Eset odhaduje, že Telekopye, súbor nástrojov, umožňujúcich tvorbu online podvodov aj technicky menej zdatným útočníkom, sa používa minimálne od roku 2015. Medzi jeho funkcie patrí vytváranie phishingových webstránok, odosielanie phishingových SMS správ a e-mailov, falošných QR kódov či vytváranie falošných snímok obrazovky. Podľa telemetrie spoločnosti sa tento toolkit stále používa a je v aktívnom vývoji. Telekopye je implementovaný ako telegramový bot, ktorý umožňuje krok po kroku vytvoriť podvod na pár kliknutí. Výskumníci spoločnosti odvodili jeho názov od sociálnej siete Telegram a ruského slova kopye (копье), čo znamená kopija. Niekoľko indícií poukazuje na Rusko ako krajinu pôvodu autorov a používateľov tohto toolkitu.
„Podarilo sa nám objaviť zdrojový kód toolkitu, ktorý podvodníkom pomáha natoľko, že sa nemusia špeciálne orientovať v IT. Na oklamanie obete im stačí len šikovný jazyk. Tento toolkit je implementovaný ako telegramový bot, ktorý po aktivácii poskytuje niekoľko ľahko použiteľných menu vo forme klikateľných tlačidiel. Tie dokážu vyhovieť mnohým podvodníkom naraz,“ vysvetľuje výskumník spoločnosti ESET, Radek Jizba. Podvodníci nazývajú svoje obete mamuty – v rusky hovoriacich krajinách je to označenie pre niekoho, kto sa ľahko nachytá. Podľa rovnakej logiky označujeme v našich zisteniach podvodníkov používajúcich Telekopye ako neandertálcov,“ dodáva Jizba.
Telekopye bol nahraný do VirusTotal niekoľkokrát, predovšetkým z Ruska, Ukrajiny a Uzbekistanu. Ide o krajiny, z ktorých útočníci zvyčajne operujú. Výskumníci to usudzujú z jazyka použitého v komentároch v kóde a zároveň ide aj o najčastejšie cieľové trhy. Aj keď sú hlavným cieľom podvodníkov online trhoviská populárne v Rusku, ako OLX a YULA, ESET pozoroval aj ciele, ktoré nie sú ruského pôvodu, napríklad BlaBlaCar či eBay. Výskumníci dokonca identifikovali kampane na trhoviskách, ktoré s Ruskom nemajú nič spoločné a sú rozšírené v našom regióne. Ide napríklad o maďarský JOFOGAS či Sbazar dostupný aj na Slovensku a v Českej republike.
ESET dokázal zhromaždiť niekoľko verzií Telekopye, čo naznačuje neustály vývoj. Okrem toho niektoré verzie Telekopye môžu ukladať údaje obetí (zvyčajne údaje o karte alebo e-mailové adresy) na disk, kde je bot spustený. Útočné skupiny sú organizované do jasnej hierarchie s niekoľkými rolami a štruktúrou provízií. Podvodníci neprevádzajú peniaze ukradnuté obetiam na svoje vlastné účty. Namiesto toho všetci používajú zdieľaný účet Telekopye kontrolovaný správcom. Telekopye sleduje úspešnosť každého podvodníka, pričom sa vedie presná evidencia toho, koľko peňazí odcudzil. Podvodníci sú následne platení správcom Telekopye, ktorý si pred vyplatením peňazí konkrétnemu útočníkovi odpočíta províziu.
Viac technických informácií nájdete v špeciálnom blogu na stránke WeLiveSecurity.
