ESET Research - Le groupe de spam Telekopye recrute de nouveaux escrocs
novembre 2023 par ESET
Les chercheurs d’ESET ont précédemment découvert et analysé Telekopye, une boîte à outils qui aide les attaquants les moins férus de technologie à réaliser facilement des escroqueries en ligne. La première partie de la recherche ayant été publiée en août, dans cette deuxième partie, ESET Research se concentre sur le processus d’intégration interne des escrocs, une vue détaillée de l’ensemble de l’opération et l’analyse des scénarios d’escroquerie.
Les fonctions de Telekopye sont multiples, la création de sites Web de phishing, l’envoi de SMS et d’e-mails de phishing et la création de fausses captures d’écran. Selon la télémétrie ESET, cet outil est toujours utilisé et en développement actif. Il est basé sur un bot Telegram. Les victimes de cette opération d’escroquerie sont appelées « Mammouths » par les escrocs. Par souci de clarté, et en suivant la même logique, ESET fait référence dans ses conclusions aux escrocs utilisant Telekopye comme des « Néandertaliens ».
Le groupe Telekopye recrute de nouveaux Néandertaliens par le biais d’annonces sur de nombreux canaux différents, y compris des forums clandestins. Ces publicités indiquent clairement l’objectif : escroquer les utilisateurs de places de marché en ligne. Les aspirants Néandertaliens sont tenus de remplir une demande, en répondant à des questions de base telles que l’expérience qu’ils ont dans ce domaine. S’ils sont approuvés par les membres du groupe, ayant un rang suffisamment élevé, les nouveaux Néandertaliens peuvent commencer à utiliser Telekopye à son plein potentiel.
3 types d’escroqueries
Il existe trois principaux scénarios d’escroquerie : le vendeur, l’acheteur et le remboursement :
• L’escroquerie du vendeur consiste pour les attaquants à se faire passer pour des vendeurs et attirer des victimes pour qu’elles achètent un article inexistant. Lorsque la victime montre de l’intérêt pour l’article, le « vendeur » la persuade de payer en ligne plutôt qu’en personne et fournit un lien vers un site Web d’hameçonnage se faisant passer pour un site de paiement légitime. Contrairement à la page Web légitime, cette page demande une connexion à la banque en ligne, les détails de la carte de crédit (y compris parfois le solde) ou d’autres informations sensibles. Le site d’hameçonnage vole ces données automatiquement.
• Dans l’escroquerie de l’acheteur, les attaquants se font passer pour des acheteurs. Ils manifestent de l’intérêt pour un article et affirment qu’ils ont déjà payé via la plateforme fournie. Ensuite, ils envoient à la victime un e-mail ou un SMS (créé via Telekopye) avec un lien vers un site Web de phishing soigneusement conçu, affirmant que la victime doit cliquer sur ce lien pour recevoir son argent de la plateforme. Le reste du scénario est très similaire à l’escroquerie du « vendeur ».
• Dans le scénario de remboursement, les attaquants créent une situation où la victime s’attend à un remboursement et lui envoient ensuite un e-mail de phishing avec un lien vers le site Web de phishing, servant une fois de plus le même objectif.
« Dans presque tous les groupes de Néandertaliens, nous avons trouvé des manuels et des études de marché, à partir desquelles les Néandertaliens élaborent leurs stratégies et leurs conclusions », explique Radek Jizba, chercheur chez ESET, qui a étudié Telekopye. « Par exemple, lors du scénario d’escroquerie de l’acheteur, les Néandertaliens choisissent leurs cibles en fonction du type d’articles qu’ils vendent. Par exemple, certains groupes évitent complètement l’électronique. Le prix de l’article est également important. Les manuels recommandent aux Néandertaliens, dans le cas d’une escroquerie à l’acheteur, de choisir des articles dont le prix se situe entre 9,50 € et 290 € », ajoute-t-il. De plus, les attaquants utilisant Telekopye utilisent des outils Web pour parcourir rapidement de nombreuses places de marché et choisir une « victime parfaite ».
Les attaquants de Telekopye pensent que leur groupe est rempli de « rats » (par exemple, les forces de l’ordre ou des chercheurs). Ainsi, ils s’en tiennent religieusement aux règles : pas de recherche d’informations qui pourraient identifier d’autres membres du groupe, enfreindre ces règles peut entraîner un bannissement. La règle d’or est la suivante : « Travaillez plus, parlez moins. »
Même si les principales cibles des escrocs sont les marchés en ligne populaires en Russie, tels que OLX et YULA, ESET a également observé des cibles qui ne sont pas Russe, comme BlaBlaCar et eBay et même d’autres qui n’ont rien en commun avec la Russie, comme Jófogás et Sbazar.