0
0
Os usuários do Telegram em russo estão usando um bot para automatizar campanhas de phishing de ponta a ponta contra usuários de sites populares de comércio eletrônico como o eBay, e espalhando a riqueza resultante em uma estrutura corporativa com administradores e “trabalhadores”.
EmEm uma postagem de blog publicada hoje , o pesquisador da ESET Radek Jizba descreveu o “Telekopye”, um kit de ferramentas de phishing projetado como um bot do Telegram. O Telekopye pode escrever e-mails e mensagens SMS, gerar páginas de phishing pré-fabricadas e permitir que os usuários manipulem imagens. Atraiu uma comunidade decibercriminosos com pouca ou nenhuma capacidade técnica , o que lhes permite enganar compradores e vendedores on-line, principalmente na Rússia, mas também em países ao redor do mundo.
O sucesso do Telekopye é melhor evidenciado pelo fato de que ele já tem oito anos e ainda é usado e atualizado ativamente hoje.
Como funcionam os golpes de telecópia
Os golpistas têm como alvo principal os usuários de sites populares de comércio eletrônico russos, como YULA e OLX, o último dos quais recebe mais de 10 bilhões de visualizações de páginas e milhões de transações mensalmente. No entanto, o Telekopye também é usado em associação com sites de comércio eletrônico populares na Europa e no Ocidente em geral, incluindo BlaBlaCar e eBay.
“Existem dois esquemas principais para esses ataques de phishing”, diz Jizba. O primeiro – referido no grupo como Tipo 1.0 – tem como alvo os compradores online. Ou, como a comunidade Telekopye se refere a eles, “mamutes”.
Funciona comoqualquer ataque de phishing antigo que você já viu : uma vítima é identificada e persuadida da legitimidade do golpista por meio de e-mails e mensagens SMS. Se a vítima seguir um link de phishing, ela chegará a uma página simulada de comércio eletrônico, com a oportunidade de inserir os detalhes do cartão de crédito ou débito para a compra de um item que nunca receberá. O golpista lava o dinheiro por meio de criptomoedas, enxágue e repita.
O tipo 2.0 envolve atingir o vendedor, convencendo-o de que ele precisa pagar algum tipo de depósito. Um vendedor será atraído, por exemplo, por um texto que diz “Seu item foi pago. Receba dinheiro de:”, seguido pelo link de phishing.
Lançamentos bem-sucedidos não vão direto para o bolso do atacante. Em vez disso, a comunidade Telekopye opera numa estrutura semelhante a uma corporação, com uma hierarquia de administradores, moderadores, bons trabalhadores e trabalhadores regulares. Os administradores ganham comissões de 5 a 40% em cada golpe, e as funções e movimentações de dinheiro são rastreadas em documentos compartilhados.
Como funciona a automação Telekopye
Telekopye oferece um conjunto de modelos predefinidos para e-mails e textos, páginas HTML de phishing, formulários e até imagens de documentos financeiros.
Para páginas de destino, por exemplo, os golpistas não precisam fazer nenhum trabalho. Eles recebem uma série de modelos direcionados a sites de países específicos – Eslováquia, Espanha, Inglaterra, Austrália e outros – e embora o resultado final às vezes possa ser deselegante, outras vezes parece real.
Quando as imagens são úteis, os golpistas recorrem ao Render Bot, um bot separado, mas relacionado, que remove campos-chave em fotos e capturas de tela. Um golpista pode ajustar, por exemplo, a foto de uma fatura ou cheque, ou uma captura de tela de uma página associada a um aplicativo legítimo. Várias fontes são suportadas para combinar melhor o texto adicionado com a imagem original.
A melhor maneira de identificar um golpe do Telekopye , diz Jizba, não é tentar detectar pequenas discrepâncias nesses textos e imagens automatizados e cuidadosamente orquestrados. Em vez disso, é quando os golpistas precisam sair do controle que eles ficam mais vulneráveis.
“Os resultados do Telekopye parecem convincentes”, diz ele. “Os administradores do Telekopye gastam muito tempo tornando seus modelos de phishing tão legítimos quanto possível. A principal fraqueza reside em parecer legítimo em conversas reais com a vítima, muitas vezes falando em [um] idioma diferente. Geralmente é aqui que o a vítima tem a maior chance de detectar o golpe.”
FONTE: DARKREADING