Wouter Hoeffnagel - 26 augustus 2023

Toolkit Telekopye maakt oplichting voor cybercriminelen makkelijker dan ooit

De toolkit Telekopye helpt minder technische mensen om gemakkelijker online scams uit te voeren. Telekopye is naar schatting sinds 2015 beschikbaar en helpt aanvallers onder meer met het opzetten van phishingwebsites, verzenden van phishing-smsjes en -e-mails, en het maken van valse schermafbeeldingen.

Toolkit Telekopye maakt oplichting voor cybercriminelen makkelijker dan ooit image

Hiervoor waarschuwt ESET, dat Telekopye analyseerde. Volgens telemetrie van het bedrijf is deze tool nog steeds in gebruik en actief in ontwikkeling. De toolkit is geïmplementeerd als een Telegram-bot. ESET Research bedacht de naam Telekopye als een samenstelling van Telegram en kopye (копье), het Russische woord voor speer, vanwege het gebruik van zeer gerichte (ook wel spear-) phishing. Verschillende aanwijzingen wijzen naar Rusland als het land van herkomst van de auteurs en gebruikers van de toolkit.

Mammoths en Neanderthalers

"We hebben de broncode ontdekt van een toolkit die oplichters zo goed helpt bij hun pogingen dat ze niet bijzonder goed thuis hoeven te zijn in IT, maar alleen een zilveren tong nodig hebben om hun slachtoffers te overtuigen. Deze toolkit is geïmplementeerd als een Telegram-bot die, wanneer geactiveerd, verschillende eenvoudig te navigeren menu's biedt in de vorm van klikbare knoppen die veel oplichters tegelijk kunnen bedienen," legt ESET-onderzoeker Radek Jizba uit. "Slachtoffers van deze zwendeloperatie worden Mammoths genoemd door de oplichters. Voor de duidelijkheid, en volgens dezelfde logica, verwijzen we in onze bevindingen naar de oplichters die Telekopye gebruiken als Neanderthalers," legt Jizba uit.

Telekopye is meerdere keren geüpload naar VirusTotal, voornamelijk vanuit Rusland, Oekraïne en Oezbekistan. Dit zijn de landen van waaruit aanvallers meestal opereren, gebaseerd op de taal die wordt gebruikt in opmerkingen in de code en de locatie van de meeste doelmarkten. Hoewel de belangrijkste doelwitten van oplichters online markten zijn die populair zijn in Rusland, zoals OLX en YULA, heeft ESET ook doelwitten waargenomen die niet afkomstig zijn uit Rusland, zoals BlaBlaCar of eBay, en zelfs andere die niets gemeen hebben met Rusland, zoals JOFOGAS en Sbazar. Het OLX-platform had volgens Fortune magazine een decennium geleden zo'n 11 miljard pageviews en 8,5 miljoen transacties per maand.

Voortdurend in ontwikkeling

ESET wist verschillende versies van Telekopye te verzamelen, wat duidt op een voortdurende ontwikkeling. De toolkit biedt oplichters verschillende functionaliteiten. Deze omvatten het verzenden van phishing e-mails, het genereren van phishing webpagina's, het verzenden van SMS-berichten, het creëren van QR-codes en het maken van valse schermafbeeldingen. Bovendien kunnen sommige versies van Telekopye gegevens van slachtoffers (meestal kaartgegevens of e-mailadressen) opslaan op de schijf waarop de bot wordt uitgevoerd.

Oplichters maken het van slachtoffers gestolen geld niet over naar hun eigen rekeningen. In plaats daarvan gebruiken alle aanvallers een gedeelde Telekopye-account die door de Telekopye-beheerder wordt beheerd. Telekopye houdt bij hoe succesvol elke oplichter is door de bijbehorende bijdragen op het gedeelde account te registreren - in een eenvoudig tekstbestand of in een SQL-database. Als gevolg hiervan worden de scammers betaald door de Telekopye-beheerder met aftrek van administratiekosten. Groepen oplichters die Telekopye gebruiken zijn georganiseerd in een hiërarchie met de minste tot de meeste privileges in vijf klassen. Aanvallers uit hogere klassen betalen lagere commissievergoedingen.

"De makkelijkste manier om te zien of je het doelwit bent van een Telekopye-oplichter, of een andere oplichter, is door te letten op afwijkingen, fouten en afwijkingen in het taalgebruik. Zorg waar mogelijk voor een persoonlijke uitwisseling van geld en goederen als je te maken hebt met tweedehands goederen op online marktplaatsen en vermijd het sturen van geld tenzij je zeker weet waar het naartoe gaat," adviseert Jizba.


Sophos 14/11/2024 t/m 28/11/2024 BN + BW Lenovo Channel Campagne vierkant
ALSO BW 03-06-2024 tm

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!