- ESET odhalil v rusky hovoriacej Telegram skupine šablóny pre phishingové podvody napodobňujúce služby populárne na Slovensku ako Bazoš, Slovenská pošta či Packeta.
- Šablóny phishingových správ sú súčasťou škodlivého bota Telekopye, ktorý poskytuje začínajúcim kyberzločincom nástroje, podrobné návody a podporu potrebnú k vykonaniu podvodov na online trhoviskách.
- Výskumníci spoločnosti ESET tiež analyzovali, ako sa začínajúci útočníci pripájajú k skupinám s prepojením na Telekopye vďaka inzerátom na internetových fórach, a predstavujú podrobný pohľad na celú podvodnú schému z perspektívy útočníkov.
- ESET sa bližšie pozrel na rôzne podvodné scenáre, ktorých súčasťou sú aj manuály k dosiahnutiu úspechu zo strany útočníkov.
- Medzi možnosti, ktoré poskytuje nástroj Telekopye, patrí vytváranie podvodných webových stránok, posielanie podvodných SMS a e-mailov a vytváranie falošných snímok obrazovky.
- Podľa telemetrie spoločnosti ESET sa tento nástroj stále používa a aktívne vyvíja. Súbor nástrojov je implementovaný ako Telegram bot, z čoho je odvodený aj názov Telekopye.
Výskumníci spoločnosti ESET odhalili v rámci analýzy škodlivého nástroja Telekopye šablóny phishingových správ napodobňujúcich komunikáciu legitímnych služieb, ktoré Slováci vo veľkom využívajú na doručovanie a predaj tovaru. Medzi šablónami sú správy vydávajúce sa za Slovenskú poštu, Packetu, DPD či Bazoš. Ide o falošné doklady o zaplatení, ktorými sa internetoví podvodníci snažia oklamať obete, že za ponúkaný tovar už zaplatili.
Šablóny phishingových správ si útočníci dokážu prispôsobiť podľa potreby pomocou súboru nástrojov zabudovaných do nástroja Telekopye. Ide o bota vybudovaného pre komunikačnú platformu Telegram. Jej hlavným cieľom je pomáhať menej technicky zdatným osobám páchať online podvody.
Okrem šablón phishingových správ obsahuje skupina aj zoznam preložených fráz z Ruštiny do rôznych jazykov, ktoré podvodníci najčastejšie používajú pri pokuse oklamať obeť. Kyberzločinci majú napríklad predpripravené správy pre prípad, že obeť zruší transakciu, alebo nereaguje do 5-7 minút.
„Podklady, ktoré sme našli v Telekopye, vykazujú vysokú mieru podobnosti s podvodmi, ktoré zaplavujú online bazáry na Slovensku. Domnievame sa preto, že mnohé, aj notoricky známe, podvody cielené na slovenských používateľov, vznikajú práve vďaka tomuto nástroju a sprievodným manuálom, ktoré poskytuje útočníkom,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.
Prvú časť analýzy zameranej na súbor nástrojov Telekopye zverejnil ESET ešte v auguste 2023. V najnovšej časti výskumníci spoločnosti ESET poukazujú na proces náboru a zaučenia podvodníkov, poskytujú podrobný popis celej podvodnej schémy a analyzujú najčastejšie scenáre podvodu. Tieto informácie výskumníci získali vďaka infiltrácii viacerých Telegram skupín, prostredníctvom ktorých útočníci navzájom komunikujú a organizujú sa.
Nástroj pre začínajúcich kyberzločincov
Medzi možnosti, ktoré poskytuje Telegram bot Telekopye, patrí vytváranie podvodných webových stránok, odosielanie podvodných SMS správ a e-mailov a vytváranie falošných snímok obrazovky. Podľa telemetrie spoločnosti ESET sa tento nástroj stále používa a aktívne vyvíja. Obete tejto podvodnej operácie podvodníci nazývajú mamutmi. Podľa rovnakej logiky spoločnosť ESET vo svojich výstupoch označuje podvodníkov využívajúcich Telekopye ako neandertálcov.
Skupiny Telekopye verbujú nových neandertálcov prostredníctvom inzerátov v rôznych kanáloch vrátane internetových fór. V týchto inzerátoch je jasne uvedený účel: podviesť používateľov online trhoviska. Od ašpirujúcich neandertálcov sa vyžaduje, aby vyplnili prihlášku, v ktorej odpovedia na základné otázky, napríklad aké majú skúsenosti v tomto odbore „práce“. Ak ich schvália existujúci členovia skupiny s vyšším postavením, noví neandertálci môžu začať naplno využívať možnosti Telekopye.
Tri scenáre podvodu
V rámci Telekopye existujú tri hlavné scenáre: podvodníci sa vydávajú za predávajúcich, kupujúcich alebo sa zamerajú na „reklamáciu“ a vrátenie peňazí.
Najčastejšie sa útočníci vydávajú za predávajúcich a snažia sa nič netušiace obete nalákať na kúpu neexistujúceho tovaru. Keď obeť prejaví o predmet záujem, „predávajúci“ ju presvedčí, aby zaplatila online, a nie osobne, a poskytne jej odkaz na podvodnú webovú stránku, ktorá vyzerá ako legitímna platobná stránka. Na rozdiel od legitímneho webu však podvodná stránka požaduje prihlásenie do internetového bankovníctva, údaje o kreditnej karte (niekedy vrátane zostatku na účte) alebo iné citlivé informácie. Phishingová webová stránka zadané údaje automaticky ukradne.
V druhom prípade sa útočníci vydávajú za kupujúcich. Keď si vyhliadnu obeť, prejavia záujem o položku, ktorú predáva a tvrdia, že už zaplatili prostredníctvom poskytnutej platformy. Potom pošlú obeti podvodný e-mail alebo SMS správu (vytvorenú prostredníctvom služby Telekopye) s odkazom na starostlivo vytvorenú phishingovú webovú stránku, v ktorej tvrdia, že obeť musí kliknúť na tento odkaz, aby dostala svoje peniaze od platformy. Zvyšok scenára je veľmi podobný ako pri scenári „predávajúcich“. V treťom prípade útočníci vytvoria situáciu, v ktorej obeť očakáva vrátenie peňazí, a následne jej pošlú podvodný e-mail s odkazom na podvodnú webovú stránku, ktorý opäť slúži na rovnaký účel.
„Takmer v každej skupine neandertálcov môžeme nájsť odkazy na príručky s online prieskumom trhu, z ktorých neandertálci čerpajú svoje stratégie a postupy,“ hovorí výskumník spoločnosti ESET Radek Jizba, ktorý skúmal Telekopye. „Napríklad počas scenára podvodu zameraného na kupujúcich si neandertálci vyberajú svoje ciele na základe typu predávaného tovaru. Niektoré skupiny sa napríklad úplne vyhýbajú elektronike. Dôležitá je aj cena položky. Príručky odporúčajú, aby si neandertálci pri scenári podvodu s kupujúcim vyberali položky s cenou od 9,50 do 290 eur,“ dodáva.
Útočníci zapojení do Telekopye navyše využívajú webové nástroje na rýchle prechádzanie mnohých ponúk na internetových trhoviskách a vyberajú si „dokonalú obeť“, ktorá s najväčšou pravdepodobnosťou naletí podvodu.
Anonymita ako hlavná priorita
Útočníci zapojení do schémy Telekopye veria, že ich skupiny sú plné „sliedičov“ (napríklad orgánov činných v trestnom konaní alebo bezpečnostných výskumníkov). Preto prísne dodržiavajú pravidlá, ktoré zakazujú akékoľvek sondovanie informácií, ktoré by mohli identifikovať ostatných členov skupiny. Porušenie takýchto pravidiel môže viesť k vylúčeniu zo skupiny. Zlaté pravidlo podvodníkov znie: „Viac pracovať, menej hovoriť.“
Hoci hlavným cieľom podvodníkov sú online bazáry populárne v Rusku, ako napríklad OLX a YULA, spoločnosť ESET zaznamenala aj ciele, ktoré nie sú pôvodom z Ruska, ako napríklad spomínané služby pôsobiace na Slovensku či platformy BlaBlaCar a eBay.
Viac informácií o tom, ako pracujú útočníci v rámci Telekopye, nájdete v našom špeciálnom blogu. Najnovšie odhalenia výskumníkov spoločnosti ESET nájdete na platforme X (niekdajší Twitter) ESET Research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.