מחקר שבוצע לאחרונה על ידי חוקרי ESET ניתח את Telekopye, ערכת כלים שמאפשרת לאנשים עם זיקה טכנולוגית חלשה ליצור הונאות מקוונות בקלות רבה יותר (למחקר המלא).
כעת חוקרי ESET חושפים את תהליך הקליטה הפנימי של רמאי סייבר חדשים, בסקירה מפורטת של תהליך ההונאה וניתוח תרחישים אפשריים.
בין היכולות של ערכת הכלים Telekopye ניתן לראות: יצירת אתרי פישינג, שליחת הודעות פישינג ב-SMS ובדוא״ל ויצירת צילומי מסך מזויפים. על פי נתוני הטלמטריה של ESET, הכלי מיושם כבוט טלגרם, עדיין נמצא בשימוש ויוצריו ממשיכים בתהליך הפיתוח שלו. פושעי הסייבר הלוקחים חלק בהונאות מכנים את הקורבנות בשם ״ממותות״. בהתאם לאותו ההיגיון, ESET מכנה את הרמאים בשם ״ניאנדרטלים״ בממצאיה.
Telekopye מגייסים לקוחות (ניאנדרטלים) חדשים באמצעות פרסומים בערוצים שונים, ביניהם גם פורומים מחתרתיים. הפרסומות האלה מציגות באופן ברור את הכוונה: לרמות משתמשים בשווקים מקוונים. מי שרוצה להיות ניאנדרטל נדרש למלא טופס הרשמה ולענות על מספר שאלות בסיסיות, למשל – מה הניסיון שלו ב״עבודה״. במידה והבקשה מאושרת ע״י חברים שכבר נמצאים בקבוצה ויש להם דירוג גבוה מספיק, הניאנדרטלים החדשים יכולים להשתמש באופן מלא ב-Telekopye.
ישנם שלושה תרחישי הונאה עיקריים: מוכר, רוכש והחזר.
1. בתרמית המוכר, התוקפים מתחזים למוכרים ומנסים לפתות את קורבנותיהם לרכוש מוצר שאינו קיים. כשהקורבן מראה עניין
בפריט, ה״מוכר״ משכנע אותו לשלם באופן מקוון במקום לשלם פנים אל פנים, ומוסר קישור לאתר פישינג שהוא חיקוי של אתר
תשלום לגיטימי. בניגוד לדף האינטרנט הלגיטימי הזה, הדף הזה מבקש פרטי בנקאות מקוונים, פרטי כרטיס אשראי (כולל
היתרה), או מידע רגיש אחר. אתר הפישינג גונב את הנתונים האלה באופן אוטומטי.
2. בתרמית הרוכש, הרמאים מתחזים לרוכשים וחוקרים מטרות אותם יוכלו לתקוף. הם מתעניינים בפריט מסוים וטוענים שכבר
שילמו עליו באמצעות הפלטפורמה. לאחר מכן הם שולחים לקורבן הודעת דוא״ל או SMS (שנוצרת ע״י Telekopye) שכוללת
קישור לאתר פישינג שנוצר בקפידה, שם נטען שהקורבן צריך ללחוץ על הקישור כדי לקבל את הכסף מהפלטפורמה. שאר
התרחיש דומה מאוד לתרמית המוכר.
3. בתרחיש ההחזר, התוקפים יוצרים מצב שבו הקורבן מצפה לקבל החזר, ולאחר מכן שולחים אליו הודעת פישינג הכוללת
קישור לאתר פישינג, שמשרת את אותה המטרה.
״כמעט בכל אחת מקבוצות הניאנדרטלים, נוכל למצוא הפניות למדריכים בנוגע לחקר שווקים מקוונים, שעליהם מתבססים התוקפים כשהם יוצרים אסטרטגיות ומסיקים מסקנות״, אומר ראדק יזבה, חוקר ESET שחקר את Telekopye. ״לדוגמה, כחלק תרמית הרוכש, הניאנדרטלים בוחרים את מטרותיהם על בסיס סוג הפריטים שהם מוכרים. חלק מהקבוצות, למשל, נמנעות באופן גורף ממוצרי אלקטרוניקה. גם מחיר הפריט משחק תפקיד משמעותי. בתרחיש של תרמית הרוכש, המדריכים ממליצים לניאנדרטלים לבחור פריטים שהמחיר שלהם הוא בין 9.50 יורו ל-290 יורו״, הוא מוסיף. בנוסף, תוקפים שמשתמשים ב-Telekopye משתמשים גם ב-web scrapers כדי לסרוק כמות גדולה של פריטים שמוצעים למכירה בשווקים מקוונים, כך שיוכלו לבחור מתוכם את ״הקורבן המושלם״ שצפוי ליפול בתרמית.
תוקפי Telekopye מאמינים שהקבוצות שלהם מלאות ב״חפרפרות״ (למשל, גורמי אכיפת חוק או חוקרי סייבר). לכן, הם נצמדים לחוקים באופן הדוק, ובעיקר לא מספקים מידע שיכול לשמש כדי לזהות חברים אחרים בקבוצה. שבירה של החוקים האלה תוביל ברוב המקרים לחסימה מהקבוצה. כלל הזהב הוא ״פחות מילים, יותר מעשים״.
המטרות העיקריות של התוקפים הן שווקים מקוונים שפעילים ברוסיה, כמו OLX ו-YULA, אך ESET זיהתה מטרות גם מחוץ לרוסיה – למשל ב-BlaBlaCar וב-eBay – וגם בפלטפורמות שזרות לחלוטין לרוסיה, כמו Jófogás ו-Sbazar.