Výskumníci spoločnosti ESET v rámci analýzy škodlivého nástroja Telekopye odhalili šablóny phishingových správ, ktoré napodobňujú komunikáciu legitímnych služieb, ktoré Slováci vo veľkom využívajú na doručovanie a predaj tovaru. Medzi šablónami sú správy vydávajúce sa napríklad za Slovenskú poštu, Packetu, DPD či Bazoš. V skutočnosti ide o falošné doklady o zaplatení, ktorými sa internetoví podvodníci snažia oklamať obete, že za ponúkaný tovar už zaplatili.
Prejsť na:
ESET v správe informujúcej o nových hrozbách uvádza, že šablóny phishingových správ si útočníci dokážu prispôsobiť podľa potreby použitím súpravy nástrojov zabudovaných do Telekopye – bota vybudovaného pre komunikačnú platformu Telegram.
Hlavnou úlohou Telekopye je pomáhať menej technicky zdatným záškodníkom páchať online podvody. Skupina na komunikačnej platforme okrem šablón phishingových správ obsahuje aj zoznam preložených fráz z Ruštiny do rôznych jazykov, ktoré podvodníci najčastejšie používajú pri pokuse oklamať obeť. Kyberzločinci majú napríklad predpripravené správy pre prípad, že obeť zruší transakciu, alebo nereaguje do 5 až 7 minút.
„Podklady, ktoré sme našli v Telekopye, vykazujú vysokú mieru podobnosti s podvodmi, ktoré zaplavujú online bazáre na Slovensku. Domnievame sa preto, že mnohé, aj notoricky známe, podvody cielené na slovenských používateľov, vznikajú práve vďaka tomuto nástroju a sprievodným manuálom, ktoré poskytuje útočníkom,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť v spoločnosti ESET.
ESET zverejnil prvú časť analýzy zameranej na súbor nástrojov Telekopye ešte v auguste 2023. V najnovšej časti výskumníci poukazujú na proces náboru a zaúčania podvodníkov, poskytujú podrobný popis celej podvodnej schémy a analyzujú najčastejšie scenáre podvodu. Tieto informácie výskumníci nadobudli prostredníctvom infiltrácie viacerých skupín na sieti Telegram, v ktorých sa útočníci vzájomne dohadujú a organizujú.
Učiteľ začínajúcich podvodníkov
Telekopye má viacero nekalých účelov. Patrí medzi ne vytváranie podvodných webových stránok, odosielanie podvodných SMS správ a e-mailov, ako aj vytváranie falošných snímok obrazovky. Podľa telemetrie spoločnosti ESET sa tento nástroj stále používa a aktívne vyvíja. Obete tejto podvodnej operácie záškodníci nazývajú „mamutmi“. Logicky preto ESET vo svojich výstupoch označuje útočníkov a podvodníkov, ktorí využívajú Telekopye, za neandertálcov.
Skupiny zaoberajúce sa Telekopye verbujú nových členov prostredníctvom inzerátov v prostredí rôznych platforiem, medzi ktorými rozhodne nechýbajú internetové fóra. Od ašpirujúcich neandertálcov sa vyžaduje, aby vyplnili prihlášku, v ktorej odpovedia na základné otázky. Tie sa môžu týkať napríklad skúseností, ktoré záujemca má v tomto konkrétnom „odbore“. Telekopye môžu začať používať po tom, čo získajú schválenie od existujúcich členov skupiny s vyšším postavením.
Tri odlišné scenáre, jeden spoločný cieľ
V rámci Telekopye figurujú tri hlavné scenáre:
- Podvodníci sa vydávajú za predávajúcich;
- Podvodníci sa vydávajú za kupujúcich;
- Podvodníci sa zameriavajú na „reklamáciu“ a vrátenie peňazí.
Najčastejšie sa útočníci vydávajú za predávajúcich a snažia sa nič netušiace obete nalákať na kúpu neexistujúceho tovaru. Keď obeť prejaví záujem o predmet, „predávajúci“ ju presvedčí, aby zaplatila cez internet, nie osobne, a poskytne jej odkaz na podvodnú webovú stránku, ktorá je presvedčujúcou kópiou legitímnej platobnej stránky. Od obetí však žiada informácie, ktoré by si reálna platobná membrána nikdy nepýtala. Požaduje prihlásenie do internetového bankovníctva, údaje o kreditnej karte (niekedy vrátane zostatku na účte), prípadne iné citlivé informácie. Zadané údaje stránka automaticky ukradne.
V druhom prípade sa útočníci vydávajú za kupujúcich. Keď si vyhliadnu obeť, prejavia záujem o položku, ktorú predáva a tvrdia, že už zaplatili prostredníctvom poskytnutej platformy. Potom pošlú obeti podvodný e-mail alebo SMS správu (vytvorenú cez Telekopye) s odkazom na starostlivo vytvorenú phishingovú webovú stránku. Obeť je nabádaný k tomu, aby otvorila priložený odkaz, ak chce dostať svoje peniaze. Zvyšný proces je rovnaký ako pri prvom scenári. Pochopiteľne, ak obeť žiadostiam vyhovie a zadá citlivé údaje, peniaze nezíska. Naopak, ešte viac ich stratí.
V treťom scenári útočníci vytvoria situáciu, v ktorej obeť očakáva vrátenie peňazí, a následne jej je odoslaný podvodný e-mail s odkazom na podvodnú platobnú membránu.
Cez správy vylákajú od obetí od 9,50 € do 250 €
„Takmer v každej skupine neandertálcov môžeme nájsť odkazy na príručky s online prieskumom trhu, z ktorých neandertálci čerpajú svoje stratégie a postupy,“ hovorí Radek Jizba, výskumník spoločnosti ESET, ktorý skúmal Telekopye. „Napríklad počas scenára podvodu zameraného na kupujúcich si neandertálci vyberajú svoje ciele na základe typu predávaného tovaru. Niektoré skupiny sa napríklad úplne vyhýbajú elektronike. Dôležitá je aj cena položky. Príručky odporúčajú, aby si neandertálci pri scenári podvodu s kupujúcim vyberali položky s cenou od 9,50 do 290 €,“ dodáva.
Útočníci zapojení do Telekopye navyše využívajú webové nástroje na rýchle prechádzanie mnohých ponúk na internetových trhoviskách a vyberajú si „dokonalú obeť,“ ktorá s najväčšou pravdepodobnosťou naletí podvodu.
Prioritou je anonymita
Útočníci zapojení do schémy Telekopye veria, že ich skupiny sú plné „sliedičov“, napríklad orgánov činných v trestnom konaní. Preto dodržiavajú prísne pravidlá, ktoré zakazujú akékoľvek sondovanie informácií, ktoré by mohli identifikovať ostatných členov skupiny. Porušenie takýchto pravidiel môže viesť k vylúčeniu zo skupiny. „Viac pracovať, menej hovoriť,“ znie zlaté pravidlo podvodníkov.
Aj keď sú hlavným cieľom podvodníkov online bazáre populárne v Rusku, za obeť im padajú aj subjekty mimo Ruska. V bezpečí pritom nie je ani Slovensko.
