חוקרי ESET חשפו וניתחו לאחרונה את Telekopye, ערכת כלים שמסייעת לאנשים חסרי ידע טכני לבצע תרמיות מקוונות בקלות רבה יותר. ב-ESET מעריכים ש-Telekopye נמצאת בשימוש משנת 2015 לפחות.
בין היכולות של Telekopye ניתן למנות: יצירת אתרי פישינג, שליחת הודעות פישינג ב-סמס ובדוא״ל ויצירת צילומי מסך מזויפים. על פי נתוני הטלמטריה של ESET, הכלי עדיין נמצא בשימוש ובפיתוח פעיל. ערכת הכלים פועלת כבוט טלגרם. גוף המחקר של ESET הציע את השם Telekopye כחיבור בין המילים ״טלגרם״ ו-״קופיה״ (копье), המילה הרוסית לחנית, מכיוון שהכלי משמש בעיקר לפישינג של מטרות ספציפיות (Spear-Phishing). חלק מהעקבות מצביעות על רוסיה כמקור העיקרי של מפתחי ומשתמשי ערכת הכלים הזו.
״חשפנו את קוד המקור של ערכת הכלים הזו, שמסייעת רבות לגורמים זדוניים בניסיונות ההונאה שלהם, עד כדי כך שהם לא נדרשים להיות בקיאים ב-IT, אלא רק להיות בעלי לשון חלקלקה מספיק כדי לשכנע את קורבנותיהם. ערכת הכלים מופעלת כבוט טלגרם, כך שעם הפעלתו הוא מציע מספר תפריטים קלים לניווט בצורת כפתורים לחיצים, שיכולים לתת מענה לכמה גורמים זדוניים במקביל״, מרחיב ראדק יזבה, אחד מחוקרי ESET. ״הקורבנות מכונים על ידי התוקפים בשם ״ממותות״. למען הבהירות, ובעקבות אותו העיקרון, אנחנו נכנה את התוקפים המשתמשים ב-Telekopye בשם ״ניאנדרטלים בממצאינו״, מסביר יזבה.
Telekopye הועלתה ל-VirusTotal פעמים רבות, בעיקר מרוסיה, אוקראינה ואוזבקיסטן. אלו המדינות מהן פועלים התוקפים בדרך כלל, כפי שניתן לראות מהשפה המשמשת להערות הקוד והמיקום הגיאוגרפי של מרבית השווקים המשמשים כמטרה לסט הכלים. אמנם המטרות העיקריות של התוקפים הם שווקים פופולריים ברוסיה, כמו OLX ו-YULA, אך ESET זיהתה מטרות שמרכז פעילותן אינו ברוסיה, כמו BlaBlaCar ו-eBay, ואף מטרות שאין להן כל קשר לרוסיה, כמו JOFOGAS ו-Sbazar. על פי מגזין Fortune, לפני עשור לפלטפורמת OLX היו 11 מיליארד צפיות בדפים ו-8.5 מיליון טרנזאקציות מדי חודש.
ESET הצליחה לאסוף מספר גרסאות של Telekopye, מה שמצביע על פיתוח מתמשך. לערכת הכלים יש כמה אפשרויות שונות שבהן תוקפים יכולים להשתמש. ביניהן – שליחת הודעות פישינג בדוא״ל, יצירת דפי אינטרנט למטרות פישינג, שליחת הודעות סמס, יצירת קודי QR ושליחת צילומי מסך מזויפים. בנוסף, חלק מהגרסאות של Telekopye מאפשרות לאחסן נתונים של קורבנות (כמו פרטי כרטיסים או כתובות דוא״ל) על הכונן שעליו מופעל הבוט.
התוקפים לא מעבירים את הכסף שנגנב מהקורבנות לחשבונות שלהם. במקום זאת, הם משתמשים בחשבון Telekopye משותף, המנוהל ע״י מנהל Telekopye. Telekopye עוקבים אחרי שיעורי ההצלחה של כל אחד מהתוקפים באמצעות רישום של התרומות לחשבון המשותף שמקושרות אליו – באמצעות קובץ טקסט פשוט או בבסיס נתונים מסוג SQL. התוקפים מקבלים תשלום ממנהל Telekopye לפי שיעורי ההצלחה האלה, בניכוי עמלת ניהול. קבוצות של תוקפים המשתמשות ב-Telekopye מחולקות באופן היררכי ומקבלות הרשאות יתרות לפי הדירוג שלהן, המחולק לחמש שלבים שונים. תוקפים בעלי דירוג גבוה יותר משלמים עמלות נמוכות יותר.
