Una operación de estafas online a través de anuncios de segunda mano acaba de ser señalada como la responsable de haber robado más de 6,5 millones de dólares a usuarios de Estados Unidos, Europa y varias ex-repúblicas soviéticas. Un informe recientemente publicado por los analistas de seguridad de Group-IB lo ha descrito como un sistema de estafa como servicio (en referencia al término software como servicio o SAAS); la operación, basada en Rusia y conocida como Classiscam, comenzó a principios de 2019 e inicialmente solo se dirigía a compradores activos en mercados online rusos y portales de anuncios clasificados.

A lo largo del año pasado el grupo se expandió a otros países, después de que sus responsables empezaran a reclutar estafadores que pudieran dirigirse a los clientes en varios idiomas y mantener conversaciones con ellos en su lengua. Se sabe que Classiscam sigue activo actualmente en más de una docena de países, en marketplaces y servicios de mensajería internacionales como Leboncoin, Allegro, OLX, FAN Courier, Sbazar, DHL y otros similares.

Pero, a pesar de haber ampliado los objetivos, el modus operandi sigue un patrón similar -si bien adaptado a cada sitio- que gira en torno a la publicación de anuncios de productos inexistentes en los mercados online. “Los anuncios suelen ofrecer cámaras, videoconsolas, ordenadores portátiles, teléfonos inteligentes o artículos similares a precios deliberadamente bajos”, explicaron los analistas.

Una vez que los usuarios muestran interés y se ponen en contacto con el supuesto vendedor (en realidad uno de los estafadores), los responsables de Classiscam solicitan al comprador que proporcione detalles para organizar la entrega del producto. A continuación, el estafador utiliza un bot de Telegram para generar una página de phishing que imita la marketplace original, pero que está alojada en un dominio controlado por los delincuentes. El estafador envía el enlace al comprador, que lo rellena con sus datos de pago. Y, una vez que la víctima proporciona la información bancaria, los estafadores recogen esa información y la utilizan en otras plataformas para comprar productos.

Operación profesional

Los analistas afirman que toda la operación estaba organizada a un nivel profesional, con ‘administradores’ dirigiendo, con ‘trabajadores’ y ‘operadores’. Los administradores gestionan bots de Telegram, crean anuncios falsos y reclutan a esos trabajadores, tanto dentro de Rusia como en el extranjero. Éstas son las personas que interactúan directamente con las víctimas, ocupándose de la mayor parte del trabajo; generando los enlaces individuales de phishing y asegurándose de que se realizan los pagos. Los operadores por su parte, tienen un papel menor, actuando como supuestos especialistas de apoyo y manteniendo conversaciones con las víctimas por teléfono en caso de que alguna sospeche algo o tenga dudas técnicas.

Basándose en el número de bots de Telegram que han descubierto, los analistas creen que hay más de 40 grupos diferentes que utilizan actualmente los servicios de Classiscam. La mitad de ellos realizan estafas en webs rusas, mientras que la otra mitad se dirige a usuarios de Bulgaria, República Checa, Francia, Polonia, Rumanía, Estados Unidos y de otras antiguas repúblicas soviéticas. Más de 5.000 usuarios que en realidad trabajan como estafadores estaban registrados en estos más de 40 chats de Telegram a finales de 2020.

Los expertos estiman que, de media, cada uno de estos grupos gana unos 61.000 dólares cada mes, mientras que toda la operación de Classiscam recaudaría unos 522.000 dólares mensuales. “Hasta ahora, la expansión de la estafa por Europa se ha visto obstaculizada por las barreras lingüísticas y las dificultades para convertir en efectivo el dinero robado en el extranjero”, dijo un portavoz del grupo de analistas. “Una vez que los estafadores superen estas barreras, Classiscam se extenderá por Occidente”.