ESET odhaľuje „továreň na phishing“: Bot Telekopye pomáha podvodníkom loviť obete cez známu četovaciu aplikáciu
Telegram bot Telekopye umožňuje podvodníkom jednoducho a rýchlo vytvárať phishingový materiál cez prehľadné menu.
Online nakupovanie je praktickejšie a častokrát aj lacnejšie ako cesta do kamennej predajne. Tovar si vieme objednať z pohodlia domova a kuriér nám ho donesie až pred dvere. Nemožno sa teda čudovať, že mnohí častejšie nakupujú na internete.
Problém je, že si to uvedomujú aj podvodníci, ktorí sa neustále pokúšajú nájsť nové spôsoby, ako nás oklamať. Podvodníci môžu vytvoriť stránku s tovarom ktorý nevlastnia, alebo ktorý vôbec nechcú predať, no peniaze od obete im vôbec nevadia. Bezpečnostní experti z ESETu nedávno objavili nástroj, ktorý dokáže podvodníkom pomôcť do takej miery, že kyberzločinci nemusia vôbec ovládať informačné technológie. Stačí im len dobrý príbeh, ktorým oklamú obete.
Tento nástroj implementovali vo forme Telegram bota, ktorý keď sa aktivuje, tak poskytne jednoduché a prehľadné menu vo forme klikateľných tlačidiel, cez ktoré môže svoje podvody praktikovať aj viacero kyberzločincov súčasne. Bezpečnostní experti túto funkciu pomenovali Telekopye.
Veľa dôkazov naznačuje, že tento typ podvodu má svoj pôvod v Rusku. Ide o takzvanú spear-phishing metódu, ktorá sa vyznačuje mimoriadne cielenými útokmi. Podvodníci obete označujú ako „mamuty“. Telekopye je názov odvodený spojením slov Telegram a „kopye“, teda ruského slova pre oštep alebo kopiju.
Útoky prebiehajú väčšinou na populárnych online trhoch v Rusku no i na ďalšie krajiny vrátane nás hoci v nie tak vysokej miere, no podvodníci cielia aj na iné platformy, napríklad BlaBlaCar alebo eBay. Bezpečnostní experti identifikovali niekoľko rôznych verzií softvéru Telekopye, čo nasvedčuje aktívny vývoj.
Neprehliadnite
Všetky verzie môžu kyberzločinci využiť na vytvorenie phishingových webstránok, e-mailov a SMS správ. Niektoré verzie bota dokážu ukladať dáta obete na disku, na ktorom bot beží. Telekopye je skutočne všestranný škodlivý softvér, no nemá žiadnu AI funkcionalitu. Znamená to, že softvér sám o sebe nevykonáva podvod, no uľahčuje generáciu obsahu, ktorým podvodníci klamú obete.
V júli tohto roku bezpečnostní analytici identifikovali nové domény, ktoré spĺňajú modus operandi Telekopye útoku. Predpokladá sa však, že podvod bol aktívnym už od roku 2015, na základe útržkov konverzácií medzi podvodníkmi.
Ako prebieha Telekopye podvod?
Útočníci si na online trhovisku vytipujú „mamuta“, teda svoju obeť. Následne sa ju snažia presvedčiť, že sú dôveryhodní obchodníci a získajú si jej dôveru. Keď si útočníci myslia, že im obeť verí, pomocou Telekopye vytvoria phishingovú stránku. K tomu im pomáha sada šablón. URL na falošnú stránku pošlú obeti cez správu, SMS alebo e-mail.
Obeť do falošnej stránky zadá svoje platobné údaje, ktoré podvodníci zneužívajú. Obeti vybielia účet a financie môžu „preprať“ napríklad cez kryptomeny. Zatiaľ však bezpečnostní experti nevedia povedať, čo sa deje s peniazmi, odkedy ich obeti ukradnú, až kým ich nevyplatia svojim kumpánom v kryptomene. No problémom je, že falošný web je pomerne ťažké odhaliť. Je totiž takmer nerozoznateľný od originálu a mení sa podľa trhu, na ktorý cieli.
Samotný bot Telekopye dokáže vytvárať phishingové správy alebo posielať phishingové e-maily, SMS správy, vytvárať QR kódy a phishingové screenshoty. Každá Telegram skupina používajúca Telekopye sa skladá z niekoľkých podvodníkov, ktorí konajú naraz, no nezávisle od seba. Vďaka jednoduchému menu môže každý podvodník rýchlo vytvoriť nový phishingový podvod.
Komentáre