Scam-as-a-Service (Sass), tutto quello che serve sapere

La criminalità organizzata, non è solo l’immagine stereotipata che abbiamo in mente grazie ai film che la raffigurano, ma ha imparato ad usare le nuove tecnologie per infiltrarsi in ogni aspetto delle nostre vite, dalle banche ai database aziendali. Per questo, non deve essere reputata meno pericolosa, oppure peggio, sottovalutata.

Molti criminali usano il dark web come strumento per pratiche illegali, che senza di esso sarebbero più ostiche da compiere, una di essere viene conosciuta anche come Scam-as-Service (Sass), oppure anche come Fraud-as-service.

Con il termine Scam as a service indichiamo un’ampia categoria di truffe online mirate al furto di informazioni sensibili o di ingenti somme di denaro.

Questo genere di truffe confermano la tendenza del mercato dell’hacking che ormai va affermandosi, ovvero quella dell’as a service. I gruppi di attaccanti tendono a fornire servizi di hacking a gettone: si tratta di tecniche pronte all’uso e personalizzabili a seconda delle vittime che si andranno a colpire.

Colui che richiede il servizio di hacking per colpire un obiettivo mirato non necessita di alcuna competenza tecnica, in quanto si servono di kit completi.

Gli esperti avvisano, la Sass sarà una forza importante che plasmerà il futuro delle frodi online.

Come possiamo prepararci reagire in tempo?

1. Classiscam, un esempio recente di Scam-as-service
2. I luoghi colpiti e dominii utilizzati
3. La struttura della truffa
4. Un piano d’azione efficace
5. Perché lo Scam-as-service è difficile da identificare?
6. Come difendersi dalla Saas e dalle truffe di questo tipo

Un esempio attuale di Scam-as-Service è il caso di Classiscam: ci si riferisce a un’operazione criminale informatica che nonostante sia apparsa nel 2019 in Russia, è stata messa in risalto solo un anno dopo, in coincidenza con un aumento dell’attività di shopping online dagli utenti durante i mesi di confinamento per il COVID-19. Non a caso, è diventato lo schema di frode più utilizzato durante e post pandemia.

Classiscam è stata battezzata con questo nome dall’azienda di cybersecurity Group-IB.
L’organizzazione nota per essere l’artefice di Classiscam ora ha esteso le sue operazioni anche in Europa centrale ed occidentale.

La truffa prende di mira i siti di annunci online economici e popolari.

I bersagli favoriti da Classiscam sono le persone che utilizzano mercati e servizi relativi a

• affitti di proprietà
• prenotazioni alberghiere
• bonifici bancari online
• vendita al dettaglio online
• ride-sharing

e

• consegne di pacchi.

Attraverso una serie di tecniche e strumenti informatici pronti all’uso, i truffatori ingannano migliaia di persone online e ne rubano i dati delle carte di credito, con cui fanno altri acquisti o accedono ai loro account di home banking.

A tal proposito, questa pratica è stata battezzata “Scam as a Service”, sulla falsa riga dell’espressione Saas, software as a service.

In questo modo, l’organizzazione criminale è delocalizzata e risulta pressoché impossibile da identificare.

Prima di cercare nuovi obiettivi in occidente, Classiscam ha falciato come prime vittime gli utenti appartenenti ai mercati russi.

Group-IB ritiene che “Oltre 90 gruppi attivi utilizzino i servizi di Classiscam per indirizzare gli utenti in

• Bulgaria
• Repubblica Ceca
• Francia
• Kazakistan
• Kirghizia
• Polonia
• Romania
• Ucraina
• Stati Uniti

e

• Uzbekistan.

L’operazione fraudolenta coinvolge le reti di 64 paesi in Europa, la Comunità degli Stati Indipendenti (CSI) e il Medio Oriente, con 169 marchi utilizzati per eseguire gli attacchi. Da aprile 2020 a febbraio 2022, si dice che i criminali che hanno sfruttato Classiscam abbiano realizzato almeno $ 29,5 milioni di profitti illeciti.

L’intera infrastruttura di attacco gestita dai truffatori che utilizzano la Saas comprende 200 domini, 18 dei quali sono stati creati per ingannare gli utenti.
Altri siti nella rete si atteggiano a società di traslochi di Singapore, siti Web europei, asiatici e mediorientali, appartenenti a banche, mercati, marchi alimentari, e società di consegna.

Le offerte Scam-as-service vanno da attacchi DDoS al noleggio di botnet, a carte di pagamento rubate, alla disponibilità di dati sanitari e cartelle cliniche provenienti da data breach fino alla disponibilità di account di social media rubati.

Con l’aumento della domanda e della concorrenza nel deep web, alcuni cybergang stanno offrendo garanzie del servizio clienti un fattore chiave di differenziazione per i loro servizi con opzioni di prova prima dell’acquisto e resi per merce “difettosa”, come carte di pagamento scadenti.

Scam-as-service non è solo una definizione generica di frode digitale.

La nuova tendenza dell’ambiente di hacking propone pacchetti di attacchi phishing, SQL injection e ATM-skimming pronti all’uso.

Quel che è peggio è che questa predisposizione, il concetto si riferisce più accuratamente a un’invasione insidiosa di criminali informatici in modo organizzato con determinate caratteristiche:

• Utilizzo di una rete globale di criminali per collaborazioni fraudolente internazionali attraverso forum clandestini.

• Creazione di una piattaforma dark web da cui si svolgono le attività di compravendita dei servizi Sass.

• Rendere la frode un prodotto redditizio che può essere venduto. Infatti, la Sass è commercializzata ad altri malintenzionati come un prodotto praticabile.

• Sviluppare una rete di servizi per aiutare i truffatori a commettere crimini digitali e convertire i beni rubati in denaro.

• Sviluppare e utilizzare software di elusione delle forze dell’ordine internazionali.

Cosa ha di diverso questo sistema e la classica truffa del vecchio mattone venduto al posto del cellulare?
Certamente il mezzo: online invece che offline e senza alcun dubbio in questo caso si parla di infrastrutture ben organizzate e strutturate, al pari di un’azienda.

Questo modello fornisce agli aspiranti criminali informatici i mezzi e l’opportunità per sviluppare le proprie attività di frode, a basso costo e con poca conoscenza. Il servizio stesso può essere acquistato sul dark web; inoltre, la piattaforma fornisce una fitta rete di supporto di collaboratori criminali che la pensano allo stesso modo.

Lo Scam-as-service non si limita ad un singolo piano d’azione.

Per esempio:

• Un fornitore di servizi può condurre attacchi DDoS per conto dei propri clienti.
• Alcuni individui potrebbero affittare botnet a criminali, che possono quindi utilizzare la botnet per condurre il proprio attacco.
• I fornitori di Sass possono avere accesso a informazioni su carte di pagamento rubate, cartelle cliniche o account di social media, utilizzandoli per creare utenti falsi (che vengono poi venduti o affittati agli abbonati) o venderli e consentire ai truffatori di creare i propri account falsi.

Essendo lo Scam-as-service un fattore chiave che contribuisce alla frode online e alla criminalità informatica negli ultimi anni, risulta molto difficile da tracciare ed estirpare.

Un imprenditore risulta la vittima più appetibile perché ha diversi punti di vulnerabilità, con grande rischio di compromissione della reputazione e la fiducia dei clienti.
Questa truffa non è solo una minaccia crescente, sarà la prossima grande tendenza cybercriminale nel futuro.

In principio, le aziende hanno sviluppato soluzioni software as a service (SaaS) per identificare, mitigare e recuperare dalle frodi in risposta a una domanda del mercato. Con lo Scam-as-service, le comunità fraudolente si sono sviluppate in risposta alla stessa pressione, ma esercitata con ben altri obiettivi.

Come possiamo garantire che le nostre pratiche quotidiane siano allineate con un’efficace strategia di gestione delle frodi?

• La velocità alla quale si verificano le transazioni può essere un chiaro indizio di frode.
  Utilizzando i bot, i truffatori possono generare e inserire una molteplicità di password e credenziali di accesso finché non trovano quella giusta, l’attacco sarà veloce e non preciso. I software velocity checks limitano il numero di transazioni che un utente può tentare in un determinato periodo di tempo. In questo modo, il software rifiuterà qualsiasi transazione successiva che sembri sospetta e segnalerà quell’utente o l’indirizzo IP per sospetta attività fraudolenta.
• Integrare un sistema di autenticazione del cliente con i propri normali processi di pagamento o chiedere al processore se è possibile eseguire l’upgrade a una piattaforma più sicura.
• Le analisi batch proteggono dagli attacchi dei bot. Le informazioni rivelate eseguendo frequenti controlli del comportamento e dei modelli di spesa potrebbero rivelare attività fraudolente. Aggiungendo l’apprendimento automatico al proprio arsenale di meccanismi antifrode, il sistema inizierà immediatamente a cercare modelli sospetti, come una molteplicità di ordini originati dallo stesso indirizzo IP o che condividono lo stesso numero di identificazione bancaria. Entrambi i casi potrebbero essere un’indicazione di Saas.
• I siti di e-commerce possono essere presi di mira da falsi declini da parte dell’aspirante acquirente. È sostanzialmente più alto del costo effettivo della frode con carta di credito. Le tecnologie di apprendimento automatico possono indirizzare le transazioni alla banca per chiarire i dettagli e migliorare le probabilità di autorizzazione.
• Può capitare che il computer non sia in grado di distinguere un comportamento potenzialmente fraudolento da un’attività insolita ma valida del cliente. Per evitare i falsi rifiuti sopra menzionati, potrebbe essere necessaria una figura incaricata all’interno della propria azienda per esaminare manualmente gli ordini contrassegnati prima di approvarli o rifiutarli.
• La prima grande muraglia difensiva è sempre un antivirus di buona qualità, che include funzionalità utilissime come il password manager e le VPN, che proteggono ulteriormente i dati durante la navigazione.