Telegram sohbet gruplarında 'Mamut Avı'na dikkat!
ESET araştırmacıları, teknik bilgisi az olan kişilerin çevrimiçi dolandırıcılıkları daha kolay gerçekleştirmesine yardımcı olan bir araç seti olan Telekopye'yi keşfederek analiz etti. ESET, Telekopye'nin en az 2015 yılından beri kullanıldığını tahmin ediyor. Telekopye'nin yetenekleri arasında kimlik avı web siteleri oluşturmak, kimlik avı SMS'leri ve e-postaları göndermek ve sahte ekran görüntüleri oluşturmak yer alıyor. ESET telemetrisine göre, bu araç hala kullanımda ve aktif olarak geliştiriliyor. Araç seti bir Telegram botu olarak uygulanıyor. ESET Research, Telekopye adını, yüksek hedefli (diğer adıyla mızraklı) kimlik avı kullanımı nedeniyle Telegram ve Rusça mızrak anlamına gelen kopye (копье) sözcüklerinin bir birleşimi olarak tasarladı. Birçok ipucu, araç setinin yazarlarının ve kullanıcılarının menşe ülkesi olarak Rusya'yı işaret ediyor.
Kurbanlar dolandırıcılar tarafından Mamut olarak adlandırılıyor
Telekopye araç seti, etkinleştirildiğinde, aynı anda birçok dolandırıcıya hizmet verebilen tıklanabilir düğmeler şeklinde gezinmesi kolay çeşitli menüler sağlayan bir Telegram botu olarak uygulanıyor. Bu dolandırıcılık operasyonunun kurbanları, dolandırıcılar tarafından Mamut olarak adlandırılıyor.
Telekopye VirusTotal'a, özellikle Rusya, Ukrayna ve Özbekistan'dan olmak üzere birçok kez yüklenmiş durumda. Bunlar, koddaki yorumlarda kullanılan dile ve hedeflenen pazarların çoğunun konumuna göre saldırganların genellikle faaliyet gösterdiği ülkeler. Dolandırıcıların ana hedefleri OLX ve YULA gibi Rusya'da popüler olan çevrimiçi pazarlar olsa da ESET, BlaBlaCar veya eBay gibi Rusya'ya özgü olmayan ve hatta JOFOGAS ve Sbazar gibi Rusya ile hiçbir ortak yanı olmayan hedefleri de gözlemledi. Fortune dergisine göre OLX platformu on yıl önce ayda 11 milyar sayfa görüntülemesine ve 8,5 milyon işleme sahipti.
ESET, Telekopye'nin sürekli geliştirildiğini gösteren birkaç sürümünü toplamayı başardı. Araç seti, dolandırıcıların kullanabileceği birkaç farklı işleve sahip. Bunlar arasında kimlik avı e-postaları göndermek, kimlik avı web sayfaları oluşturmak, SMS mesajları göndermek, QR kodları oluşturmak ve sahte ekran görüntüleri oluşturmak yer alıyor. Buna ek olarak, Telekopye'nin bazı sürümleri kurban verilerini (genellikle kart bilgileri veya e-posta adresleri) botun çalıştırıldığı diskte saklayabiliyor.
Hiyerarşik düzen içinde belirlenmiş komisyon ücretleri
Dolandırıcılar kurbanlardan çaldıkları parayı kendi hesaplarına aktarmıyorlar. Bunun yerine, tüm saldırganlar Telekopye yöneticisi tarafından kontrol edilen ortak bir Telekopye hesabı kullanıyor. Telekopye, her bir dolandırıcının ne kadar başarılı olduğunu, ilgili katkılarını bu paylaşılan hesaba ya basit bir metin dosyasında ya da bir SQL veri tabanında kaydederek takip ediyor. Sonuç olarak, dolandırıcılara Telekopye yöneticisi tarafından yönetici ücretleri düşülerek ödeme yapılıyor. Telekopye kullanan dolandırıcı grupları, beş sınıfta en azdan en çok ayrıcalığa sahip bir hiyerarşi içinde düzenlenmiş. Üst sınıflardaki saldırganlar daha düşük komisyon ücretleri öderler.
Bir Telekopye dolandırıcısı ya da başka bir dolandırıcı tarafından hedef alınıp alınmadığınızı anlamanın en kolay yolu, kullanılan dilde anormallikler, hatalar ve tutarsızlıklar aramaktır. Çevrimiçi pazarlarda ikinci el mallarla işlem yaparken mümkün olduğunca yüz yüze para ve mal alışverişi konusunda ısrarcı olun ve nereye gideceğinden emin olmadığınız sürece para göndermekten kaçının.