Kötü niyetli bir Telegram botu hakkında daha fazla ayrıntı ortaya çıktı Telekopye Bu, tehdit aktörleri tarafından büyük ölçekli kimlik avı dolandırıcılıklarını gerçekleştirmek için kullanılıyor.
ESET güvenlik araştırmacısı Radek Jizba yeni bir analizde “Telekopye kimlik avı web siteleri, e-postalar, SMS mesajları ve daha fazlasını üretebilir” dedi.
Operasyonun arkasındaki tehdit aktörlerinin (kod adı Neandertaller) suç örgütünü meşru bir şirket olarak yönettikleri ve çeşitli roller üstlenen farklı üyeleri kapsayan hiyerarşik bir yapı oluşturdukları biliniyor.
Gelecek vadeden Neandertaller yer altı forumlarındaki reklamlar aracılığıyla işe alındıktan sonra, diğer Neandertallerle iletişim kurmak ve işlem kayıtlarını takip etmek için kullanılan belirlenmiş Telegram kanallarına katılmaya davet ediliyorlar.
Operasyonun nihai hedefi üç tür dolandırıcılıktan birini gerçekleştirmektir: satıcı, alıcı veya para iadesi.
İlk durumda, Neandertaller satıcı gibi davranıyor ve gafil Mamutları var olmayan bir ürünü satın almaya ikna etmeye çalışıyor. Alıcı dolandırıcılığı, Neaderthallerin alıcı kılığına girerek Mamutları (yani tüccarları) fonlarından ayrılmak üzere mali bilgilerini girmeleri için kandırmalarını gerektirir.
Diğer senaryolar ise para iadesi dolandırıcılığı adı verilen bir kategoriye giriyor; burada Neaderthaller, para iadesi teklif etme bahanesiyle Mamutları ikinci kez kandırıp aynı miktarda parayı tekrar kesiyorlar.
Singapur merkezli siber güvenlik firması Group-IB daha önce The Hacker News’e Telekopye olarak takip edilen etkinliğin, ortaya çıkışından bu yana suç aktörlerine 64,5 milyon dolar yasa dışı kar sağlayan bir hizmet olarak dolandırıcılık programına atıfta bulunan Classiscam ile aynı olduğunu söylemişti. 2019’da.
Jizba, “Satıcı dolandırıcılığı senaryosu için, Mamutların ek bilgi istemesi durumunda Neandertallere ürünün ek fotoğraflarını hazırlamaları tavsiye ediliyor.” dedi. “Neandertaller internetten indirdikleri resimleri kullanıyorsa, görsel aramayı daha da zorlaştırmak için onları düzenlemeleri gerekiyor.”
Bir alıcı dolandırıcılığı için Mamut seçmek, kurbanın cinsiyetini, yaşını, çevrimiçi pazarlardaki deneyimini, derecelendirmesini, incelemelerini, tamamlanan işlem sayısını ve sattıkları ürün türünü dikkate alan kasıtlı bir süreçtir ve aşağıdakileri içeren bir hazırlık aşamasını belirtir: kapsamlı pazar araştırması.
Ayrıca Neandertaller tarafından, çevrimiçi pazar listelerini incelemek ve sahte planlara kanması muhtemel ideal bir Mamut seçmek için web kazıyıcılar da kullanılır.
Bir mamut, satılan mallar için şahsen ödeme yapmayı ve şahsen teslimatı tercih ederse, Neandertaller “çok uzakta olduklarını veya birkaç günlüğüne bir iş gezisi için şehirden ayrılacaklarını” iddia ederken, aynı zamanda mamutlara olan ilginin arttığını da gösteriyor. Dolandırıcılığın başarı olasılığını artıracak öğe.
Neandertallerin ayrıca anonim kalmak için VPN’ler, proxy’ler ve TOR kullandıkları, aynı zamanda apartman listeleri içeren sahte web siteleri oluşturdukları ve bir kimlik avı web sitesine yönlendiren bir bağlantıya tıklayarak Mamutları rezervasyon ücreti ödemeye ikna ettikleri emlak dolandırıcılıklarını araştırdıkları da gözlemlendi. .
Jizba, “Neandertaller bir dairenin meşru sahibine yazıyor, ilgileniyormuş gibi davranıyor ve ek resimler ve dairenin ne tür komşulara sahip olduğu gibi çeşitli ayrıntılar istiyor.” dedi.
“Neandertaller daha sonra tüm bu bilgileri alıp başka bir web sitesinde kendi ilanlarını oluşturarak daireyi kiralık olarak teklif ediyorlar. Beklenen piyasa fiyatını yaklaşık %20 oranında düşürdüler. Senaryonun geri kalanı Satıcı dolandırıcılığı senaryosuyla aynı.”
Açıklama, Check Point’in, şüphelenmeyen kurbanları sahte tokenlara yatırım yapmaya ikna ederek ve bir meşruiyet cilası oluşturmak için simüle edilmiş alım satımlar gerçekleştirerek yaklaşık 1 milyon dolar çalmayı başaran bir halı çekme dolandırıcılığını ayrıntılarıyla anlatmasıyla geldi.
Şirket, “Token yatırımcıları yeterince cezbettikten sonra dolandırıcı son hamleyi gerçekleştirdi; token havuzundan likiditenin çekilmesi, token alıcılarının elleri boş kaldı ve fonlar tükendi” dedi.