MAJALAH ICT – Jakarta. Group-IB, pemimpin global dalam bidang keamanan cyber yang berbasis di Singapura, mengungkapkan bahwa operasi scam-as-a-service beralias Classiscam terus melanjutkan kampanye globalnya di tabun 2023. Dalam sebuah blog baru, para analis dari Group-IB memaparkan bagaimana skema otomatis ini menggunakan bot Telegram untuk membantu pembuatan halaman phishing siap pakai yang meniru perusahaan-perusahaan di berbagai industri, termasuk pasar online, situs klasifikasi, dan operator logistik. Halaman-halaman phishing ini dirancang untuk mencuri uang, data pembayaran, dan baru-baru ini dalam beberapa kasus, kredensial login bank dari pengguna internet.
Menurut temuan dari Group-IB, sebanyak 251 merek unik di total 79 negara ditampilkan pada halaman-halaman phising Classiscam dari Q1 tahun 2021 hingga Q3 tahun 2023. Selain itu, template-template phishing yang dibuat untuk setiap merek dapat dilokalkan untuk berbagai negara dengan mengedit bahasa dan mata uang yang ditampilkan pada halaman penipuan tersebut. Sebagai hasilnya, satu merek operator logistik ditiru oleh “Classiscammers” yang menargetkan pengguna di 31 negara.
Di kawasan APAC, negara dengan jumlah merek yang paling banyak ditargetkan oleh Classiscammers adalah Australia (34,6% dari total regional). Negara-negara lain yang terkena dampak secara besar adalah India (11,5%), Hong Kong (10,3%), Singapura (7,7%), Sri Lanka (7,7%), dan Malaysia (5,1%).
Sejak paruh kedua tahun 2019, ketika Group-IB Computer Emergency Response Team (CERT-GIB) bekerja sama dengan unit Digital Risk Protection pertama kali mengidentifikasi operasi Classiscam, telah ditemukan 1.366 kelompok terpisah yang memanfaatkan skema ini di Telegram. Para ahli dari Group-IB telah memeriksa channel-channel Telegram yang berisi informasi tentang 393 kelompok Classiscam dengan lebih dari 38.000 anggota yang beroperasi antara Q1 tahun 2020 dan Q1 tahun 2023.
Selama periode ini, kelompok-kelompok ini menghasilkan pendapatan gabungan yang berestimasi sebesar USD $64,5 juta. Group-IB telah mencatat bagaimana pelaku ancaman di balik Classiscam telah bekerja, sejak awal, untuk memformalkan dan memperluas operasi model penipuan ini. Sejak tahun 2022, Classiscammers telah memperkenalkan inovasi-inovasi baru, seperti skema phishing yang dirancang untuk mengumpulkan kredensial dari akun bank online korban, dan beberapa kelompok telah mulai menggunakan perangkat pencuri informasi.
Sesuai dengan misinya dalam memerangi kejahatan siber global, Group-IB akan terus membagikan temuan-temuannya mengenai Classiscam, yang diperoleh dari solusi Digital RIsk Protection milik perusahaan, kepada pihak berwenang penegak hukum. Tujuan utama dari penelitian ini adalah untuk meningkatkan kesadaran publik mengenai metode penipuan terbaru dan mengurangi jumlah korban dari operasi penipuan ini.
Berubah Menjadi Global
Classiscam awalnya muncul di Rusia, di mana skema ini diuji coba sebelum diluncurkan ke seluruh dunia. Program afiliasi scam-as-a-service ini meroket dalam popularitasnya pada musim semi 2020 dengan munculnya COVID-19 dan peningkatan bekerja dari jarak jauh serta belanja online.
Para ahli dari Group-IB melihat bagaimana skema penipuan ini pertama kali diekspor ke Eropa, sebelum menyebar ke wilayah global lainnya, seperti kawasan Asia-Pasifik (APAC), Amerika Serikat, dan Timur Tengah serta Afrika (MEA). Pada paruh pertama tahun 2021, Classiscammers telah menargetkan pengguna internet di 30 negara. Para ahli dari Group-IB dapat mengungkapkan bahwa pada paruh pertama tahun 2023, angka ini telah meningkat menjadi 79. Dalam periode waktu yang sama, jumlah merek yang ditargetkan di pasar global telah meningkat dari 38 menjadi 251.
Lebih dari 61% dari sumber Classiscam teranalisis oleh para ahli Group-IB yang dibuat antara paruh pertama tahun 2021 dan paruh pertama tahun 2023 menargetkan pengguna di Eropa. Wilayah lain yang menjadi target dengan intensitas tinggi adalah Timur Tengah dan Afrika (18,7% dari sumber daya) dan kawasan Asia-Pasifik (12,2%). Pembagian penuh dari proporsi merek yang ditargetkan berdasarkan wilayah dapat ditemukan dalam Gambar 2 (di bawah).
Jumlah rata-rata kerugian finansial dari korban Classiscam di seluruh dunia adalah $353, meskipun pengguna di Inggris kehilangan jumlah terbanya, kepada Classiscammers, dengan jumlah transaksi palsu rata-rata sebesar $865. Pengguna di kawasan APAC dan MEA kurang cenderung menjadi korban skema Classiscam, meskipun korban di Singapura rata-rata kehilangan $682 akibat penipuan. Di Australia, angka ini mencapai $515, dan di Arab Saudi (MEA), skema Classiscam ini berhasil membuat korban dirugikan $525 secara rata-rata.
Apa yang Baru?
Awalnya, Classiscam diluncurkan sebagai operasi penipuan yang relatif sederhana. Para penjahat siber menciptakan iklan palsu di situs klasifikasi, dan memanfaatkan teknik rekayasa sosial untuk menipu pengguna agar “membeli” barang atau layanan yang diiklankan secara palsu, baik dengan mentransfer uang langsung ke penipu atau dengan mendebet uang dari kartu bank korban.
Operasi Classiscam menjadi semakin otomatis dalam dua tahun terakhir. Skema ini sekarang menggunakan bot dan chat Telegram untuk mengkoordinasikan operasi dan membuat halaman phishing dan penipuan dalam hitungan detik, dan banyak kelompok yang menawarkan instruksi yang mudah diikuti, serta para ahli yang siap membantu dengan pertanyaan pengguna lainnya. Rincian lengkap tentang bagaimana skema Classiscam bekerja dalam praktiknya diberikan dalam Gambar 6 di bawah ini.
Selama setahun terakhir, para peneliti dari Group-IB telah melihat peran dalam kelompok penipuan menjadi lebih berspesialisasi dalam hierarki yang telah diperluas. Halaman phishing Classiscam sekarang dapat mencakup pemeriksaan saldo, yang digunakan oleh penipu untuk menilai berapa banyak yang dapat mereka bebankan ke kartu korban, dan halaman login bank palsu yang mereka gunakan untuk mencuri kredensial pengguna. Pada saat penulisan artikel ini, para ahli dari Group-IB menemukan 35 kelompok penipuan seperti itu yang mendistribusikan tautan ke halaman phishing mencakup formulir login palsu untuk layanan perbankan. Secara total, penipu Classiscam menciptakan sumber daya yang meniru halaman login dari 63 bank di 14 negara. Di antara bank-bank yang ditargetkan adalah bank yang berbasis di Belgia, Kanada, Republik Ceko, Prancis, Jerman, Polandia, Singapura, dan Spanyol.
“Classiscam tidak menunjukkan tanda-tanda perlambatan dan jumlah Classiscammers terus bertambah. Selama setahun terakhir, kami telah melihat kelompok penipuan mengadopsi hierarki baru yang diperluas, dan peran dalam organisasi semakin berspesialisasi. Classiscam kemungkinan akan tetap menjadi salah satu operasi penipuan global utama sepanjang tahun 2023 karena otomatisasi secara penuh yang diterapkan oleh skema ini dan hambatan teknis yang terhitung rendah,” kata Afiq Sasman, Kepala Computer Emergency Response Team di Asia Pasifik untuk Group-IB.
Group-IB akan terus memantau kampanye global Classiscam, dengan berkolaborasi bersama penegak hukum serta merek-merek yang terkena dampak dari kampanye ini, untuk membantu dalam upaya menangani penipuan ini. Perusahaan yang merek dan citranya ditiru oleh penipu direkomendasikan untuk memanfaatkan solusi Perlindungan Risiko Digital yang dapat secara aktif memantau, mengidentifikasi, dan menonaktifkan domain-domain phishing.