Ciudad de México, 01 de septiembre, 2023.- La compañía ESET, especialista en detección proactiva de amenazas, identificó el código fuente de un conjunto de herramientas que hace que los estafadores no necesiten ser expertos en informática. Este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones.
A este kit ESET lo nombró Telekopye como la combinación de Telegram y kopye (копье), que en ruso significa lanza, debido al uso de phishing altamente dirigido. Los estafadores llaman mamuts a las víctimas de esta operación y varias pistas apuntan a Rusia como país de origen de los autores y usuarios del kit de herramientas.
Telekopye fue subido a VirusTotal en múltiples ocasiones, principalmente desde Rusia, Ucrania y Uzbekistán, desde donde suelen operar los Neanderthals de acuerdo al idioma que usan en los comentarios del código son quienes están detrás de los ataques.
“Hemos descubierto y analizado Telekopye, un conjunto de herramientas que ayuda a las personas menos técnicas a realizar estafas en línea con mayor facilidad. Estimamos que Telekopye estaba en uso desde al menos 2015. Nos centramos en una versión, analizando sus principales capacidades y descubriendo cómo funciona Telekopye internamente”, comentó el jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya.
Agregó que estas capacidades incluyen la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing y la creación de capturas de pantalla falsas. También describimos la jerarquía de los grupos que utilizan Telekopye. Gracias a nuestra telemetría, descubrimos que esta herramienta sigue en uso y en desarrollo activo.
Aunque los principales objetivos de Neanderthals son los mercados online populares en Rusia, como OLX y YULA, desde ESET se observó que sus objetivos son también mercados online que no son nativos de Rusia, como BlaBlaCar o eBay, e incluso otros como JOFOGAS y Sbazar.
Sólo para ilustrar lo grandes que son algunos de estos mercados, la plataforma OLX tuvo, según Fortune 11,000 millones de páginas vistas y 8,5 millones de transacciones al mes en 2014.
Las versiones que se recopilaron desde ESET de Telekopye sugieren un desarrollo continuo. Las mismas se utilizan para crear páginas web de phishing y enviar mensajes de phishing por correo electrónico y SMS. Además, algunas versiones de Telekopye pueden almacenar datos de las víctimas (normalmente detalles de tarjetas o direcciones de correo electrónico) en el disco donde se ejecuta el bot.
En cuanto a la estafa Telekopye, en primer lugar, los Neandertales una vez que encuentran a sus víctimas (mamuts) intentan ganarse su confianza y persuadirles de que son confiables. Cuando los atacantes creen que un “mamut” confía lo suficiente en ellos, utilizan Telekopye para crear una página web de phishing a partir de una plantilla prefabricada y envían la URL a la posible víctima, incluso a través de mensajes SMS o correo electrónico.
Después de que el mamut envía los datos de la tarjeta a través de esta página, los neandertales utilizan estos datos de la tarjeta para robar dinero de la tarjeta de crédito/débito del mamut, mientras ocultan el dinero utilizando varias técnicas diferentes, como blanquearlo a través de criptomonedas; desde ESET se identificaron algunos servicios de cryptocurrency mixing involucrados en estas operaciones.
Telekopye dispone de varias funcionalidades que incluyen el envío de correos electrónicos de phishing, la generación de páginas web de phishing, el envío de mensajes SMS, la creación de códigos QR y la creación de capturas de pantalla de phishing.
La característica principal de Telekopye es que crea páginas web de phishing a partir de plantillas HTML predefinidas bajo demanda. Un Neanderthal debe especificar en esta plantilla detalles como la cantidad de dinero, el nombre del producto, ubicación a la que se enviaría el producto, la foto, el peso, y el nombre del comprador.
A continuación, Telekopye toma toda esta información y crea una página web de phishing para materializar el engaño. Estas páginas están diseñadas para imitar diferentes sitios de inicio de sesión de pagos/bancos, pasarelas de pago de tarjetas de crédito/débito, o simplemente páginas de pago de diferentes sitios web. Para facilitar el proceso de creación de páginas web de phishing, estas plantillas de páginas web están organizadas por países a los que se dirigen.
ESET comparte algunas recomendaciones para evitar ser estafado por este grupo:
- La forma más fácil de saber si se está en el radar de un Neanderthal es fijarse bien en el lenguaje utilizado en la conversación, sea en un correo electrónico o página web. Aunque, lamentablemente, esto no es infalible, ya que algunos de estos intentos de estafa corrigieron errores gramaticales y de vocabulario.
- Insistir en que el intercambio de dinero y bienes sea en persona, cuando sea posible, en el caso de artículos de segunda mano vendidos online. Ya que usualmente no están protegidos por instituciones o servicios conocidos y estas estafas son posibles porque los neandertales fingen que ya hicieron un pago online, o ya enviaron el producto que se pretendía comprar. Por supuesto que la entrega en persona no siempre es posible, y puede no ser segura por lo que hay que extremar las precauciones, cuando se utiliza un servicio de mercados online.
- Evitar enviar dinero a menos que se esté seguro; comprobar que la página web no tenga errores gramaticales o fallas de diseño gráfico. Si se tiene suerte, una plantilla puede tener algunas imprecisiones. Comprobar también el certificado de la página web y fijarse bien en la URL, que puede hacerse pasar por un enlace real.
- Tener cuidado con el ofrecimiento forzado de un medio de pago, si el engaño es de una compra falsa, con frases como “Te enviaré el dinero a través del servicio XYZ. ¿Sabes cómo funciona?”. En su lugar, preguntar por otro tipo de plataforma de pago que sea familiar. Esto no es infalible porque los estafadores tienen múltiples plantillas que pueden imitar servicios de pagos online, pero es posible que se pueda reconocer una plantilla falsa más fácilmente si se utiliza un método de pago conocido.
- Extremar las precauciones si se reciben enlaces por mensajes SMS o correos electrónicos, aunque parezcan proceder de una fuente de confianza. Los neandertales no son ajenos a la suplantación de identidad por correo electrónico. Una buena regla general es visitar directamente la página web del supuesto servicio (no utilizar el enlace del correo electrónico/SMS), y por caso, consultar en atención al cliente.
¡Síguenos en nuestras redes sociales!
https://twitter.com/ArzateNoticiashttps:/https:/
/www.facebook.com/ArzateNoticias/
