot có thể dễ dàng được tạo ra và điều chỉnh theo nhu cầu của người dùng.

Nhiều bot Telegram có thể được tích hợp vào các kênh Telegram cho nhiều trường hợp sử dụng khác nhau. Đối với hoạt động lừa đảo dưới dạng dịch vụ, những kẻ lừa đảo có thể sẽ sử dụng bot được tự động hóa để tạo các trang web lừa đảo bằng cách khai thác dữ liệu từ các trang web. Một số bot có thể được sử dụng để chuẩn bị các mẫu email và thậm chí thúc đẩy người dùng cung cấp thông tin cá nhân.

“Các bộ công cụ lừa đảo của Telegram luôn có sẵn và thường đi kèm với các hướng dẫn giúp người dùng không rành về kỹ thuật cũng có thể dễ dàng sử dụng. Các bộ công cụ này cũng được bán với giá phải chăng, khiến nhiều tội phạm mạng có thể tiếp cận chúng. Sự gia tăng của các bộ công cụ này trên Telegram đã giúp tội phạm mạng dễ dàng thực hiện các cuộc tấn công chống lại các doanh nghiệp thuộc mọi quy mô”, Laone Moalosi, Giám đốc Công nghệ và Đồng sáng lập tại Cybertec Solutions chia sẻ trong một bài đăng trên LinkedIn.

Classiscam tại khu vực châu Á - Thái Bình Dương

Classiscam ban đầu xuất hiện tại Nga, nơi mô hình này đã được thử nghiệm trước khi được triển khai trên toàn cầu. Chương trình liên kết lừa đảo dưới dạng dịch vụ đã tăng vọt và trở nên phổ biến vào mùa xuân năm 2020 với sự xuất hiện của COVID-19 và sự gia tăng trong hoạt động làm việc từ xa và mua sắm trực tuyến.

Theo những phát hiện của Group-IB, có tổng cộng 251 thương hiệu độc quyền tại 79 quốc gia đã xuất hiện trên các trang web lừa đảo Classiscam từ nửa đầu năm 2021 đến nửa đầu năm 2023.

Trong khu vực châu Á - Thái Bình Dương, Australia có số lượng thương hiệu bị Classiscam nhắm đến nhiều nhất. Các quốc gia và vùng lãnh thổ khác cũng bị ảnh hưởng nặng nề, bao gồm Ấn Độ, Hồng Kông (Trung Quốc), Singapore, Sri Lanka và Malaysia.

Kể từ nửa sau năm 2019, khi Nhóm ứng cứu khẩn cấp máy tính của Group-IB (CERT-GIB), phối hợp với đơn vị Bảo vệ rủi ro kỹ thuật số của công ty, lần đầu tiên xác định hoạt động của Classiscam, đã có tổng cộng 1.366 nhóm riêng biệt tận dụng mô hình này trên Telegram.

Các chuyên gia của Group-IB đã kiểm tra các kênh Telegram chứa thông tin liên quan đến 393 nhóm Classiscam với hơn 38.000 thành viên hoạt động từ nửa đầu năm 2020 đến nửa đầu năm 2023. Trong khoảng thời gian này, số tiền mà các nhóm này chiếm đoạt được ước tính lên đến 64,5 triệu USD.

Đồng thời, các nhà nghiên cứu của Group-IB cũng nhận thấy vai trò trong các nhóm lừa đảo đã trở nên chuyên môn hóa hơn trong một hệ thống phân cấp mở rộng. Các trang web lừa đảo của Classiscam hiện có thể bao gồm việc kiểm tra số dư, mà những kẻ lừa đảo sử dụng để đánh giá mức phí họ có thể tính vào thẻ của nạn nhân, và các trang web đăng nhập ngân hàng giả mạo mà họ sử dụng để thu thập thông tin đăng nhập của người dùng.

Hiện tại, các chuyên gia của Group-IB đã tìm thấy 35 nhóm lừa đảo như vậy đã phân phối các liên kết đến các trang web lừa đảo có chứa các biểu mẫu đăng nhập giả mạo cho các dịch vụ ngân hàng.

Tổng cộng, những kẻ lừa đảo Classiscam đã tạo ra các tài nguyên mô phỏng trang đăng nhập của 63 ngân hàng tại 14 quốc gia. Trong số các ngân hàng bị nhắm đến có một số ngân hàng có trụ sở tại Bỉ, Canada, Cộng hòa Séc, Pháp, Đức, Ba Lan, Singapore và Tây Ban Nha.

“Classiscam không có dấu hiệu chậm lại và số lượng những kẻ lừa đảo Classiscam đang tiếp tục gia tăng. Trong năm qua, chúng tôi đã chứng kiến các nhóm lừa đảo áp dụng một cấu trúc tổ chức mới, mở rộng hơn, và các vai trò bên trong tổ chức đang trở nên ngày càng chuyên môn hóa. Classiscam có thể sẽ vẫn là một trong những hoạt động lừa đảo lớn trên toàn cầu trong suốt năm 2023 do tính năng tự động hóa hoàn toàn của mô hình này và rào cản kỹ thuật thấp khi tham gia”, Afiq Sasman, Trưởng Nhóm ứng cứu khẩn cấp máy tính của Group-IB tại khu vực châu Á - Thái Bình Dương, cho biết.

Người dùng cần phải cảnh giác cao khi sử dụng mạng xã hội và luôn luôn nhận thức về bất kỳ hoạt động lừa đảo tiềm ẩn nào có thể đang nhắm vào họ. Trong khi đó, Group-IB cũng cho biết sẽ tiếp tục theo dõi các chiến dịch Classiscam trên toàn cầu, hợp tác cùng cảnh sát và các thương hiệu bị ảnh hưởng để hỗ trợ trong việc đánh sập những kế hoạch lừa đảo này./.