De zorgwekkende opkomst van Telekopye: een tool die oplichten gemakkelijker dan ooit maakt

Next story

• Telekopye is een toolkit die werkt als een Telegram-bot en minder technische oplichters helpt hun slachtoffers te misleiden.

• De toolkit is ontworpen om online marktplaatsen aan te vallen, voornamelijk diegene die populair zijn in Rusland (maar niet exclusief - bijvoorbeeld BlaBlaCar of eBay).

• De toolkit is meerdere keren geüpload naar VirusTotal, voornamelijk vanuit Rusland, Oekraïne en Oezbekistan. Dit zijn de landen van waaruit aanvallers meestal opereren en ze vormen de meerderheid van de doelmarkten.

• Telekopye maakt phishing-webpagina's van vooraf gedefinieerde sjablonen en genereert en verstuurt vervolgens phishing-e-mails en sms-berichten.

• Volgens ESET telemetrie is deze tool nog steeds in gebruik en in actieve ontwikkeling.

• ESET Research bedacht de naam Telekopye als combinatie van Telegram en kopye (копье), het Russische woord voor speer, vanwege het gebruik van zeer gerichte (aka spear-) phishing.

Sliedrecht, 24 augustus 2023 – ESET -onderzoekers hebben onlangs Telekopye ontdekt en geanalyseerd, een toolkit die minder technische mensen helpt om gemakkelijker online scams uit te voeren. ESET schat dat Telekopye sinds 2015 wordt gebruikt. Tot de mogelijkheden van Telekopye behoren; het maken van phishingwebsites, het verzenden van phishing-sms'jes & e-mails en het maken van valse schermafbeeldingen. Volgens ESET telemetrie is deze tool nog steeds in gebruik en actief in ontwikkeling. De toolkit is geïmplementeerd als een Telegram-bot. ESET Research bedacht de naam Telekopye als een samenstelling van Telegram en kopye (копье), het Russische woord voor speer, vanwege het gebruik van zeer gerichte (ook wel spear-) phishing. Verschillende aanwijzingen wijzen naar Rusland als het land van herkomst van de auteurs en gebruikers van de toolkit.

"We hebben de broncode ontdekt van een toolkit die oplichters zo goed helpt bij hun pogingen dat ze niet bijzonder goed thuis hoeven te zijn in IT, maar alleen een zilveren tong nodig hebben om hun slachtoffers te overtuigen. Deze toolkit is geïmplementeerd als een Telegram-bot die, wanneer geactiveerd, verschillende eenvoudig te navigeren menu's biedt in de vorm van klikbare knoppen die veel oplichters tegelijk kunnen bedienen," legt ESET-onderzoeker Radek Jizba uit. "Slachtoffers van deze zwendeloperatie worden Mammoths genoemd door de oplichters. Voor de duidelijkheid, en volgens dezelfde logica, verwijzen we in onze bevindingen naar de oplichters die Telekopye gebruiken als Neanderthalers," legt Jizba uit.

Telekopye is meerdere keren geüpload naar VirusTotal, voornamelijk vanuit Rusland, Oekraïne en Oezbekistan. Dit zijn de landen van waaruit aanvallers meestal opereren, gebaseerd op de taal die wordt gebruikt in opmerkingen in de code en de locatie van de meeste doelmarkten. Hoewel de belangrijkste doelwitten van oplichters online markten zijn die populair zijn in Rusland, zoals OLX en YULA, heeft ESET ook doelwitten waargenomen die niet afkomstig zijn uit Rusland, zoals BlaBlaCar of eBay, en zelfs andere die niets gemeen hebben met Rusland, zoals JOFOGAS en Sbazar. Het OLX platform had, volgens Fortune magazine, 11 miljard pageviews en 8,5 miljoen transacties per maand, een decennium geleden.

ESET was in staat om verschillende versies van Telekopye te verzamelen, wat duidt op een voortdurende ontwikkeling. De toolkit heeft verschillende functionaliteiten die oplichters optimaal kunnen gebruiken. Deze omvatten het verzenden van phishing e-mails, het genereren van phishing webpagina's, het verzenden van SMS-berichten, het creëren van QR-codes en het maken van valse schermafbeeldingen. Bovendien kunnen sommige versies van Telekopye gegevens van slachtoffers (meestal kaartgegevens of e-mailadressen) opslaan op de schijf waarop de bot wordt uitgevoerd.

Oplichters maken het van slachtoffers gestolen geld niet over naar hun eigen rekeningen. In plaats daarvan gebruiken alle aanvallers een gedeelde Telekopye-account die door de Telekopye-beheerder wordt beheerd. Telekopye houdt bij hoe succesvol elke oplichter is door de bijbehorende bijdragen op het gedeelde account te registreren - in een eenvoudig tekstbestand of in een SQL-database. Als gevolg hiervan worden de scammers betaald door de Telekopye-beheerder met aftrek van administratiekosten. Groepen oplichters die Telekopye gebruiken zijn georganiseerd in een hiërarchie met de minste tot de meeste privileges in vijf klassen. Aanvallers uit hogere klassen betalen lagere commissievergoedingen.

"De makkelijkste manier om te zien of je het doelwit bent van een Telekopye-oplichter, of een andere oplichter, is door te letten op afwijkingen, fouten en afwijkingen in het taalgebruik. Zorg waar mogelijk voor een persoonlijke uitwisseling van geld en goederen als je te maken hebt met tweedehands goederen op online marktplaatsen en vermijd het sturen van geld tenzij je zeker weet waar het naartoe gaat," adviseert Jizba.


Overzicht van de Telekopye-fraude

Over ESET

Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.