Onderzoekers hebben onlangs Telekopye ontdekt en geanalyseerd. Dit is een toolkit die minder technische mensen helpt om gemakkelijker online scams uit te voeren. Security-specialist ESET schat dat Telekopye sinds 2015 wordt gebruikt. Tot de mogelijkheden van Telekopye behoren onder meer het maken van phishingwebsites en het verzenden van phishing-sms’jes & e-mails. Dit naast het maken van valse schermafbeeldingen.
Telegram-bot
Volgens ESET is deze tool nog steeds in gebruik en actief in ontwikkeling. De toolkit is geïmplementeerd als een Telegram-bot. ESET Research bedacht de naam Telekopye als een samenstelling van Telegram en kopye (копье), het Russische woord voor speer. Dit vanwege het gebruik van zeer gerichte (ook wel spear-) phishing. Verschillende aanwijzingen wijzen naar Rusland als het land van herkomst van de auteurs en gebruikers van de toolkit.
Broncode
“We hebben de broncode ontdekt van een toolkit die oplichters zo goed helpt bij hun pogingen dat ze niet bijzonder goed thuis hoeven te zijn in IT, maar alleen een zilveren tong nodig hebben om hun slachtoffers te overtuigen. Deze toolkit is geïmplementeerd als een Telegram-bot die. Als men die activeert biedt de kit verschillende eenvoudig te navigeren menu’s. Namelijk in de vorm van klikbare knoppen die veel oplichters tegelijk kunnen bedienen,” legt ESET-onderzoeker Radek Jizba uit.
Online markten als target
Telekopye is meerdere keren geüpload naar VirusTotal, voornamelijk vanuit Rusland, Oekraïne en Oezbekistan. Dit zijn de landen van waaruit aanvallers meestal opereren, gebaseerd op de taal die wordt gebruikt in opmerkingen in de code en de locatie van de meeste doelmarkten. Hoewel de belangrijkste doelwitten van oplichters online markten zijn die populair zijn in Rusland, zoals OLX en YULA, heeft ESET ook doelwitten waargenomen die niet afkomstig zijn uit Rusland, zoals BlaBlaCar of eBay, en zelfs andere die niets gemeen hebben met Rusland, zoals JOFOGAS en Sbazar. Het OLX platform had, volgens Fortune magazine, 11 miljard pageviews en 8,5 miljoen transacties per maand, een decennium geleden.
Voortdurende ontwikkeling
ESET was in staat om verschillende versies van Telekopye te verzamelen, wat duidt op een voortdurende ontwikkeling. De toolkit heeft verschillende functionaliteiten die oplichters optimaal kunnen gebruiken. Deze omvatten het verzenden van phishing e-mails, het genereren van phishing webpagina’s, het verzenden van SMS-berichten, het creëren van QR-codes en het maken van valse schermafbeeldingen. Bovendien kunnen sommige versies van Telekopye gegevens van slachtoffers (meestal kaartgegevens of e-mailadressen) opslaan op de schijf waarop de bot wordt uitgevoerd.
Strakke hiërarchie
Oplichters maken het van slachtoffers gestolen geld niet over naar hun eigen rekeningen. In plaats daarvan gebruiken alle aanvallers een gedeelde Telekopye-account die de Telekopye-beheerder beheert. Telekopye houdt bij hoe succesvol elke oplichter is door de bijbehorende bijdragen op het gedeelde account te registreren – in een eenvoudig tekstbestand of in een SQL-database. Als gevolg hiervan worden de scammers betaald door de Telekopye-beheerder met aftrek van administratiekosten. Groepen oplichters die Telekopye gebruiken zijn georganiseerd in een hiërarchie met de minste tot de meeste privileges in vijf klassen. Aanvallers uit hogere klassen betalen lagere commissievergoedingen.
Tips
“De makkelijkste manier om te zien of je het doelwit bent van een Telekopye-oplichter, of een andere oplichter, is door te letten op afwijkingen, fouten en afwijkingen in het taalgebruik. Zorg waar mogelijk voor een persoonlijke uitwisseling van geld en goederen als je te maken hebt met tweedehands goederen op online marktplaatsen. En vermijd het sturen van geld tenzij je zeker weet waar het naartoe gaat,” adviseert Jizba.
