ESET Research analyseert de recruterings- en oplichtingsprocessen van Telekopye’s online fraudeurs
Onlangs ontdekten en analyseerden ESET-onderzoekers Telekopye, een toolkit die minder technisch onderlegde mensen helpt om gemakkelijk online oplichtingen uit te voeren. Het eerste deel van het onderzoek werd in augustus gepubliceerd. In dit tweede deel richt ESET Research zich op het interne recruteringsproces van oplichters, een gedetailleerd overzicht van de hele oplichtingsoperatie en de analyse van de oplichtingsscenario’s.
De taken van Telekopye omvatten het maken van phishing-websites, het verzenden van phishing-sms-teksten en e-mails alsook het maken van nep-screenshots. Volgens de ESET-telemetrie wordt deze tool nog steeds gebruikt en is het in actieve ontwikkeling. Het wordt geïmplementeerd als een Telegram-bot. Slachtoffers van deze oplichtingsoperaties worden door de oplichters Mammoeten genoemd. Voor meer duidelijkheid en volgens deze logica verwijst ESET in zijn bevindingen naar zij die Telekopye gebruiken als Neanderthalers.
Telekopye-groepen recruteren nieuwe Neanderthalers met advertenties op talloze kanalen, waaronder ondergrondse fora. Deze advertenties vermelden duidelijk hun doel: gebruikers van onlinemarktplaatsen oplichten. Aspirant-Neanderthalers vullen een aanvraagformulier in, waarin ze basisvragen beantwoorden zoals welke ervaring ze hebben in dit type ‘werk’. Eens de nieuwe Neanderthalers goedgekeurd zijn door bestaande groepsleden van een voldoende hoge rang, kunnen ze met Telekopye aan de slag.
Er zijn drie belangrijke oplichtingsscenario’s: verkoper, koper en terugbetaling. Bij de “verkoper”-zwendel doen aanvallers zich voor als verkopers en proberen nietsvermoedende slachtoffers aan te zetten tot het kopen van iets dat niet bestaat. Toont het slachtoffer interesse in het artikel, dan haalt de ‘verkoper’ hem/haar over om online te betalen en niet met cash. Hij geeft een link door naar een phishing-website die zich voordoet als een legitieme betalingssite. In tegenstelling tot de legitieme webpagina vraagt deze om een login voor online bankieren, creditcardgegevens (soms ook saldo) of andere gevoelige informatie. Deze worden automatisch door de phishing-site gestolen.
Bij de “koper”-zwendel doen aanvallers zich voor als kopers en onderzoeken ze welke slachtoffer hun doelwit wordt. Ze tonen interesse in een artikel en beweren dat ze via het vermelde platform al betaald hebben. Vervolgens sturen ze het slachtoffer een e-mail of sms-bericht (gemaakt via Telekopye) met een link naar een zorgvuldig vervaardigde phishing-website, waarin staat dat het slachtoffer op de link moet klikken om zijn geld van het platform te ontvangen. De rest van het scenario lijkt veel op de “verkoper”-zwendel. In het terugbetalingsscenario creëren aanvallers een situatie waarin het slachtoffer een terugbetaling verwacht en sturen ze een phishing-e-mail met een link naar de phishing-website, opnieuw met hetzelfde doel.
“In bijna elke groep Neanderthalers zien we verwijzingen naar handleidingen over online marktonderzoek waaruit Neanderthalers hun strategieën en conclusies halen”, zegt Radek Jizba, de ESET-onderzoeker die Telekopye analyseerde. Hij vervolgt : “Voor het koperszwendelscenario kiezen Neanderthalers hun doelwitten op basis van het soort items dat ze verkopen. Sommige groepen vermijden elektronica volledig. De prijs van het artikel is ook van belang. In het “koper”-zwendelscenario, bevelen handleidingen aan dat Neanderthalers items kiezen met een prijs tussen de €9,50 en €290”. Zij die Telekopye gebruiken, gebruiken bovendien ook webschrapers om snel door veel aanbiedingen op online marktplaatsen te gaan en een ‘perfect slachtoffer’ te kiezen dat hoogstwaarschijnlijk in de zwendel zal trappen.
Telekopye-scammers zijn van mening dat hun groepen vol ‘ratten’ zitten (wetshandhavers of onderzoekers). Daarom houden ze zich strikt aan de regels: nooit zoeken naar informatie waarmee andere leden van de groep kunnen geïdentificeerd worden. Het overtreden van dergelijke regels kan best resulteren in een verbanning. De gouden regel is: ‘Werk meer, praat minder’.
De belangrijkste doelwitten van de oplichters zijn onlinemarkten die populair zijn in Rusland, zoals OLX en YULA. ESET zag ook doelwitten die niet eigen zijn aan Rusland, zoals BlaBlaCar en eBay, en zelfs andere die niets met Rusland te maken hebben, zoals Jófogás en Sbazar.
Wenst u meer te vernemen over de werking van Teleskopyo, raadpleeg de blog “Telekopye: Chamber of Neanderthal’s Secrets.” Volg ook ESET Research on Twitter (now known as X) voor de nieuwste info over ESET Research.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
