网络钓鱼
一个新的出于经济动机的操作正在利用恶意Telegram机器人来帮助威胁者诈骗他们的受害者。
称为Telekopye,是Telegram和kopye的合成词(在俄语中是“矛”的意思),该工具包的功能是根据预先制作的模板创建一个钓鱼网页,并将URL发送给潜在的受害者,罪犯将这些受害者的代码命名为猛犸。
ESET研究员Radek Jizba在与黑客新闻分享的一份报告中说:“这个工具包被实现为一个电报机器人,当激活时,提供了几个易于导航的菜单,可点击按钮的形式,可以容纳许多骗子一次。”
这些被称为尼安德特人(Neanderthals)的威胁行动者的确切来源尚不清楚,但有证据表明,该工具包的作者和用户来自俄罗斯,因为他们使用俄罗斯的短信模板,而且大多数有针对性的在线市场在该国很受欢迎。
Telekopye的多个版本已经被检测到,最早的可以追溯到2015年,这表明它被积极维护和使用了好几年。
攻击链是这样进行的:尼安德特人找到他们的猛犸象,并试图与它们建立融洽的关系,然后通过电子邮件、短信或直接消息发送使用Telekopye网络钓鱼工具创建的虚假链接。
一旦在伪造的信用卡/借记卡网关上输入了支付细节,这些信息就被用来从受害者那里吸走资金,然后通过加密货币进行洗钱。
Telekopye功能齐全,允许用户发送网络钓鱼邮件、生成网页、发送短信、创建QR代码以及创建令人信服的支票和收据截图。
用于承载页面的网络钓鱼域被注册,最终URL以预期的品牌名称–cdek.id 7423[.]ru、olx.id 7423[.]ru和sbazar.id 7423[.]ru-开始,以使它们难以识别。
这项业务的一个显著方面是支出的集中性质。而不是转移从猛犸象偷来的钱到他们自己的帐户,它是漏斗到一个共享帐户由Telekopye管理员管理,让核心团队监督每个尼安德特人的操作。
换句话说,尼安德特人在通过工具包本身要求付款后,就会得到Telekopye管理员的支付,而不是在平台所有者和推荐人将其中一大块作为佣金之前。
Jizba说:“Telekopye检查了尼安德特人的余额,最终请求得到了Telekopye管理员的批准,最后资金被转移到了尼安德特人的密码货币钱包中。”
在某些Telekopye的实现中,要求支付的第一步是自动化的,只要尼安德特人达到从成功诈骗中偷来的钱的某个临界点,谈判就会启动。
作为犯罪企业专业化的进一步标志,Telekopye的用户和经营者被组织成一个明确的等级结构,其角色包括管理员、主持人、优秀员工(或支持机器人)、工人和被屏蔽者:
封锁:禁止使用Telekopye可能违反项目规则的用户。
工人:分配给所有新尼安德特人的共同角色。
好工人:用更高的报酬和较低的佣金来提升工人的角色。
版主:可以提升和降级其他成员并批准新成员,但不能修改工具包设置的用户。
管理员:拥有最高特权的用户,他们可以添加钓鱼网页模板并更改支付率。
Jizba说:“判断你是否被一个试图偷钱的尼安德特人盯上的最简单的方法就是看看你使用的语言。”“在网上交易市场处理二手商品时,尽可能坚持当面进行金钱和商品交换。避免寄钱,除非你确定钱会去哪里。”